1.关于操作系统的中用户的问题!!

电脑如何分类管理软件,电脑系统如何分级管理员

 管理员一般是指负责一定系统或者软件的维护或管理更新的实际个人或帐号,也有的是专门管理违反原则的。下面就是我整理的it管理员的工作内容,一起来看一下吧。

  职业分类

 网络管理员 是指向社会公众开放的营业性上网服务提供场所里的管理员。“网管”是个很模糊的概念,可以简单划分为:

 网络管理员:负责网络架构设计、安装、配置,主要人员为大多数系统集成公司的员工。

 系统管理员:负责网络服务器的安装、配置、运行,主要人员为大型公司IT总部系统管理员。

 客户端管理员(桌面支持):负责解决最终用户的问题,比如客户端重装,解决不能上网,机器有病毒等问题,主要人员为小型公司IT管理员和网吧网管。

  岗位职责

  基础设施管理

 (1)确保网络通信传输畅通;

 (2)掌握主干设备的配置情况及配置参数变更情况,备份各个设备的配置文件;

 (3)对运行关键业务网络的主干设备配备相应的备份设备,并配置为热后备设备;

 (4)负责网络布线配线架的管理,确保配线的合理有序;

 (5)掌握用户端设备接入网络的情况,以便发现问题时可迅速定位;

 (6)采取技术措施,对网络内经常出现的用户需要变更位置和部门的情况进行管理;

 (7)掌握与外部网络的连接配置,监督网络通信状况,发现问题后与有关机构及时联系;

 (8)实时监控整个局域网的运转和网络通信流量情况;

 (9)制定、发布网络基础设施使用管理办法并监督执行情况。

  操作系统管理

 (1)在网络操作系统配置完成并投入正常运网络服务器

 行后,为了确保网络操作系统工作正常,网络管理员首先应该能够熟练的利用系统提供的各种管理工具软件,实时监督系统的运转情况,及时发现故障征兆并进行处理。

 (2)在网络运行过程中,网络管理员应随时掌握网络系统配置情况及配置参数变更情况,对配置参数进行备份。网络管理员还应该做到随着系统环境的变化、业务发展需要和用户需求,动态调整系统配置参数,优化系统性能。

 (3)网络管理员应为关键的网络操作系统服务器建立热备份

 系统,做好防灾准备。

  应用系统管理

 (1) 确保各种网络应用服务运行的不间断性和工作性能的良好性,出现故障时应将故障造成的损失和影响控制在最小范围内。

 (2) 对于要求不可中断的关键型网络应用系统,除了在软件手段上要掌握、备份系统参数和定期备份系统业务数据外,必要时在硬件手段上还要建立和配置系统的热备份。

 (3) 对于用户访问频率高、系统负荷的网络应用服务,必要时网络管理员还应该采取分担的技术措施。

  用户服务管理

 (1) 用户的开户与撤销;

 (2) 用户组的设置与管理;

 (3) 用户可用服务与资源的的权限管理和配额管理;

 (4) 用户计费管理;

 (5) 包括用户桌面联网计算机的技术支持服务和用户技术培训服务的用户端支持服务。

  安全保密管理

 (1) 安全与保密是一个问题的两个方面,安全主要指防止外部对

 网络的攻击和入侵,保密主要指防止网络内部信息的泄漏。

 (2) 对于普通级别的网络,网络管理员的任务主要是配置管理好系统防火墙。为了能够及时发现和阻止网络黑客的攻击,可以加配入侵检测系统对关键服务提供安全保护。

 (3) 对于安全保密级别要求高的网络,网络管理员除了应该采取上述措施外,还应该配备网络安全漏洞扫描系统,并对关键的网络服务器采取容灾的技术手段。

 (4) 更严格的涉密计算机网络,还要求在物理上与外部公共计算机网络绝对隔离,对安置涉密网络计算机和网络主干设备的房间要采取安全措施,管理和控制人员的进出,对涉密网络用户的工作情况要进行全面的管理和监控。

  信息储备管理

 (1) 采取一切可能的技术手段和管理措施,保护网络中的信息安全。

 (2) 对于实时工作级别要求不高的系统和数据,最低限度网络管理员也应该进行定期手工操作备份。

 (3) 对于关键业务服务系统和实时性要求高的数据和信息,网络管理员应该建立存储备份系统,进行集中式的备份管理。

 (4) 最后将备份数据随时保存在安全地点更是非常重要。

  机房管理

 (1) 掌握机房数据通信电缆布线情况,在增减设备时确保布线合理,管理维护方便;

 (2) 掌管机房设备供电线路安排,在增减设备时注意负载的合理配置;

 (3) 管理网络机房的温度、湿度和通风状况,提供适合的工作环境;

 (4) 确保网络机房内各种设备的正常运转;

 (5) 确保网络机房符合防火安全要求,火警监测

  机 房

 系统工作正常,灭火措施有效;

 (6) 采取措施,在外部供电意外中断和恢复时,实现在无人值守情况下保证网络设备安全运行;

 (7) 保持机房整洁有序,按时记录网络机房运行日志,制定网络机房管理制度并监督执行。

  其它

 (1) 配合其它部门进行部门局域网络的建设,提出规划、标准。

 (2) 配合保卫部门,对网络不良行为进行取证。

 (3) 做到网络中心服务反馈工作,及时通报网络运行信息。

  职业定位

 首先,计算机网络管理员是一个“先存在而后有定义”的职业

 计算机网络管理员(简称网管员)是一个蓬勃发展的新兴职业,在短短的几年内,已成为绝大多数企业中必设的工作岗位,也成为众多年轻人向往的职业。而网管员同时也是一个“先存在而后进行定义”的职业,网管员职业标准的滞后以及传统教育的缺失,使得社

 学习材料

 会普遍对这个职业存在着很多疑惑,不管是求职者,还是用人单位都存在着如下的疑问:什么是合格的计算机网络管理员?一个计算机网络管理员需要从事什么样的具体工作?作为网络管理员必备的技能是什么?如何培养合格的计算机网络管理员?而对“网管员”从业人员来讲,如何获得相关知识和技能呢?

 其次,网管员要建立终身学习的理念

 终身学习是对传统教育的观念、体系、结构、组织的终结者。其价值理念源自当代社会知识爆炸和信息急剧增长的现状,已成为现代一种新的生活方式。传统知识教育中并没有针对网管员职业设置的专业,另外,注重理论的讲授无法满足强调动手能力的工作要求。从业人员只能通过在工作中不断地学习和探索来满足岗位的需求;而另一方面,IT技术无疑是这个时代发展最为迅猛的技术之一,其普及与应用的速度也是无与伦比。这就要求“网管员”必须建立终身学习的理念,通过参加培训、自学、交流等种种渠道学习和掌握最新、最实用的技术,构建和完善自身的技术体系。

 最后,什么是合格的计算机网络管理员?一个计算机网络管理员需要掌握哪些技能呢?

 依据企业的业务性质与规模不同,对网管员的工作要求也有较大的差异。IT信息系统规模大的企业,分工较细,网管员可能只需要负责计算机机房的网络运行和维护;而一些小型企业,只设一个网管员,他(她)可能不但要负责IT系统运行维护中的设备管理,还要负责网络管理和系统管理,还有的企业需要网管员进行一些简单的网站建设和网页制作等工作。

 总之,对网管员的要求基本就是大而全,不需要精通,但什么都得懂一些。所以,总结下来,一个合格的网络管理员最好在网络操作系统、网络数据库、网络设备、网络管理、网络安全、应用开发等六个方面具备扎实的理论知识和应用技能,才能在工作中做到得心应手,游刃有余。

  必备技能

 Sun Solaris 1操作系统认证网络管理员考试面向的是在联网环境

  网页示例

 中或网络方面具有三年以上管理Sun系统的考生必须已经通过了Sun认证系统管理员考试,才能参加这门考试。这门认证考试考察了考生是否深入掌握网络管理的技巧,比如在SA-3-S1课件中所覆盖的知识。考试包括多选题、情景题、拖放题,需要考生在 Solaris网络管理方面有比较宽的知识面,包括如何配置和管理网络接口层、网络(网际层和传输层)、网络应用和Solaris IP过滤器。

 Linux是目前最有竞争力的操作系统之一,中国政府已将发展Linux作为战略从而推动研发中国自主的操作系统。Turbolinux(中国)教育培训中心是国内首家正式开展Linux培训的机构,拥有一批高素质的Linux专家,他们不仅是Linux技术上的佼佼者,更擅长将深奥的`道理、复杂的概念以最易理解的方式讲解给学员。

 用户管理无论是UNIX还是NT,对于用户的管理都是居于第一位的,作为一个新手,首先必须立刻掌握对用户的增加和删除以及限制等操作。这包括两个方面:

 一个是学会使用友好的图形界面的管理工具集,在SUN Solaris系统中是Openwin环境下的/usr/bin/admintools工具集;在SCO UNIX中使用Sysadmsh管理Shell来管理用户;在Novell系统中,则只需使用Syscon菜单即可完成用户及用户组的添加、删除以及限制设置等等,多用户的同批管理,则使用makeusr和userdef实用程序来做;在NT中,则使用程序组中管理工具(公用)组下的域用户管理工具或用户管理工具。使用这些工具,就可以十分简单明了地进行用户的创建、删除以及锁定和权限限制等操作。在NT下用户组的管BIOS设置界面

 理和控制面板中的系统属性程序管理用户环境设置简要文件,使用System Policy Editor配置一个域范围的基于计算机或用户的配置以及编写登录脚本。

 二是学会字符命令行下的用户管理,主要在UNIX或Linux环境下,包括用编辑工具Vi、emacs等对/etc/passwd进行操作或直接使用addusr、deleusr等用户管理命令以及使用pwconv命令使/etc/passwd与shadow文件保持一致,使用SCO的/etc/rmuser命令删除用户,用newgrp命令将用户添加到新组,另外包括用户目录的建立命令mkdir,赋于用户属性和组属性命令chown和chgrp,以及用户区域限制命令quota限制用户区域大小,用来避免用户区域占用硬盘空间过大,而使系统崩溃。其中,特别提醒一点,如果想对用户权限进行严格限制时,用户的注册shell可使用/usr/lib/rsh。用户的.profile和.login文件可使用系统标准的配置文件,或者也可在.profile中进行相应设置,用SU命令或SU Username进入用户环境以进行具体检测。另外,对用户的消息发布系统,在NT中是使用Alert功能发出,对远程主机则使用Server Manager中的computer|send message功能。在Novell中采用send命令。在UNIX中是使用wall或write指令,也可使用每日消息文件/etc/motd或news命令发出/usr/new文件内容。

  安全及日志管理

 作为一个系统管理员,必须要能对系统事故找到故障原因,这就涉及到必须对系统的各项日志进行察看分析。在NT中是使用Administrative Tools菜单中Event Viewer查看系统的SYSTEM、SECURITY、APPLICATION日志文件。对Netware而言,错误日志是SYS$LOG.ERR文件,通过syscon菜单中supervisor options下view file server errorlog观察记录,另外文卷错误日志文件是各文卷中的VOL$LOG.LOG以及事务跟踪处理系统错误日志文件SYS:文卷中的TTS$LOG.ERR文件;UNIX中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件,可以采用who或w命令查看当前系统的登录使用者(XENIX系统中还可以用whodo命令确定当前用户的行为);last命令查看以前的登录情况,这些命令都可以合并使用grep进行条件控制选择过滤;用find查看文件及其属主,特别监控具有根访问权的进程及文件以及检查开机文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件,并用corntab -l 与corntab -r命令对用户的corntab文件进行列出与删除管理;使用ls -lR生成主检查表,并定期生成新表,使用diff命令进行比较,并使检查通过的新表成为新的主检查表,直到下一次检查为止。个人强烈建议在inetd.conf中注释掉所有的r打头的命令文件,以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件,使可信主机不予设立或为空以加强系统的安全。

  系统进程管理

 在UNIX中,系统报告命令包括df用来报告自由磁盘块数;du用来总结磁盘使用状况;nice用来改变某个命令所设优先权;Pstat用来报告系统信息,如节点表或进程表;sar用来报告系统的活动状态如CPU的使用和缓冲区的活动状况;time用来打印过去的时间、系统时间以及命令的执行时间;uptime用来报告系统的活动状况,如系统启动时间及已运行时间;vmsfat用来报告页数及系统统计数字,如分支点的情况。BSD UNIX中的ps -aux或system V中的ps -ef以及LINUX中的ps aux用来查看进程状态及其宿主,并使用kill命令及时停止不正常的进程。在NT中则使用Task Manager查看cpu和内存的使用情况,进行进程管理,另外也使用performance monitor进行状态监控,以及时做出调节。值得注意的是,随着网络应用的扩大,病毒成为对网络安全的一大威协。为此,在网络上安装病毒检测和清除工具已经成为网络管理必须要做的。

  备份管理

 作为一个较重要的系统,及时备份是必需的,那么在一开始就必须养成及时定时备份的习惯。掌握备份的基本方法和步骤,以及使用基本的备份还原命令,如:NT中使用管理工具集中的NTBackup程序。因在Backup中不存在调度能力,备份必须手工完成或用AT命令行实现调度;以及采用第三方的备份解决方案。UNIX中系统V使用tar、cpio以及backup、restor、rolcopy,BSD中则使用tar、dump、restor等等,SCO中使用sysadmin进行文件系统后备和恢复文件。备份还必须制定计划,指定何时进行何种备份,包括全集备份和递增备份,如可以每周做一次全集备份,每天进行一次递增备份,或者如系统不经常变化,则可每月一次全集备份,每周一次递增备份。 恢复与容错管理 当系统出现故障时,作为系统管理员必须能定位并解决问题,这依赖于对控制台出错信息以及日志文件的分析,更重要的是平日的备份以及应急系统盘的制备。对于NT而言,是建立系统引导盘、紧急修复盘等,并使用Disk Adminstrator建立镜像等RAID操作。对于UNIX而言,也依赖于系统安装盘与紧急修复盘的建立。特别地,系统做任何改动后,都要重新生成新的系统恢复盘,并进行同步备份和使用单用户模式来排除系统的绝大部分问题,即启动时使用boot -single命令,这是一个关键。当然,管理员的口令是绝对不能忘记的,否则,那会造成很麻烦,但对于管理人员而言,自己以及其它用户都加上口令的使用限制,如口令字长度和日期限制以及其它限制,是非常必要的。太过简单的口令往往会造成不安全的隐患。在容错上则还包括经常地运行各类维护系统命令,如超级块维护命令SYNC,文件系统检查命令fsck。

  内 存

 文件系统与开关机管理在所有的多用户系统中,由于广泛采用文件缓冲,使对文件的修改在内存进行之后再写入磁盘,内核程序定时刷新这些缓冲区,以保持文件与缓冲区间同步。因而,不终止系统就关机,往往会造成同步的破坏,而出现文件系统的错误。在NT中,使用启动菜单中的关闭系统选项来关闭系统;UNIX则采用shutdown、halt(haltsys)、reboot等命令。一般推荐使用shutdown加参数来关机或进入单用户备份状态,直到完成关机程序后,才能关闭电源,无论如何,这是必须牢记的。

 另外,在维护文件系统时,应经常运行超级块一致命令sync,文件系统检查及错误修改命令fsck,新建一个文件系统时使用mkfs命令,系统V的fsstat将报告文件系统的状态,以及设备管理命令mount、umount。 NOVELL中采用FILER菜单管理文件服务器的文件系统。

  网络管理

 网络管理,包括对E-mail、DNS以及WWW的调试。对于E-mail而言,是使用sendmail -bt -C filename进行,或先mail user,再telnet host 11,通过user username;pass passwd;list;retr *;quit等pop3命令进行调试。对于DNS,则使用nslookup命令进行域名解析,看能否正确解析出IP地址。对于WWW,则是通过浏览器进行检查。另外是察看~/httpd/下的浏览日志,对于NT而言,则通过管理工具下的server manager察看各服务程序是否正常运行,其余检测步骤则与UNIX系统相同,只是不使用sendmail命令,而采用telnet host 25,用helo host,send from:< yourname@hostname >,rcpt to:< username@hostname >,data,messagebody,“.”,exit等smtp命令进行检测,POP3命令都相同。

 WWW的管理则直接通过http形式的在线管理方式进行,操作简易明了,应该不会有什么问题。 另外,在网络日常管理中,则包括使用ping察看网络连接状态,netstat察看协议统计数据和当前网络的连接状态,ifconfig进行网络接口设置,tracert进行路由状态监察。对NT系统而言,除以上命令外,还包括使用/winnt/system32/Regedit32来控制注册表,以及IPconfig察看IP设置,以及用与NT server配套的Network monitor进行网络负载和性能统计。Novell系统中则使用NETADMIN实用程序或图形界面的管理工具Netware Adminstrator来管理和规划网络,以及用monitor菜单监控本地服务器的各项状态。相对于UNIX的第三方工具集,能够作为管理者运行的网络管理软件主要有HP的OpenView、BAY的optivity、IBM 的Netview和SUN的SunNetManager。

  能力

 1:了解网络设计

 拥有丰富的网络设计知识,熟悉网络布线规范和施工规范,了解交换机、路由器、服务器等网络设备,掌握局域网基本技术和相关技术,规划设计包含路由的局域网络和广域网络,为中小型网络提供完全的解决方案。

 2:掌握网络施工

 掌握充分的网络基本知识,深入了解TCP/IP网络协议,独立完成路由器、交换机等网络设备的安装、连接、配置和操作,搭建多层交换的企业网络,实现网络互联和Internet连接。掌握网络软件工具的使用,迅速诊断、定位和排除网络故障,正确使用、保养和维护硬件设备。

 3:熟悉网络安全

 设计并实施完整的网络安全解决方案,以降低损失和被攻击风险。在Internet和局域网络中,路由器、交换机和应用程序,乃至管理不严格的安全设备,都可能成为遭受攻击的目标。网管必须全力以赴,加强戒备,以防止来自黑客、外来者甚至心怀不满的员工对信息安全、信息完整性以及日常业务操作的威胁。

 4:熟悉网络操作系统

 熟悉Windows和Linux操作系统,具备使用高级的Windows和Linux平台,为企业提供成功的设计、实施和管理商业解决方案的能力。

 5:了解Web数据库

 了解Web数据库的基本原理,能够围绕Web数据库系统开展实施与管理工作,实现对企业数据的综合应用。

 6:素质能力

 具有强烈的求知欲且能自学的能力,相关的计算机专业词汇英文阅读能力,动手能力,较强的应变能力,敏锐的观察能力和出色的分析判断能力。

  职业认证

 Sun Solaris 1操作系统认证网络管理员考试面向的是在联网环境中或网络方面具有三年以上管理Sun系统的考生。

 MCSA 认证是为那些在 Microsoft Windows 23 和 Windows、.NET Server 平台环境下对现有网络及系统进行实施、管理、故障排除等工作的专业人员而设计的。MCSA 执行职责包括安装并配置系统的部件,管理职责包括管理并维护系统。

 此外网络管理员认证还有中国国家软件等级考试认证(该证书除国内承认之外,尚有日本、韩国承认)、思科认证等。

 网管禁忌

 过于谨慎

 “安全先生”存在的全部意义就是防止任何不利于他的网络的事

 SUN Solaris系统登陆界面

 情发生。线路由承包商负责运营,机柜、配线架、路由器和UPS都由厂商负责安装,他所要负责的全部事情只是在他抽屉中放一个积满灰尘的鼠标球,这仅仅是为了满足“万一要用它作替换” 之需。 他避免冲突的方法是紧紧地锁住系统,以至于任何人或者发生任何事情都无法改变系统。有时这意味着用户能做的事情就只是登录和修改自己的密码,而密码每次使用后,都有可能失效。运行程序和编辑文件对用户来说太危险了,所以用户只能面对一个的登录界面和一台普通的桌面系统。 这类管理员多年来从未遇到过病毒的攻击,而且以后也不会遇到。他不仅在每个工作站的BIOS中禁用了USB插槽,并且BIOS也被设置了密码保护,就连插孔都用胶水封住了,来防止微小的数据会通过USB存储设备泄露出去。邮件服务器不允许安装任何其他的附件;如果网络线路发生了改变,工作站将不能启动;系统的硬件设备则已被固定,失去了设备的灵活性。如果有人试图打开机器的外壳,一个小的爆炸装置将使机器变得无法使用(同时可能还会损害操作者)。

 频繁更新网络

 不论你是否愿意他这样做,这类网络管理员都会通过远程控制,来管理应用程序和系统的升级。在每天工作结束时自动关闭你的工作站,而且你无法阻止他这样做,因为他把网络上的每个工作站都设置成“网络唤醒”模式。如果你确实想制止他的话,你必须把网线与你的工作站断开。下午5点下班时,你的计算机还是功能齐全的,但当第二天早上上班后,你会发现你的系统完全变成了另一个模样,你已经找不到你昨天使用过的任何程序了。

 工作死板

 这类管理员,可以经常在英国的行政事务部门碰到。如果你请求他稍微做一些例外的事情,他便会回答你:“那超出了我的工作职责之外”。

 试着在他值班的时候带一个USB存储设备到办公室并看看会内 存

 发生什么吧!如果在他不注意的时候把这个存储设备放到他的午餐包中,他甚至要对自己的失职进行处理。哪天他要是发现某台机器发出的电子邮件并不是与工作完全相关的,他就会认为这是不应该出现的工作事故。

 不考虑后果

 这类不考虑后果的管理员总是不停地试验各种新的补丁或升级程序系统日志文件

 。

 大多数明智的网络管理员在把新的解决方案应用到现有的系统中之前,都会在一个小的试验网络上做一下测试。但是,这类管理员却直接在现有的系统中操作,往往给用户的使用带来不必要的厌烦,这倒是和用户对频繁更新网络的管理员的反应有几分相像。不同的是,频繁更新网络的管理员一定会试图确保他的产品或升级行为真正有效,并且不会对网络和用户造成任何其它影响。

 视网络为私有

 正如名字所示,网络被该类管理员视为私有财产。任何有可能影响网络平稳运行的事情都会使他激动不已。你可能会认为这是件好事情,但是“私有财产者”做得有些过份了。他会保留详尽的日志来说明网络的性能达到了1%。但这是在几乎没有任何的网络资源分配给普通应用的情况下才能达到的。

 玩游戏

 这是危险的网络管理员中最稀少的类型,可能也是最友好的一类。

 他系统进程

 们过去常常大量地出现在学术界。通常网络上有足够的冗余空间,一些学生会利用它们进行论文或者研究工作。但是,在这些冗余空间的主要功能却是为学校中负责IT设备的管理人员提供了一个游戏平台。 大多数网络资源只提供给那些以“管理员”身份登录的人, 这些人会定期在网上联机对战,在游戏中他们以各种富于高度想象力的手段使对方从网络上消失。今天,由于廉价的小路由器和交换机唾手可得,这些人也可以在家中进行游戏。经过了在机房的一天工作后,没有什么比在网络世界进行几小时的游戏更能令他们感到放松的了。

 网络管理员待遇

 进入企业,一般在4以上;学习全面的知识,成为高级网络管理员,工资达7以上;做了部门主管或经理,还可以高达8或以上;如果自己不断提升,成为专业的网络工程师人才,薪水达12以上没有问题,比如网络存储工程师、网络安全工程师、中高级运营工程师。其实通过这个事例可以看出,只要通过培训掌握扎实的技术和优良的职业素质,拿高薪不成问题。

关于操作系统的中用户的问题!!

1.右键单击桌面上的计算机图标。

2.在弹出的子菜单中点击管理。

3.在管理界面中点击本地用户和组前面的加号,然后点击用户。

4.在用户的界面中右键单击Administrator,然后点击属性。

5.在弹出的界面中将账户已禁用前面的勾去掉。

6.点击应用,然后点击确定,即可进入管理员模式。

分类: 电脑/网络 >> 操作系统/系统故障

问题描述:

请问 计算机管理员 和普通用户有什么区别!为什么在创建新用户时让你选则类型!!

解析:

是有区别 计算机管理员拥有最高权限 普通用户在执行一些操作的时候会被禁止 比如安装杀毒软件什么的

首先,让我们定义一些名词术语,为了简单起见,我们仅仅描述两种类型的用户:Administrator(系统管理员)和User(普通用户)。他们在本质上区别于分别属于“Administrators”和“Users”两种本地组。“Administrators”可以有对计算机或者域完全的和不受限制的访问能力。而普通用户则不能随便或有目的地进行系统级别的操作,比如安装程序,启动/停止系统服务,修改注册表信息等

我们的讨论缩减成两种类型的用户并非毫无理由的选择。事实上,这是Windows XP家庭版精确地区分用户的两种类型,默认情况下,XP Home Edition只能创建这两种类型的用户,Administrator(计算机管理员)和User(普通用户)。在这个区分之下,XP家庭版的计算机管理员和普通用户分别是Administrators组成员和Users组成员。除此之外,如“Power Users”或者“Backup Operators”中的组成员和管理员在权限上是可以说是等价的。所以当我说到以非管理员身份运行程序时,我并非意味着使用Power User替代。

言归正传,如果你是一个允许(或者需要)可以管理你自己计算机的管理员,为什么不始终以管理员的身份登录呢?我们来做个假设,如果你是一个外科医生,你是否愿意总是拿着锋利的解剖刀,拟或宁愿放在一个安全的地方,等到真的需要的时候才用?你觉得这个比喻是否恰当?ok,那我们现在跳过这个比喻,下面我们给出三个不使用管理员身份运行程序的理由。

以非管理员身份运行的首要原因是为了防止暴露。当你是admin身份时,你运行的每一个程序将可以没有限制地访问计算机。如果一个恶意的或者其他“不受欢迎”的代码利用了这些程序,同样地它也可以没有限制地访问计算机。企业防火墙只能针对Inter的恶意攻击提供局部的保护:你依旧在浏览网站,接收Email,或者运行一个或者多个IM(即时通信)软件或者网络游戏。即使你使用了最新的安全补丁和病毒库,增强了安全设置,并且小心翼翼地处理电子邮件的附件,可还是防不胜防。我们假设你使用喜好的搜索引擎搜索并点击了一个看起来挺正常的链接,然而这个链接指向了一个针对你正在使用的浏览器漏洞的恶意站点,而且站点上有一个可以导致在你机器上执行任意代码的Exploit。当一个Exploit以管理员的特权运行,相对于只是User权限来说,它便对你计算机的危害越大,也越不容易被侦测出来,攻击其他在你网络上的计算机的可能性就越高。如果Exploit在编写的时候恰巧由于编写者的原因而不得不使用管理员权限运行时(大多数Exploit都如此,详见后面第二点理由),如果我们以普通用户身份运行程序,则这个Exploit几乎没有什么威胁,但如果不幸运的你恰好也用了管理员的身份运行程序,那么这个Exploit就有可能带来以下危害:

安装内核级别的rootkits以及/或者键盘记录器(这种方式将很难被发觉)

安装和启动系统服务

安装ActiveX控件,包括IE和shell add-ins(通常附在Spyware和adware中)

访问本属于其他用户的数据

截获所有登录到这台机器的用户和密码

使用木马替换操作系统系统文件或者其他程序文件

访问LSA Secrets,包括其他敏感的账号信息,可能包括域用户账号的信息

禁用或者卸载反病毒软件,以避免被侦测出来

掩盖(删除)在事件日志中留下的痕迹

导致操作系统不能启动

如果你的账号恰好是网络上其他计算机的administrator账号,Exploit将同样会获得这些计算机的管理员权限

其他诸如此类的危害还有很多…

第二个以非管理员身份运行的原因适用于软件开发人员。开发中的软件以普通用户身份而非管理员身份运行有助于确保软件在最终用户的系统中正常地运行。千万别给我任何像Windows Messenger 4.x这样必须使用管理员身份安装的软件,当然,除非用户至少使用管理员权限运行这个软件一次,否则没有人可以使用这个软件。这还不单单是“任何用户使用前需要管理员运行一次”,Messenger确实需要管理员的特权来运行。Keith Brown即将出的书同样也深入地批评了这种观点,一些人认为开发人员应该以管理员登录的身份来开发程序,并使用普通用户的身份来测试程序,我不认为这是个好的主意,或许我会在今后的文章中逐渐让人接收这种观点。

第三个不使用管理员身份的理由是为微软的相关人员量身定制的。比如微软技术支持工程师,微软最有价值专家(MVP),特别是那些直接与微软客户沟通的职能角色。我们要做出榜样,人们都以我们为榜样,学习面对、解决Windows相关问题的正确方法。在Unix环境下,除了必要的操作外,Unix的管理员从来不使用Root身份登录。必要的时候就使用“su”命令进行二次登录,操作完后就退出到普通用户的模式。当我们总是习惯于使用root身份时,我们就不算是一个好的典范。对于这样的技术人员来说,你应该习惯于使用“User”的身份来操作计算机,并让你的客户和向你学习的人也了解这点。如果你这样做了,请不要再将自己的账号添加回Administrators组去。