提出问题
在实际生活中,牵涉到用户账户及权限的问题总是非常复杂,下文中会模拟一个相对单纯的应用场景:有一个三口之家,三人在家里共用一台电脑,同时假定一些单纯的问题:
问题一:孩子希望把自己的日记加密,防止父母偷看。
问题二:母亲在网上下载了一些文章,希望用最简单的办法让每个家庭成员登录系统后都可以查看。
问题三:父亲需要和母亲共享一些文件,而不希望孩子看到。
问题四:偶尔家里来了客人,如何保证客人上网娱乐,又降低其权限?
账户准备
上面这些问题都能够通过设置用户账户解决,首先大家需要给不同的家庭成员创建不同的账户,同时这些账户还需要设置权限。
首要问题是决定由谁来当管理员账户。因为管理员账户对系统有完全的控制权,因此他完全可以通过一些简单的手段就看别人所有文件(EFS加密的除外)。本例中将会把父亲的账户设置为管理员。同时创建母亲和孩子两个受限账户,另外再给客人创建一个受限账户。下面就来看看上述问题的解决办法。
文件如何加密
孩子经常自己用Word在电脑里写日记,但总担心父母趁自己不在的时候偷看日记。怎样才能让日记更加保密?将日记放到隐蔽的地方?别忘了,父亲是系统管理员!单纯的隐藏是靠不住的。直接用Word给.doc文件加密码?网上破解.doc文件密码的软件多的是。最稳妥最简单的方式就是调用EFS。
孩子使用自己的账户登录系统,然后打开我的电脑,找到日记文件夹,在文件夹的图标上点击鼠标右键,选择属性,打开属性对话框。接着在常规选项卡上点击高级按钮,打开如图1所示的高级属性对话框。在这里选中“加密内容以便保护数据”选项,然后点击确定。随后会出现一个确认属性更改对话框,在这里选择“将更改应用于该文件夹、子文件夹和文件”选项。最后如果该文件夹以及其中保存的文件在Windows资源管理器窗口中全部显示为绿色,表示这些文件已经被成功加密了。
图1 文件加密
这样做的好处不言而喻,孩子想要打开日记不会繁琐地输入密码,而父母想要打开EFS加密后的文档也绝无可能。
共享文档
没有搞错吧,一般在局域网的电脑之间才需要共享文件的,既然所有家庭成员都使用了同一台电脑,还有共享文件的必要吗?
其实这样的做法才是正规的。因为Windows xp为用户专门准备了一个保存用于和用于和本机其他账户共享文件的文件夹。打开我的电脑,看看名为“共享文档”的文件夹,这就是了。所有本机用户,无论账户类型是什么,都可以访问这个文件夹,因此用户只需要把希望和其他用户共享的文件放在这里就行了,不用设置权限,也不用担心哪个用户访问不到,非常方便。
设置文件权限
父亲的一些文件希望能和母亲共享,但又不希望孩子看到。这种情况下,无论是将文件放到共享文件夹,还是EFS加密都不能实现。这里推荐使用NTFS权限进行限制。
使用父亲的账户登录系统,用鼠标右键点击目标文件夹,并选择属性,打开文件夹属性对话框。切换到安全选项卡,并点击高级按钮(在这之前要记得禁用简单文件共享),打开图2所示的高级安全设置对话框。
图2 设置文件权限
在权限选项卡下取消对“从父项继承那些可以应用到子对象的权限和项目…”这个选项,并在随后出现的对话框上点击“删除”按钮。接着点击添加按钮,在“输入要选择的对象名称”框中输入父亲帐号的名称,点击确定,并在随后出现的权限项目对话框中给“完全控制”权限选择“允许”复选框。接着再添加母亲的账号并设置权限,这样就能实现对特定用户的文件共享。经过这样的设置,该文件夹就只有父亲和母亲可以访问,其他人别说修改或删除文件了,就连文件夹中保存的文件名称都看不到。
经过这样的设置,如果重新安装了系统,将导致没人可以访问父亲的个人文件。这时候需要使用任何一个管理员账户来获取所有权。还是在文件夹上点击鼠标右键,选择属性,打开属性对话框。打开安全选项卡,并点击高级按钮,打开高级安全设置对话框。
接着切换到所有者选项卡,在“将所有者更改为”列表中选择父亲新的帐号,并选中下方的“替换子容器及对象的所有者”选项,点击确定(如图3)。然后回到属性对话框的安全选项卡,在这里重新为父亲的账户设置权限即可。
图3 高级暗渠设置
提示:以上的例子只是非常粗略地应用了NTFS权限设置。NTFS权限设置能够对账户和权限进行非常有效的管理,不过设置起来比较复杂。由于本文篇幅有限,就留到以后再给大家详细讲解。
限制客人
家里来客人了,如果客人想要用一下电脑,怎样才可以防止客人对系统进行一些“奇怪的”设置呢(如果客人是小孩子的话,往往会给电脑带来毁灭性的“打击”)?
大家都知道,系统中自带了一个“来宾账户”,不过这个用户受到的限制太多,甚至无法使用ADSL网络连接拨号。笔者推荐单独为客人新建一个不需要密码的受限账户,同时禁止客人修改受限账户的密码:使用管理员账户登录系统,在控制面板中为客人创建好账户之后,运行“lusrmgr.msc”,打开本地用户和组管理单元。接着在左侧的节点中点击选择“用户”,并在右侧面板中找到“客人”这个账户,并双击,打开图4所示的客人属性对话框。在这里选中“用户不能更改密码”和“密码永不过期”这两个选项即可。
图4 受限帐户属性设置
经过这样的设置,以后家里来客人后就可以使用专门的账户登录系统。因为属于受限账户,客人不仅不能对重要的系统设置进行修改,不能安装绝大多数软件,甚其他用户的私人文件也无法访问,这样就已经实现了目标。
配合Windows的用户账户功能,用户还可以实现更多针对家用电脑的安全设置,希望大家根据自己的情况进行配置。虽然为每个家庭成员分别建立账户的做法看上去比较麻烦,但这确实是一个好习惯,因为这样做能有效保障各个用户的信息安全和隐私。
新闻热点
疑难解答