为保护计算机及其资源，必须确定用户或组可以执行的任务和操作。用户或组可以执行的任务和操作，是由为他们指派的href="HELP=glossary.hlp TOPIC=GLS_user_rights">用户权利决定的。例如，如果需要 Users 组的某个受信任的成员监视安全日志，那么可以授予该用户“管理审核和安全日志”的用户权限，而不要将该用户添加到权限更高的组（如 Administrators 组）中。同样，可以通过指派href="HELP=glossary.hlp TOPIC=GLS_access_permission">权限来保护对象，如文件或文件夹。

一些最常见的任务有href="MS-ITS:ctasks.chm::/ctasks025.htm#URA_local">指派本地计算机上的用户权利、id=specLoc
href="MS-ITS:ctasks.chm::/ctasks025.htm#URA_domain">指派组织范围内的用户权利以及id=specLoc
href="MS-ITS:ctasks.chm::/ctasks025.htm#perm">设置文件和文件夹的权限。有关设置用户和组安全的其他任务的详细信息，请参阅id=specLoc href="MS-ITS:aclui.chm::/acl_how_to_node.htm">如何。

指派本地计算机上的用户权利

1. 打开 href="EXEC=,secpol.msc CHM=UAShared.chm FILE=alt_url_windows_component.htm">class=shortcut
   src="ms-its:c:\windows\help\UAshared.chm::/shortcutCold.gif">class=space>本地安全设置。
   
2. 在控制台树中，单击“用户权限分配”。
      

   href="#">src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">位置

   
      
   
      

   style="LIST-STYLE-IMAGE: url(ms-its:c:\windows\help\UAshared.chm::/elle.gif)">
        
   • 安全设置
          
   • 本地策略
          
   • 用户权限分配
   
      

   
      
   
   
3. 在详细信息窗格中，双击要修改的用户权利。
   
4. 执行以下任一操作，然后单击“确定”。
      
   
      
   • 要添加用户或组，请单击“添加用户或组”。在“选择用户或组”中，键入要添加的用户名或组名，然后单击“确定”。
        
   • 要删除用户或组，请在列表中选择用户或组，然后单击“删除”。
   
      
   
   

src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意

• 要执行该过程，您必须是本地计算机 href="MS-ITS:C:\WINDOWS\Help\localsec.chm::/lsm_local_groups.htm#administrators_bkmrk">Administrators 组的成员，或者您必须被href="ms-its:C:\WINDOWS\Help\ctasks.chm::/help=glossary.hlp topic=gls_delegation">委派适当的权限。如果将计算机加入域，id=specloc
  href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/sag_adgroups_9builtin_intro.htm#domain_admins_bkmrk">Domain Admins 组的成员可能也可以执行这个过程。作为安全性的最佳操作，可以考虑使用href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/ad_runas.htm">运行方式来执行这个过程。class=anything id=para10>
  
• 要打开“本地安全设置”，请单击“开始”，指向“设置”，然后单击“控制面板”。双击“管理工具”，然后双击“本地安全策略”。class=anything id=localsec>

指派组织范围内的用户权利

1. 打开 href="EXEC=,dsa.msc CHM=UAShared.chm FILE=alt_url_windows_component.htm">class=shortcut
   src="ms-its:c:\windows\help\UAshared.chm::/shortcutCold.gif">class=space>Active Directory 用户和计算机。
   
2. 在控制台树中，右键单击要编辑其安全设置的组策略对象。
   
3. 单击“属性”，然后单击“组策略”选项卡。
   
4. 单击“编辑”打开要编辑的组策略对象。或者，单击“新建”创建新的组策略对象，然后单击“编辑”。
   
5. 在控制台树中，单击“用户权限分配”。
      

   href="#">src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">位置

   
      
   
      

   style="LIST-STYLE-IMAGE: url(ms-its:c:\windows\help\UAshared.chm::/elle.gif)">
        
   • 组策略对象 [计算机名] 策略
          
   • 计算机配置
          
   • Windows 设置
          
   • 安全设置
          
   • 本地策略
          
   • 用户权限分配
   
      

   
      
   
   
6. 在详细信息窗格中，双击要修改的用户权利。
   
7. 如果尚未定义此安全设置，请选中“定义这些策略设置”复选框。
   
8. 执行以下任一操作，然后单击“确定”。
      
   
      
   • 要添加用户或组，请单击“添加用户或组”。在“选择用户或组”中，键入要添加的用户名或组名，然后单击“确定”。
        
   • 要删除用户或组，请在列表中选择用户或组，然后单击“删除”。
   
      
   
   

src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意

• 若要执行此过程，您必须是 Active Directory 中 href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/sag_adgroups_9builtin_intro.htm#domain_admins_bkmrk">Domain Admins 组或 href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/sag_adgroups_9builtin_intro.htm#enterprise_admins_bkmrk">Enterprise Admins 组的成员，或者您必须被href="ms-its:C:\WINDOWS\Help\ctasks.chm::/help=glossary.hlp topic=gls_delegation">委派了适当的权限。作为安全性的最佳操作，可以考虑使用id=specloc
  href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/ad_runas.htm">运行方式来执行这个过程。class=anything id=AD_Domain_Admins_withEA>
  
• 要打开“Active Directory 用户和计算机”，请单击“开始”，指向“设置”，然后单击“控制面板”，双击“管理工具”，再双击“Active Directory 用户和计算机”。class=anything id=ADConcepts1>
  
• 如果位于已加入到域的服务器或工作站上，则可打开“Active Directory 用户和计算机”，方法是单击“开始”、“运行”，键入 mmc，然后单击“确定”。单击“文件”菜单上的“添加/删除管理单元”，单击“添加”，双击“Active Directory 用户和计算机”，单击“关闭”，然后单击“确定”。
  
• 在将新建策略应用于网络之前，请总是先在测试性组织单位上对其进行测试。
  
• 更改了安全设置并单击了“确定”后，这些设置将在下一次刷新设置时生效。
  
• 在工作站或服务器上，每 90 分钟刷新一次安全设置；在域控制器上，每 5 分钟刷新一次安全设置。不管是否进行更改，安全设置都是每 16 小时刷新一次。

要设置、查看、更改或删除文件和文件夹的权限

1. 打开 href="EXEC=ExploreWClass,explorer.scf CHM=UAShared.chm FILE=alt_url_windows_component.htm">class=shortcut
   src="ms-its:c:\windows\help\UAshared.chm::/shortcutCold.gif">class=space>Windows 资源管理器。
   
2. 右键单击要为其设置权限的文件或文件夹，接着单击“属性”，然后单击“安全”选项卡。
   
3. 执行下列步骤之一：
      
   
      
   • 若要为未显示在“组或用户名称”框中的组或用户设置权限，请单击“添加”。键入要为其设置权限的组或用户的名称，然后单击“确定”。
        
   • 要更改或删除现有组或用户的权限，请单击该组或用户的名称。
   
      
   
   
4. 执行下列步骤之一：
      
   
      
   • 要允许或拒绝某一权限，请在“用户或组的权限”框中，选中有关的“允许”或“拒绝”复选框。
        
   • 要从“组或用户名称”框中删除组或用户，请单击“删除”。
   
      
   
   

src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意

• 要打开“Windows 资源管理器”，请单击“开始”，依次指向“程序”、“附件”，然后单击“Windows 资源管理器”。class=anything id=para15>
  
• 在 Windows Server 2003 家族中，Everyone 组不再包括“匿名登录”。
  
• 只能在使用 href="HELP=glossary.hlp TOPIC=GLS_NTFS">NTFS 格式化的驱动器上设置文件和文件夹权限。
  
• 如果“用户或组的权限”下的复选框为灰色，或者“删除”按钮不可用，则表明文件或文件夹已继承了其href="HELP=glossary.hlp TOPIC=gls_parent_object">父文件夹的权限。详细信息，请参阅id=specLoc
  href="MS-ITS:aclui.chm::/acl_inherit_permissions.htm">继承如何影响文件和文件夹的权限。
  
• 添加新用户或新组后，默认情况下该用户或组将具有“读取和运行”、“列出文件夹内容”和“读取”的权限。