默认情况下Administrator中的用户对计算机 / 域有不受限制的完全访问权，功能有：

①管理文件：Windows系统中，系统磁盘中的文件只能由Administrators组的账户进行更改

②更改系统安全设置：安装新的功能、更改计算机网络设置、对服务器选项进行设置，这些操作都需要Administraotors组中的用户进行操作。如果用户的权限不够，选择管理员用户进行操作。

默认情况下，Adminiistrator账户处于禁用状态 当它处于请用状态时，Administrator账户具有对计算机的完全控制权限，并根据需要向用户分配权力和访问控制权限，该账户必须仅用于需要管理凭据任务 强烈建议Administrator设置为强密码 永远不可以从管理员组删除Adminsitrator账户，但是可以重命名或禁用该账户

提供给没有用户帐户但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。

①通常这个账户没有修改系统设置和进行安装程序的权限；

②也没有创建修改任何文档的权限，只能读取计算机系统信息和文件 在windows系统中，Guest账户被任务是不安全的权限账户。

③默认情况下禁用Guest用户。而且此账户默认为Guests组成员，改组允许用户登陆计算机，其他权力及任何权限都必须由管理员组中的用户成员给与Guests组

组内的用户具备比Users组更多的权利，但是比Administrators组拥有的权利更少一些，例如，可以：创建、删除、更改本地用户帐户；创建、删除、管理本地计算机内的共享文件夹与共享打印机；自定义系统设置，例如更改计算机时间、关闭计算机等。

①不可以更改Administrators；

②无法夺取文件的所有权；

③无法备份与还原文件；

④无法安装删除与删除设备驱动程序；

⑤无法管理安全与审核日志。

Users组账户权限低于Adiministraotrs组的账户，但高于Guests组账户。

①Users组用户可以进入“网络和共享中心”，并查看网络连接状态，但无法修改连接属性；

②Users组用户也无法关闭防火墙；

③Users组用户无法安装软件；

④Users组用户也无法对该用户文件夹以为的C盘进行修改。

组内的成员拥有远程桌面登录的权限；默认Administrators组内的成员都拥有远程桌面的权限 。

Remote Desktop Users组的作用就是保障远程桌面服务的安全运行，一旦赋予Administrator组远程桌面的权限，就像是为入侵者省略了提权的步骤。相对于改变用户组权限，将需要连接远程桌面的用户分到Remote Desktop Users组中是一中更加安全的方式

访问控制项ACE，是指访问控制实体，用于指定特定用户/组的访问权限，是权限控制的最小单位。

①完全控制：对文件或者文件夹可执行所有操作；

②修改：可以修改、删除文件或文件夹；

③读取和执行：可以读取内容，并且可以执行应用程序；

④列出文件夹目录：可以列出文件夹内容，此权限只针对文件夹存在，文件无此权限；

⑤读取：可以读取文件或者文件夹的内容；

⑥写入：可以创建文件或者文件夹；

⑦特别的权限：其他不常用的权限，比如删除权限的权限；

文件夹的NTFS权限 (文件夹内的文件或文件夹会默认继承上一级目录的权限)。

①完全控制：对文件或者文件夹可执行所有操作

②修改：可以修改、删除文件或文件夹

③读取和执行：可以读取内容，并且可以执行应用程序

④读取：可以读取文件的内容

⑤写入：可以修改文件的内容

⑥特殊权限：其他不常用的权限，比如删除权限的权限

SID的说明：

    安全标识符是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。

SID的作用：

    用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给 Windows NT，然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，Windows NT将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。