Win10 用户、组与内置安全主体概念详解

一、‌用户（User）‌

‌定义‌

用户是操作系统中的身份标识，用于区分不同操作者并控制资源访问权限。每个用户拥有独立的安全标识符（SID）‌。

‌分类‌

‌内置用户‌：
‌Administrator‌：系统管理员账户，拥有最高权限（默认禁用，需手动启用）‌。
‌Guest‌：来宾账户，权限极低，仅允许临时访问（默认禁用）‌。
‌系统用户‌：
‌SYSTEM‌：系统服务或进程的运行账户，权限高于管理员‌。
‌Local Service/Network Service‌：用于管理本地或网络服务的低权限账户‌。

二、‌组（Group）‌

‌定义‌

组是用户账户的集合，通过集中分配权限简化管理。组的权限由其成员继承‌。

‌常见内置组‌

‌Administrators‌：管理员组，成员拥有系统控制权‌。
‌Users‌：普通用户组，权限受限‌。
‌Guests‌：来宾用户组，权限最低‌。

三、‌内置安全主体（Built-in Security Principals）‌

‌定义‌

安全主体是系统预定义的特殊身份标识，用于描述一类操作场景下的访问权限需求，包括用户、组或计算机‌。

‌核心类型‌

‌Authenticated Users‌：所有通过系统验证的用户（不包括匿名用户）‌。
‌Everyone‌：涵盖所有用户（含匿名用户和来宾账户）‌。
‌Network‌：通过网络访问资源的用户‌。
‌Interactive‌：直接登录本机的用户‌。
‌Anonymous Logon‌：未经验证的匿名用户（如匿名访问网页）‌。

‌作用‌

通过赋予安全主体权限，实现灵活的资源访问控制（如限制网络用户仅可读取共享文件）‌。

四、‌安全标识符（SID）‌

‌定义‌

SID 是唯一标识用户、组或安全主体的字符串，格式如 S-1-5-21-...，确保全局唯一性‌。

‌特性‌

不可重复使用：删除用户后，其 SID 不会分配给新用户‌。
权限关联：系统通过 SID 匹配用户/组的权限设置‌。

五、‌关系与应用‌

‌权限分配逻辑‌

用户通过所属组或安全主体继承权限（如将用户加入 Administrators 组即赋予管理员权限）‌。
系统进程（如服务）使用 SYSTEM 或 Network Service 账户运行，确保权限隔离‌。

‌典型场景‌

‌共享文件夹‌：限制 Network 安全主体仅允许读取，禁止写入‌。
‌服务配置‌：将服务运行账户设为 Local Service，降低权限风险‌。

附：关键操作示例
‌查看用户 SID‌：
命令行执行 whoami /user，显示当前用户 SID‌。
‌管理内置安全主体‌：
在文件/文件夹的“安全”选项卡中添加 Authenticated Users 或 Network 主体并设置权限‌。