資料庫受限制用戶

1. 導出數據時,無法打開資料庫中表的行集,是為什麼

導出數據時，無法打開資料庫中表的行集，是因為是受本地操作系統的訪問限制，即當前用戶並沒有資料庫本地文件的讀取許可權。這種情況下需要聯系操作系統管理員解決。

2. 怎麼設置受限網站的訪問許可權

——運行——輸入 GPEDIT.MSC (可小寫）並確定——依次展開『本地計算機策略下的「用戶配置」——「管理模板」——「Windows組件」——選中「Windows資源管理器」』——再左鍵雙擊視圖右側的「防止從『我的電腦』訪問驅動器——選擇已啟用——下面再選擇「僅限制驅動器E——應用。

你試試，你也不能訪問E盤了。如果你要訪問，再次重復上訴步驟，選擇「未配置」並應用即可。

而那個受限用戶，也許不知道怎麼改組策略，另外受限用戶無法打開組策略。所以TA無法訪問E盤了

3. 加強資料庫許可權控制和輸入限制是有效的資料庫安全措施

加強資料庫許可權控制和輸入限制，能夠在一定程度上提高資料庫漏洞的利用難度，降低資料庫被攻擊的可能性，其主要手段有：用戶許可權最小化原則，加強資料庫用戶管理，嚴格檢查資料庫安全配置，資料庫功能最小化，及時升級安全補丁等。

安華金和數據安全攻防實驗室（DBSec Labs）於2010年11月成立，是我國一支獨立的、持久的針對資料庫安全漏洞、資料庫攻擊技術模擬和資料庫安全防護技術進行研究的專業隊伍。旨在通過資料庫漏洞與攻擊技術的研究制定有效的防禦手段和技術，從而降低資料庫安全風險，以實現對數據資產的保護。

安華金和數據安全攻防實驗室針對資料庫漏洞安全威脅定期發布報告，旨在幫助廣大用戶了解資料庫安全形勢，完善企業及組織的數據安全解決方案提供幫助。

4. access資料庫最多支持多少人同時訪問

Access是種桌面資料庫，只適合數據量少的應用。
在處理少量數據和單機訪問的資料庫時是很好的，效率也很高。
但是Access 本身對於同時訪問客戶端及容量都有一定的缺陷。下面的情況之一，
就應該考慮sql資料庫了：
(1) 資料庫大小超過100M；
(2) 在線人數經常超過100人；
(3) 網站經常出現服務失效（英文提示：Service Unavailable）；
(4) 伺服器經常出現CPU資源被100%佔用。
ACCESS資料庫支持的最大在線連接數，實際使用中只能支持100過一點。
網站工作室開發網站時選擇哪種資料庫，取決於網站流量及程序對資料庫的要求。

5. 求助高手：電腦帳戶受限制怎樣重新設置

windows下許可權設置詳解
隨著動網論壇的廣泛應用和動網上傳漏洞的被發現以及sql注入式攻擊越來越多的被使用，webshell讓防火牆形同虛設，一台即使打了所有微軟補丁、只讓80埠對外開放的web伺服器也逃不過被黑的命運。難道我們真的無能為力了嗎？其實，只要你弄明白了ntfs系統下的許可權設置問題，我們可以對crackers們說：no!
要打造一台安全的web伺服器，那麼這台伺服器就一定要使用ntfs和windows nt/2000/2003。眾所周知，windows是一個支持多用戶、多任務的操作系統，這是許可權設置的基礎，一切許可權設置都是基於用戶和進程而言的，不同的用戶在訪問這台計算機時，將會有不同的許可權。dos是個單任務、單用戶的操作系統。但是我們能說dos沒有許可權嗎？不能！當我們打開一台裝有dos操作系統的計算機的時候，我們就擁有了這個操作系統的管理員許可權，而且，這個許可權無處不在。所以，我們只能說dos不支持許可權的設置，不能說它沒有許可權。隨著人們安全意識的提高，許可權設置隨著ntfs的發布誕生了。
windows nt里，用戶被分成許多組，組和組之間都有不同的許可權，當然，一個組的用戶和用戶之間也可以有不同的許可權。下面我們來談談nt中常見的用戶組。
administrators,管理員組，默認情況下，administrators中的用戶對計算機/域有不受限制的完全訪問權。分配給該組的默認許可權允許對整個系統進行完全控制。所以，只有受信任的人員才可成為該組的成員。
power users，高級用戶組，power users 可以執行除了為 administrators 組保留的任務外的其他任何操作系統任務。分配給 power users 組的默認許可權允許 power users 組的成員修改整個計算機的設置。但power users 不具有將自己添加到 administrators 組的許可權。在許可權設置中，這個組的許可權是僅次於administrators的。
users:普通用戶組，這個組的用戶無法進行有意或無意的改動。因此，用戶可以運行經過驗證的應用程序，但不可以運行大多數舊版應用程序。users 組是最安全的組，因為分配給該組的默認許可權不允許成員修改操作系統的設置或用戶資料。users 組提供了一個最安全的程序運行環境。在經過 ntfs 格式化的卷上，默認安全設置旨在禁止該組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統注冊表設置、操作系統文件或程序文件。users 可以關閉工作站，但不能關閉伺服器。users 可以創建本地組，但只能修改自己創建的本地組。
guests:來賓組，按默認值，來賓跟普通users的成員有同等訪問權，但來賓帳戶的限制更多。
everyone:顧名思義，所有的用戶，這個計算機上的所有用戶都屬於這個組。
其實還有一個組也很常見，它擁有和administrators一樣、甚至比其還高的許可權，但是這個組不允許任何用戶的加入，在察看用戶組的時候，它也不會被顯示出來，它就是system組。系統和系統級的服務正常運行所需要的許可權都是靠它賦予的。由於該組只有這一個用戶system，也許把該組歸為用戶的行列更為貼切。
許可權是有高低之分的，有高許可權的用戶可以對低許可權的用戶進行操作，但除了administrators之外，其他組的用戶不能訪問 ntfs 卷上的其他用戶資料，除非他們獲得了這些用戶的授權。而低許可權的用戶無法對高許可權的用戶進行任何操作。
我們平常使用計算機的過程當中不會感覺到有許可權在阻撓你去做某件事情，這是因為我們在使用計算機的時候都用的是administrators中的用戶登陸的。這樣有利也有弊，利當然是你能去做你想做的任何一件事情而不會遇到許可權的限制。弊就是以 administrators 組成員的身份運行計算機將使系統容易受到特洛伊木馬、病毒及其他安全風險的威脅。訪問 internet 站點或打開電子郵件附件的簡單行動都可能破壞系統。不熟悉的 internet 站點或電子郵件附件可能有特洛伊木馬代碼，這些代碼可以下載到系統並被執行。如果以本地計算機的管理員身份登錄，特洛伊木馬可能使用管理訪問權重新格式化您的硬碟，造成不可估量的損失，所以在沒有必要的情況下，最好不用administrators中的用戶登陸。administrators中有一個在系統安裝時就創建的默認用戶----administrator，administrator 帳戶具有對伺服器的完全控制許可權，並可以根據需要向用戶指派用戶權利和訪問控制許可權。因此強烈建議將此帳戶設置為使用強密碼。永遠也不可以從 administrators 組刪除 administrator 帳戶，但可以重命名或禁用該帳戶。由於大家都知道「管理員」存在於許多版本的 windows 上，所以重命名或禁用此帳戶將使惡意用戶嘗試並訪問該帳戶變得更為困難。對於一個好的伺服器管理員來說，他們通常都會重命名或禁用此帳戶。guests用戶組下，也有一個默認用戶----guest,但是在默認情況下，它是被禁用的。如果沒有特別必要，無須啟用此賬戶。我們可以通過「控制面板」--「管理工具」--「計算機管理」--「用戶和用戶組」來查看用戶組及該組下的用戶。
我們用滑鼠右鍵單擊一個ntfs卷或ntfs卷下的一個目錄，選擇「屬性」--「安全」就可以對一個卷，或者一個卷下面的目錄進行許可權設置，此時我們會看到以下七種許可權：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入、和特別的許可權。「完全控制」就是對此卷或目錄擁有不受限制的完全訪問。地位就像administrators在所有組中的地位一樣。選中了「完全控制」，下面的五項屬性將被自動被選中。「修改」則像power users，選中了「修改」，下面的四項屬性將被自動被選中。下面的任何一項沒有被選中時，「修改」條件將不再成立。「讀取和運行」就是允許讀取和運行在這個卷或目錄下的任何文件，「列出文件夾目錄」和「讀取」是「讀取和運行」的必要條件。「列出文件夾目錄」是指只能瀏覽該卷或目錄下的子目錄，不能讀取，也不能運行。「讀取」是能夠讀取該卷或目錄下的數據。「寫入」就是能往該卷或目錄下寫入數據。而「特別」則是對以上的六種許可權進行了細分。讀者可以自行對「特別」進行更深的研究，鄙人在此就不過多贅述了。
下面我們對一台剛剛安裝好操作系統和服務軟體的web伺服器系統和其許可權進行全面的刨析。伺服器採用windows 2000 server版，安裝好了sp4及各種補丁。web服務軟體則是用了windows 2000自帶的iis 5.0，刪除了一切不必要的映射。整個硬碟分為四個ntfs卷，c盤為系統卷，只安裝了系統和驅動程序；d盤為軟體卷，該伺服器上所有安裝的軟體都在d盤中；e盤是web程序卷，網站程序都在該卷下的www目錄中；f盤是網站數據卷，網站系統調用的所有數據都存放在該卷的wwwdatabase目錄下。這樣的分類還算是比較符合一台安全伺服器的標准了。希望各個新手管理員能合理給你的伺服器數據進行分類，這樣不光是查找起來方便，更重要的是這樣大大的增強了伺服器的安全性，因為我們可以根據需要給每個卷或者每個目錄都設置不同的許可權，一旦發生了網路安全事故，也可以把損失降到最低。當然，也可以把網站的數據分布在不同的伺服器上，使之成為一個伺服器群，每個伺服器都擁有不同的用戶名和密碼並提供不同的服務，這樣做的安全性更高。不過願意這樣做的人都有一個特點----有錢:)。好了，言歸正傳，該伺服器的資料庫為ms-sql，ms-sql的服務軟體sql2000安裝在d:\ms-sqlserver2k目錄下，給sa賬戶設置好了足夠強度的密碼，安裝好了sp3補丁。為了方便網頁製作員對網頁進行管理，該網站還開通了ftp服務，ftp服務軟體使用的是serv-u 5.1.0.0，安裝在d:\ftpservice\serv-u目錄下。殺毒軟體和防火牆用的分別是norton antivirus和blackice,路徑分別為d:\nortonav和d:\firewall\blackice,病毒庫已經升級到最新，防火牆規則庫定義只有80埠和21埠對外開放。網站的內容是採用動網7.0的論壇,網站程序在e:\www\bbs下。細心的讀者可能已經注意到了，安裝這些服務軟體的路徑我都沒有採用默認的路徑或者是僅僅更改盤符的默認路徑，這也是安全上的需要，因為一個黑客如果通過某些途徑進入了你的伺服器，但並沒有獲得管理員許可權，他首先做的事情將是查看你開放了哪些服務以及安裝了哪些軟體，因為他需要通過這些來提升他的許可權。一個難以猜解的路徑加上好的許可權設置將把他阻擋在外。相信經過這樣配置的web伺服器已經足夠抵擋大部分學藝不精的黑客了。讀者可能又會問了：「這根本沒用到許可權設置嘛！我把其他都安全工作都做好了，許可權設置還有必要嗎？」當然有！智者千慮還必有一失呢，就算你現在已經把系統安全做的完美無缺，你也要知道新的安全漏洞總是在被不斷的發現。許可權將是你的最後一道防線！那我們現在就來對這台沒有經過任何許可權設置，全部採用windows默認許可權的伺服器進行一次模擬攻擊，看看其是否真的固若金湯。
假設伺服器外網域名為[imga]http://www.gdjyj.com.cn/jyjbbs/pic/url.gif[/imga]http://www.webserver.com，用掃描軟體對其進行掃描後發現開放www和ftp服務，並發現其服務軟體使用的是iis 5.0和serv-u 5.1，用一些針對他們的溢出工具後發現無效，遂放棄直接遠程溢出的想法。打開網站頁面，發現使用的是動網的論壇系統，於是在其域名後面加個/upfile.asp，發現有文件上傳漏洞，便抓包，把修改過的asp木馬用nc提交，提示上傳成功，成功得到webshell，打開剛剛上傳的asp木馬，發現有ms-sql、norton antivirus和blackice在運行，判斷是防火牆上做了限制，把sql服務埠屏蔽了。通過asp木馬查看到了norton antivirus和blackice的pid，又通過asp木馬上傳了一個能殺掉進程的文件，運行後殺掉了norton antivirus和blackice。再掃描，發現1433埠開放了，到此，便有很多種途徑獲得管理員許可權了，可以查看網站目錄下的conn.asp得到sql的用戶名密碼，再登陸進sql執行添加用戶，提管理員許可權。也可以抓serv-u下的servudaemon.ini修改後上傳，得到系統管理員許可權。還可以傳本地溢出serv-u的工具直接添加用戶到administrators等等。大家可以看到，一旦黑客找到了切入點，在沒有許可權限制的情況下，黑客將一帆風順的取得管理員許可權。
那我們現在就來看看windows 2000的默認許可權設置到底是怎樣的。對於各個卷的根目錄，默認給了everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統卷下有三個目錄比較特殊，系統默認給了他們有限制的許可權，這三個目錄是documents and settings、program files和winnt。對於documents and settings，默認的許可權是這樣分配的：administrators擁有完全控制權；everyone擁有讀&運，列和讀許可權；power users擁有讀&運，列和讀許可權；system同administrators;users擁有讀&運，列和讀許可權。對於program files，administrators擁有完全控制權；creator owner擁有特殊許可權;power users有完全控制權;system同administrators;terminal server users擁有完全控制權，users有讀&運，列和讀許可權。對於winnt，administrators擁有完全控制權；creator owner擁有特殊許可權;power users有完全控制權;system同administrators;users有讀&運，列和讀許可權。而非系統卷下的所有目錄都將繼承其父目錄的許可權，也就是everyone組完全控制權！
現在大家知道為什麼我們剛剛在測試的時候能一帆風順的取得管理員許可權了吧？許可權設置的太低了！一個人在訪問網站的時候，將被自動賦予iusr用戶，它是隸屬於guest組的。本來許可權不高，但是系統默認給的everyone組完全控制權卻讓它「身價倍增」，到最後能得到administrators了。那麼，怎樣設置許可權給這台web伺服器才算是安全的呢？大家要牢記一句話：「最少的服務+最小的許可權=最大的安全」對於服務，不必要的話一定不要裝，要知道服務的運行是system級的哦，對於許可權，本著夠用就好的原則分配就是了。對於web伺服器，就拿剛剛那台伺服器來說，我是這樣設置許可權的，大家可以參考一下：各個卷的根目錄、documents and settings以及program files，只給administrator完全控制權，或者乾脆直接把program files給刪除掉；給系統卷的根目錄多加一個everyone的讀、寫權；給e:\www目錄，也就是網站目錄讀、寫權。最後，還要把cmd.exe這個文件給挖出來，只給administrator完全控制權。經過這樣的設置後，再想通過我剛剛的方法入侵這台伺服器就是不可能完成的任務了。可能這時候又有讀者會問：「為什麼要給系統卷的根目錄一個everyone的讀、寫權？網站中的asp文件運行不需要運行許可權嗎？」問的好，有深度。是這樣的，系統卷如果不給everyone的讀、寫權的話，啟動計算機的時候，計算機會報錯，而且會提示虛擬內存不足。當然這也有個前提----虛擬內存是分配在系統盤的，如果把虛擬內存分配在其他卷上，那你就要給那個卷everyone的讀、寫權。asp文件的運行方式是在伺服器上執行，只把執行的結果傳回最終用戶的瀏覽器，這沒錯，但asp文件不是系統意義上的可執行文件，它是由web服務的提供者----iis來解釋執行的，所以它的執行並不需要運行的許可權。
經過上面的講解以後，你一定對許可權有了一個初步了了解了吧？想更深入的了解許可權，那麼許可權的一些特性你就不能不知道了，許可權是具有繼承性、累加性 、優先性、交叉性的。
繼承性是說下級的目錄在沒有經過重新設置之前，是擁有上一級目錄許可權設置的。這里還有一種情況要說明一下，在分區內復制目錄或文件的時候，復制過去的目錄和文件將擁有它現在所處位置的上一級目錄許可權設置。但在分區內移動目錄或文件的時候，移動過去的目錄和文件將擁有它原先的許可權設置。
累加是說如一個組group1中有兩個用戶user1、user2，他們同時對某文件或目錄的訪問許可權分別為「讀取」和「寫入」，那麼組group1對該文件或目錄的訪問許可權就為user1和user2的訪問許可權之和，實際上是取其最大的那個，即「讀取」+「寫入」=「寫入」。 又如一個用戶user1同屬於組group1和group2，而group1對某一文件或目錄的訪問許可權為「只讀」型的，而group2對這一文件或文件夾的訪問許可權為「完全控制」型的，則用戶user1對該文件或文件夾的訪問許可權為兩個組許可權累加所得，即：「只讀」+「完全控制」=「完全控制」。
優先性，許可權的這一特性又包含兩種子特性，其一是文件的訪問許可權優先目錄的許可權，也就是說文件許可權可以越過目錄的許可權，不顧上一級文件夾的設置。另一特性就是「拒絕」許可權優先其它許可權，也就是說「拒絕」許可權可以越過其它所有其它許可權，一旦選擇了「拒絕」許可權，則其它許可權也就不能取任何作用，相當於沒有設置。
交叉性是指當同一文件夾在為某一用戶設置了共享許可權的同時又為用戶設置了該文件夾的訪問許可權，且所設許可權不一致時，它的取捨原則是取兩個許可權的交集，也即最嚴格、最小的那種許可權。如目錄a為用戶user1設置的共享許可權為「只讀」，同時目錄a為用戶user1設置的訪問許可權為「完全控制」，那用戶user1的最終訪問許可權為「只讀」。
許可權設置的問題我就說到這了，在最後我還想給各位讀者提醒一下，許可權的設置必須在ntfs分區中才能實現的，fat32是不支持許可權設置的。同時還想給各位管理員們一些建議：
1.養成良好的習慣，給伺服器硬碟分區的時候分類明確些，在不使用伺服器的時候將伺服器鎖定，經常更新各種補丁和升級殺毒軟體。
2.設置足夠強度的密碼，這是老生常談了，但總有管理員設置弱密碼甚至空密碼。
3.盡量不要把各種軟體安裝在默認的路徑下
4.在英文水平不是問題的情況下，盡量安裝英文版操作系統。
5.切忌在伺服器上亂裝軟體或不必要的服務。
6.牢記：沒有永遠安全的系統，經常更新你的知識。
一. 許可權的由來
遠方的某個山腳下，有一片被森林包圍的草原，草原邊上居住著一群以牧羊為生的牧民。草原邊緣的森林裡，生存著各種動物，包括野狼。
由於羊群是牧民們的主要生活來源，它們的價值便顯得特別珍貴，為了防止羊的跑失和野獸的襲擊，每戶牧民都用柵欄把自己的羊群圈了起來，只留下一道小門，以便每天傍晚供羊群外出到一定范圍的草原上活動，實現了一定規模的保護和管理效果。
最初，野狼只知道在森林裡逮兔子等野生動物生存，沒有發現遠處草原邊上的羊群，因此，在一段時間里實現了彼此和平相處，直到有一天，一隻為了追逐兔子而湊巧跑到了森林邊緣的狼，用它那靈敏的鼻子嗅到了遠處那隱隱約約的烤羊肉香味。
當晚，突然出現的狼群襲擊了草原上大部分牧民飼養的羊，它們完全無視牧民們修築的僅僅能攔住羊群的矮小柵欄，輕輕一躍便突破了這道防線……雖然聞訊而來的牧民們合作擊退了狼群，但是羊群已經遭到了一定的損失。
事後，牧民們明白了柵欄不是僅僅用來防止羊群逃脫的城牆，各戶牧民都在忙著加高加固了柵欄……
如今使用Windows 2000/XP等操作系統的用戶，或多或少都會聽說過「許可權」(Privilege)這個概念，但是真正理解它的家庭用戶，也許並不會太多，那麼，什麼是「許可權」呢?對於一般的用戶而言，我們可以把它理解為系統對用戶能夠執行的功能操作所設立的額外限制，用於進一步約束計算機用戶能操作的系統功能和內容訪問范圍，或者說，許可權是指某個特定的用戶具有特定的系統資源使用權力。
掌握了「Ring級別」概念的讀者也許會問，在如今盛行的80386保護模式中，處理器不是已經為指令執行做了一個「運行級別」的限制了嗎?而且我們也知道，面對用戶操作的Ring 3級別相對於系統內核運行的Ring 0級別來說，能直接處理的事務已經被大幅度縮減了，為什麼還要對運行在「許可權少得可憐」的Ring 3層次上的操作系統人機交互界面上另外建立起一套用於進一步限制用戶操作的「許可權」概念呢?這是因為，前者針對的是機器能執行的指令代碼許可權，而後者要針對的對象，是坐在計算機面前的用戶。
對計算機來說，系統執行的代碼可能會對它造成危害，因此處理器產生了Ring的概念，把「裸露在外」的一部分用於人機交互的操作界面限制起來，避免它一時頭腦發熱發出有害指令;而對於操作界面部分而言，用戶的每一步操作仍然有可能傷害到它自己和底層系統——盡管它自身已經被禁止執行許多有害代碼，但是一些不能禁止的功能卻依然在對這層安全體系作出威脅，例如格式化操作、刪除修改文件等，這些操作在計算機看來，只是「不嚴重」的磁碟文件處理功能，然而它忽略了一點，操作系統自身就是駐留在磁碟介質上的文件!因此，為了保護自己，操作系統需要在Ring 3籠子限制的操作界面基礎上，再產生一個專門用來限制用戶的柵欄，這就是現在我們要討論的許可權，它是為限制用戶而存在的，而且限制對每個用戶並不是一樣的，在這個思想的引導下，有些用戶能操作的范圍相對大些，有些只能操作屬於自己的文件，有些甚至什麼也不能做……
正因為如此，計算機用戶才有了分類:管理員、普通用戶、受限用戶、來賓等……
還記得古老的Windows 9x和MS-DOS嗎?它們僅僅擁有基本的Ring許可權保護(實模式的DOS甚至連Ring分級都沒有)，在這個系統架構里，所有用戶的權力都是一樣的，任何人都是管理員，系統沒有為環境安全提供一點保障——它連實際有用的登錄界面都沒有提供，僅僅有個隨便按ESC都能正常進入系統並進行任何操作的「偽登錄」限制而已。對這樣的系統而言，不熟悉電腦的用戶經常一不小心就把系統毀掉了，而且病毒木馬自然也不會放過如此「松軟」的一塊蛋糕，在如今這個提倡信息安全的時代里，Windows 9x成了名副其實的雞肋系統，最終淡出人們的視線，取而代之的是由Windows NT家族發展而來的Windows 2000和Windows XP，此外還有近年來致力向桌面用戶發展的Linux系統等，它們才是能夠滿足這個安全危機時代里個人隱私和數據安全等要求的系統。
Win2000/XP系統是微軟Windows NT技術的產物，是基於伺服器安全環境思想來構建的純32位系統。NT技術沒有辜負微軟的開發，它穩定，安全，提供了比較完善的多用戶環境，最重要的是，它實現了系統許可權的指派，從而杜絕了由Win9x時代帶來的不安全操作習慣可能引發的大部分嚴重後果。
二. 許可權的指派
1.普通許可權
雖然Win2000/XP等系統提供了「許可權」的功能，但是這樣就又帶來一個新問題:許可權如何分配才是合理的?如果所有人擁有的許可權都一樣，那麼就等於所有人都沒有許可權的限制，那和使用Win9x有什麼區別?幸好，系統默認就為我們設置好了「許可權組」(Group)，只需把用戶加進相應的組即可擁有由這個組賦予的操作許可權，這種做法就稱為許可權的指派。
默認情況下，系統為用戶分了6個組，並給每個組賦予不同的操作許可權，依次為:管理員組(Administrators)、高許可權用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、文件復制組(Replicator)、來賓用戶組(Guests)，其中備份操作組和文件復制組為維護系統而設置，平時不會被使用。
系統默認的分組是依照一定的管理憑據指派許可權的，而不是胡亂產生，管理員組擁有大部分的計算機操作許可權(並不是全部)，能夠隨意修改刪除所有文件和修改系統設置。再往下就是高許可權用戶組，這一部分用戶也能做大部分事情，但是不能修改系統設置，不能運行一些涉及系統管理的程序。普通用戶組則被系統拴在了自己的地盤里，不能處理其他用戶的文件和運行涉及管理的程序等。來賓用戶組的文件操作許可權和普通用戶組一樣，但是無法執行更多的程序。
這是系統給各個組指派的許可權說明，細心的用戶也許會發現，為什麼裡面描述的「不能處理其他用戶的文件」這一條規則並不成立呢，我可以訪問所有文件啊，只是不能對系統設置作出修改而已，難道是許可權設定自身存在問題?實際上，NT技術的一部分功能必須依賴於特有的「NTFS」(NT文件系統)分區才能實現，文件操作的許可權指派就是最敏感的一部分，而大部分家庭用戶的分區為FAT32格式，它並不支持NT技術的安全功能，因此在這樣的文件系統分區上，連來賓用戶都能隨意瀏覽修改系統管理員建立的文件(限制寫入操作的共享訪問除外)，但這並不代表系統許可權不起作用，我們只要把分區改為NTFS即可。
2.特殊許可權
除了上面提到的6個默認許可權分組，系統還存在一些特殊許可權成員，這些成員是為了特殊用途而設置，分別是:SYSTEM(系統)、Everyone(所有人)、CREATOR OWNER(創建者)等，這些特殊成員不被任何內置用戶組吸納，屬於完全獨立出來的賬戶。(圖.特殊許可權成員)
前面我提到管理員分組的許可權時並沒有用「全部」來形容，秘密就在此，不要相信系統描述的「有不受限制的完全訪問權」，它不會傻到把自己完全交給人類，管理員分組同樣受到一定的限制，只是沒那麼明顯罷了，真正擁有「完全訪問權」的只有一個成員:SYSTEM。這個成員是系統產生的，真正擁有整台計算機管理許可權的賬戶，一般的操作是無法獲取與它等價的許可權的。
「所有人」許可權與普通用戶組許可權差不多，它的存在是為了讓用戶能訪問被標記為「公有」的文件，這也是一些程序正常運行需要的訪問許可權——任何人都能正常訪問被賦予「Everyone」許可權的文件，包括來賓組成員。
被標記為「創建者」許可權的文件只有建立文件的那個用戶才能訪問，做到了一定程度的隱私保護。
但是，所有的文件訪問許可權均可以被管理員組用戶和SYSTEM成員忽略，除非用戶使用了NTFS加密。
無論是普通許可權還是特殊許可權，它們都可以「疊加」使用，「疊加」就是指多個許可權共同使用，例如一個賬戶原本屬於Users組，而後我們把他加入Administrators組，那麼現在這個賬戶便同時擁有兩個許可權身份，而不是用管理員許可權去覆蓋原來身份。許可權疊加並不是沒有意義的，在一些需要特定身份訪問的場合，用戶只有為自己設置了指定的身份才能訪問，這個時候「疊加」的使用就能減輕一部分勞動量了。
3.NTFS與許可權
在前面我提到了NTFS文件系統，自己安裝過Win2000/XP的用戶應該會注意到安裝過程中出現的「轉換分區格式為NTFS」的選擇，那麼什麼是NTFS?
NTFS是一個特別為網路和磁碟配額、文件加密等管理安全特性設計的磁碟格式，只有使用NT技術的系統對它直接提供支持，也就是說，如果系統崩潰了，用戶將無法使用外面流行的普通光碟啟動工具修復系統，因此，是使用傳統的FAT32還是NTFS，一直是個倍受爭議的話題，但如果用戶要使用完全的系統許可權功能，或者要安裝作為伺服器使用，建議最好還是使用NTFS分區格式。
與FAT32分區相比，NTFS分區多了一個「安全」特性，在裡面，用戶可以進一步設置相關的文件訪問許可權，而且前面提到的相關用戶組指派的文件許可權也只有在NTFS格式分區上才能體現出來。例如，來賓組的用戶再也不能隨便訪問到NTFS格式分區的任意一個文件了，這樣可以減少系統遭受一般由網站伺服器帶來的入侵損失，因為IIS賬戶對系統的訪問許可權僅僅是來賓級別而已，如果入侵者不能提升許可權，那麼他這次的入侵可以算是白忙了。
使用NTFS分區的時候，用戶才會察覺到系統給管理員組用戶設定的限制:一些文件即使是管理員也無法訪問，因為它是SYSTEM成員建立的，並且設定了許可權。
但是NTFS系統會帶來一個眾所周知的安全隱患:NTFS支持一種被稱為「交換數據流」(AlternateDataStream，ADs)的存儲特性，原意是為了和Macintosh的HFS文件系統兼容而設計的，使用這種技術可以在一個文件資源里寫入相關數據(並不是寫入文件中)，而且寫進去的數據可以使用很簡單的方法把它提取出來作為一個獨立文件讀取，甚至執行，這就給入侵者提供了一個可?/ca>

6. 怎麼設置SQL資料庫用戶許可權

-- sqlserver：一、操作步驟
1.
首先進入資料庫級別的【安全性】-【登錄名】-【新建登錄名】
（圖1：新建登錄名）
2.
在【常規】選項卡中，如下圖所示，創建登陸名，並設置默認的資料庫。
（圖2：設置選項）
3.
在【用戶映射】選項卡中，如下圖所示，勾選需要設置的資料庫，並設置【架構】，點擊【確認】按鈕，完成創建用戶的操作
（圖3：選擇對應資料庫）
4.
現在我們就可以對testlog資料庫中的user表進行許可權的設置了，【表】-【
屬性】
（圖4：選擇對應表）
5.
在【許可權】選項卡中，如下圖所示，依此點擊【添加】-【瀏覽】-【選擇對象】
（圖5：設置訪問表的用戶）
6.
在上面點擊【確認】後，我們就可以下面的列表中找到對應的許可權，如果你還想細化到列的許可權的話，右下角還有一個【列許可權】的按鈕可以進行設置，點擊【確認】按鈕就完成了這些許可權的設置了
（圖6：許可權列表）
7.
現在就使用testuser用戶登陸資料庫了，登陸後如下圖所示，現在只能看到一個表了
（圖7：效果）
二、注意事項
1.
在上面的第3步驟中需要注意：如果這里沒有選擇對應的資料庫的話，之後去testlog資料庫中是找不到testuser。
（圖8：找不到testuser用戶）
2.
在上面的第3步驟，設置完testlog數據後，需要點擊【確認】按鈕，完成創建用戶操作，如果這個時候去設置【安全對象】，是無法在【添加】-【特定對象】-【對象類型】-【登陸名】-【瀏覽】中找到剛剛新建的testuser用戶的。
3.
其實在資料庫級別的【安全性】創建的用戶是屬於全局的，當設置了某個資料庫，比如testlog之後，這個用戶就會出現在這個資料庫的【安全性】列表中。
如果刪除testlog這個用戶，會出現下面的提示。刪除了後，這個用戶就無法登陸了。需要去對應的資料庫中刪除用戶，如果沒有刪除又創建，是會報錯的。
（圖9：刪除testuser用戶）
4.
在第6步的【顯式許可權】列表中，如果選擇了【control】這個選項，那麼在【select】中設置查詢【列許可權】就沒有意義了，查詢就不會受限制了。如果設置【列許可權】，在正常情況下會顯示下圖的報錯信息：
（圖10：效果）
5.
在testlog資料庫的【安全性】-【testuser】-【屬性】-【安全對象】-【添加】-【對象類型】這里有更多關於資料庫級別的一些對象類型可以設置。
（圖11：其它對象類型）

7. 電腦的用戶賬戶，怎麼由受限賬戶改為計算機管理員啊

步驟一：打開電腦——開始鍵——控制面板
找到用戶賬戶——認識用戶賬戶
1、計算機管理員帳戶

計算機管理員帳戶是專門為可以對計算機進行全系統更改、安裝程序和訪問計算機 上所有文件的人而設置的。只有擁有計算機管理員帳戶的人才擁有對計算機上其他用戶的完全訪 問權。該帳戶具有的特點：
①可以創建和刪除計算機上的用戶。
②可以為計算機上其他用戶帳戶創建帳戶密碼。 可以更改其他人的帳戶名、圖片、密碼和帳戶類型。

2、受限制帳戶
當多人共用一台計算機時，你的計算機中的內容有可能被其他人意外更改，而使用受限制帳戶，可以防止別人對你的計算機中的內容進行更改。受限制帳戶具有：

①無法安裝軟體或硬體，但可以訪問已經安裝在計算機上的程序。
②可以更改其帳戶圖片，還可以創建、更改或刪除其密碼。
③無法更改其帳戶名或者帳戶類型。

3、來賓帳戶
來賓帳戶是共那些在計算機上沒有用戶帳戶的人使用的。來賓帳戶沒有密碼，所以可以快速登陸，以檢查電子郵件或者瀏覽Internet。該帳戶的特點：
①無法安裝軟體，但可以訪問已經安裝在計算機上的程序。
②無法更改來賓帳戶類型。
③無法更改來賓帳戶圖片。
建立賬戶
在此只做一個管理員的示例：（其他的大家自己可以試著嘗試一下！）

進入用戶賬戶——點擊創建賬戶
進入輸入你創建賬戶的名稱—點擊下一步

設置此賬戶的許可權：1、計算機管理員 2、 受限

這樣我們的新賬戶就創建好了，我們點擊進去
點擊更改我的密碼（初次設置的話直接輸入密碼即可）

具體步驟：
①進入Windows XP後，選擇「開始-控制面板」，雙擊「用戶帳戶」，打開「用戶帳戶」對話框。
②選擇「創建一個新用戶」，為新帳戶取一個名稱（如AAA）後，單擊「下一步」，為新用戶挑選帳戶類型。 提示：帳戶類型有計算機管理員和受限兩種，可以根據需要確定新用戶的帳戶類型。
③選擇「計算機管理員」，並選擇「創建帳戶」選項，即完成了帳戶的添加。如果還需要對新帳戶進行修改，可選擇「上一步」返回進行修改。

8. windows不能登錄因為不能載入您的配置文件，請檢查您是否連接到網路。

原因：

"C:DocumentsandSettings此文件夾沒有足夠許可權。

解決方法：

1、添加NETWORKSERVICE對此文件夾的完全控制許可權，重啟測試。

2、開始運行mmc-添加安全配置與分析-右鍵點擊打開資料庫(任意名稱)提示導入模板(拷貝以下文件為.inf格式)--保存日誌-立即配置計算機。

9. 我的電腦現在的用戶是受限制的，我要怎麼樣才能用管理員的身份登陸呢而且管理員的賬號好像是中文的！

隨便找的：
秘訣1：大家知道，WindowsXP的密碼存放在系統所在的Winnt\System32\Config下SAM文件中，SAM文件即賬號密碼資料庫文件。當我們登錄系統的時候，系統會自動地和Config中的SAM自動校對，如發現此次密碼和用戶名全與SAM文件中的加密數據符合時，你就會順利登錄;如果錯誤則無法登錄。既然如此，我們的第一個方法就產生了：刪除SAM文件來恢復密碼。別說你找不到這個文件，它可是隱藏的。

如果你不用管本來系統卡包含的任意賬號，而且有兩個操作系統的話，可以使用另外一個能訪問NTFS的操作系統啟動電腦，或者雖然沒有安裝兩個系統，但可以使用其他工具來訪問NTFS。然後刪除C：\WINNT\system32\config目錄下的SAM文件，重新啟動。這時，管理員Administrator賬號就沒有密碼了。當然，取下硬碟換到其他機器上來刪除SAM文件也算個好辦法。

小提示：WindowsNT/2000/XP中對用戶賬戶的安全管理使用了安全賬號管理器(Security AccountManager,SAM)的機制，安全賬號管理器對賬號的管理是通過安全標識進行的，安全標識在賬號創建時就同時創建，一旦賬號被刪除，安全標識也同時被刪除。安全標識是惟一的，即使是相同的用戶名，在每次創建時獲得的安全標識都是完全不同的。因此，一旦某個賬號被刪除，它的安全標識就不再存在了，即使用相同的用戶名重建賬號，也會被賦予不同的安全標識，不會保留原未的許可權。

安全賬號管理器的具體表現就是%SystemRoot%\system32\config\sam文件。SAM文件是WindowsNT/2000/XP的用戶賬戶資料庫，所有用戶的登錄名及口令等相關信息部會保存在這個文件中。

秘訣2：使用Off1ine NT Password & Registry Editor。用該軟體可以製作Linux啟動盤，這個啟動盤可以訪問NTFS文件系統，因此可以很好地支持Windows2000/XP。使用該軟盤中的一個運行在Linux的工具Ntpasswd就可以解決問題。並且可以讀取注冊表並重寫賬號密碼。使用的方法很簡單，只需根據其啟動後的提示一步一步做就可以了。在此，建議你使用快速模式，這樣會列出用戶供你選擇修改哪個用戶的密碼。默認選擇Admin組的用戶，自動找到把Administrator的名字換掉的用戶，十分方便。

秘訣3：使用Windows Key 5.0。該軟體包含在PasswareKit5.0中，用於恢復系統管理員的密碼，運行後生成3個文件：txtsetup.oem.winkey.sys和winkey.inf,3個文件一共才50KB,短小精悍。把這3個文件放到任何軟盤中，然後使用XP安裝光碟啟動電腦，啟動過程中按F6鍵讓系統安裝第三方的驅動程序。此時，正是我們切入的最好時機，放人該軟盤就會自動跳到WindowsKey的界面。它會強行把Administrator的密碼換成 "12345"，如此一來何愁大事不成?呵呵!當你重新啟動以後，你會被要求再次修改你的密碼。

秘訣4：使用NTFS DOS這個可以從DOS下寫NTFS分區的工具。用該軟體製作一個DOS啟動盤，然後到C;\Winnt\System32下將屏幕保護程序logon.scr改名，接著拷貝command.com到C：\Winnt\system32下(2000可以用cmd.exe),並將該文件改名為logon.scr。這樣啟動機器後等待5分鍾，本應該出現的屏幕保護現在變成了命令行模式，而且是具有Administrator許可權的，通過它就可以修改密碼或者添加新的管理員賬號了。改完後不要忘了把屏幕保護程序的名字改回去啊。下載地址：http：/www.cgsecurity.org/index.html?
假如能在Windows介面下改的話，更好了。我沒試，你自己試吧。

秘訣5：下面介紹一個比較與眾不同的方法。你可以在別的分區上再裝一個XP，硬碟分區格式要和原來的一樣，並且請你注意一定不要和原來的XP安裝在同一分區!在開始之前，一定要事先備份引導區MBR(Master Boot Record).備份MBR的方法有很多，可以自己編程，或使用工具軟體，如殺毒軟體KV3000等。裝完後用Administrator登錄，現在你對原來的XP就有絕對的寫許可權了。你可以把原來的SAM拷下來，用lOphtcrack得到原來的密碼。也可以把新安裝的XP的Winnt\System32\Config\下的所有文件覆蓋到C\Winnt\System32\Config目錄中(假設原來的XP安裝在這里)，然後用KV3000恢復以前備份的主引導區MBR，現在你就可以用Administrator身份登陸以前的XP了。

找了好久,目前發現這五種方法.

其它的比如:F8進帶命令行的安全模式,用Administrator名,空密碼登陸,再用命令行net user……,狗屁,這種人也稱忘了管理密碼的話,死去吧.

說到這里，為了防止你說不會用這個命令，做個示例吧：

鍵入命令：「net user zhangbq 123456 /add」，強制將「zhangbq」用戶的口令更改為「123456」。若想在此添加一新用戶（如：用戶名為abcdef，口令為123456）的話，請鍵入「net user abcdef 123456 /add」，添加後可用「net localgroup administrators abcdef /add」命令將用戶提升為系統管理組「administrators」的用戶，並使其具有超級許可權。

小提示：MBR俗稱"主引導區"，它的作用是讀取磁碟分區表(Partition Table)裡面所設定的活動分區 (Active Partition)，位於硬碟的柱面0、磁頭0、扇區1的位置，也即俗你的0磁軌位置。它是由分區命令fdisk產生的。MBR包括硬碟引導程序和分區表這兩部分。MBR結束標志為55AA，用殺毒軟體KV3000的F6功能即可查看，其默認畫面即為MBR。如果MBR找不到活動分區，就會在屏幕上顯示像Missing operating System等錯誤訊息，所以，如果你的WindowsXP無法正常開啟。而你又在屏幕上看到類似這樣的錯誤訊息，原因大多就是出在這里了。

10. sql server 還原資料庫時提示資料庫正在使用，無法進行操作的解決方法

這個問題的原因在於有用戶連接了當前要做還原的資料庫，這里的用戶甚至包括當前要做還原的用戶。解決辦法就是關閉與要還原資料庫的所有連接。
腳本之家小編推薦的一個方法：到服務裡面重啟下sqlserver服務即可。
問題一描述：SQL
Server資料庫備份還原後，在資料庫名稱後會出現「受限制訪問」字樣
問題二描述：在對SQL
Server資料庫進行還原時，提示：System.Data.SqlClient.SqlError:因為資料庫正在使用，所以無法獲得對資料庫的獨占訪問權。(Microsoft.SqlServer.Smo)。出現此問題的原因是在還原資料庫時，有其他用戶正在使用資料庫。還原資料庫要求資料庫工作在單用戶模式。通常就是DBA在操作時，不允許其他用戶連接資料庫。
問題一解決辦法：
右鍵點擊資料庫
->
屬性
->
選項
->
狀態
->
限制訪問
->
選擇Multiple
->
確定。
問題二解決辦法：
方法一（最方便）：右鍵點擊資料庫
->
屬性
->
選項
->
狀態
->
限制訪問
->
選擇Single->
確定。然後還原。
方法二（最直接）：斷開資料庫連接
方法三（最暴力）：注銷/重啟資料庫伺服器
方法四（最麻煩）：寫代碼修改資料庫相關屬性，雖然麻煩，有的時候還是要用到，那就用到的時候再研究。
①先切換資料庫到master資料庫。執行語句
select
*
from
master..sysprocesses
where
dbid=db_id(
'資料庫名稱')
②然後逐步運行語句
exec
kill
spid(上一步結果集中的數據),
問題就解決了。哈哈
今天在還原資料庫的時候，提示"因為資料庫正在使用，所以無法獲得對資料庫的獨占訪問權"，無論我是重啟資料庫，還是重啟計算機，都不能解決問題，多番嘗試後，終於解決了該問題。現將引發該問題的原因與解決方案寫出來，有不對的地方歡迎大家提出來。
引發原因：是因為我在還原資料庫的時候，還有其他的用戶正在使用資料庫，所以就會出現以上提示。
解決方法：
1,設置資料庫在單用戶模式下工作。
設置方法：在需要還原的資料庫上右擊，在右鍵菜單命令上選擇"屬性"-
>"選項"-
>"狀態"-
>"限制訪問"-
>"Single"。這是SQLSERVER2005的菜單命令，其它版本請自己查找。
2,利用SQL語句，殺死正在使用該資料庫的所有進程，自己以前在做一個SQL
SERVER操作小工具的時候有寫過該功能的SQL，貼出來供大家參考：
復制代碼
代碼如下:
declare
@dbname
varchar(50)
set
@dbname='資料庫名稱'
declare
@sql
varchar(50)
declare
cs_result
cursor
local
for
select
'kill
'+cast(spid
as
varchar(50))
from
sys.sysprocesses
where
db_name(dbid)=@dbname
open
cs_result
fetch
next
from
cs_result
into
@sql
while
@@fetch_status=0
begin

execute(@sql)

fetch
next
from
cs_result
into
@sql
end
close
cs_result
deallocate
cs_result
該SQL語句利用游標循環所有正在使用該資料庫的進程，並通過kill命令殺死進程。
3,利用SQL語句,斷開所有用戶鏈接，並回滾所有事務，具體SQL語句如下：
復制代碼
代碼如下:
ALTER
DATABASE
[資料庫名稱]
SET
OFFLINE
WITH
ROLLBACK
IMMEDIATE
注意:在使用方法2與3時，不要在需要的還原的資料庫下執行，建議在master資料庫下面執行。