讲一下这个2000的一些privilege。

Privilege，为本地管理员提供了一种手段，可以控制允许什么人具有什么权限或者能执行什么样的系统操作，

如允许交互式登陆等等。这里我们说的特权是指特殊操作所需的权限，如备份呀什么的！一旦授予了某种特权，

这些特权就会包括在用户的安全访问令牌中。这是一些基本的概念，可以看以下，比较容易明白。

系统为了管理的方便总是为每个本地组分配了相应的特权，而且从来不改变这个特权，这些东东在NT系统上可以分为内置能力，标准用户权力，高级用户权力这么几种，但是在2000中标准权利和高级权力已经被用户特权所取代，只有在为委派而信任计算机和用户帐户（SeEnableDelegationPrivilege)和把计算机从dock中移出（SeUndockPrivilege)这两种情况下可以把NT的权利映射到2000中的特权。
注意一下2000的一些问题。并非所有能力都有匹配的权利，因此，不可能用权力完全匹配组的内置能力。而由于

特定组能力的预定义分配和不能把所有能力复制为权力，就难以区分任务，并且只能强制使用最低特权的概念。

那么在域一级下就缺少一个安全结构，导致了难以授予管理的功能。2000在AD引入后，就允许区分任务，也可授

予domain和OU相应的管理层次。

下面来谈一下具体的一些用户特权，应当有26个，也有说28个的。

SeTcbPrivilege
成为OS的一部分
允许进程可以像用户一样被鉴别，因此可以像用户一样访问相应的资源。只有底层的鉴别服务需要这样的特权所以无论是工作站，独立服务器，还是DC都没有把这个设为某人权利。

SeMachineAccountPrivilege
添加工作站到域为了这个特权可以启用，必须保证这个用户在域控制器本地安全策略中的才行。

SeBackupPrivilege
备份文件和目录。
允许用户绕过文件和目录的权限来做备份。只有当应用程序尝试访问NTFS备份API时才检查这个特权。默认情况下，这个特权分配给Admi

[1] [2] [3] [4] 下一页