设置权限的说说

导读：　设置权限的说说(一)《OA权限设置说明》 ...

设置权限的说说(一)
《OA权限设置说明》

权限设置说明

 用户权限设置图：

用户的权限包括一下几种类型：

动作权限：用于控制一个用户是否具有此项处理动作的权限。动作权限包括有“收文动作、发文动作、会议动作、签报动作、传阅动作、表单流转动作”等。如上图蓝色框显示。

注：动作权限中有“收文登记、发文拟稿、会议起草、签报拟稿、传阅拟稿、表单登记”涉及到对应的菜单权限。

管理权限：用于控制一个用户是否具有此项管理权限。管理权限包括有“档案权限、资源管理权限、信息集成权限、工作交流以及意见反馈权限、流转管理权限。等。如上图粉红色框显示。 注：

1. 2. 3. 4.

使用权限：用于控制一个用户此项使用权限的范围。使用权限包括有“档案借阅、资源预约、表单使用”等。如上图橙色所示。

权限范围：动作权限、管理权限和使用权限都是具有范围限制的。系统提供的限制方式有：本部门、部分部门、所有部门。

注：用户权限中除工作流权限“高级回退、查看审批意见”其它权限都具有范围限制。

除了以上权限，还有一些特殊权限设置。比如“工作流权限”栏目中有“高级回退、审批意见查看、工作流定制”选项。

为了方便用户对不同版本的功能的理解，系统添加不同版本权限的颜色标注。 提示：从权限的授予方式，我们就可以知道一个用户属于“系统管理员”类型，但并不表明他一定具有档案管理或者是资产管理等权限。

注意：一个用户所具有的权限是“权限信息”+“角色”两者权限之和，是两者的一个并集。

档案管理权限指的是具有档案类目、档案的修改、删除、审批权限； 备份档案管理权限指的是仅具有档案审批的全线；

资源管理权限指的是具有资源的增加、修改、删除、审批权限； 备份资源管理权限指的是仅具有资源审批的权限；

 权限和菜单对应关系

设置权限的说说(二)
《怎么给QQ空间设置各种权限》

设置权限的说说(三)
《系统权限详细说明》

HELLO!!!!!!! Privilege

一. 权限的由来

远方的某个山脚下，有一片被森林包围的草原，草原边上居住着一群以牧羊为生的牧民。草原边缘的森林里，生存着各种动物，包括野狼。

由于羊群是牧民们的主要生活来源，它们的价值便显得特别珍贵，为了防止羊的跑失和野兽的袭击，每户牧民都用栅栏把自己的羊群圈了起来，只留下一道小门，以便每天傍晚供羊群外出到一定范围的草原上活动，实现了一定规模的保护和管理效果。

最初，野狼只知道在森林里逮兔子等野生动物生存，没有发现远处草原边上的羊群，因此，在一段时间里实现了彼此和平相处，直到有一天，一只为了追逐兔子而凑巧跑到了森林边缘的狼，用它那灵敏的鼻子嗅到了远处那隐隐约约的烤羊肉香味。

当晚，突然出现的狼群袭击了草原上大部分牧民饲养的羊，它们完全无视牧民们修筑的仅仅能拦住羊群的矮小栅栏，轻轻一跃便突破了这道防线……虽然闻讯而来的牧民们合作击退了狼群，但是羊群已经遭到了一定的损失。

事后，牧民们明白了栅栏不是仅仅用来防止羊群逃脱的城墙，各户牧民都在忙着加高加固了栅栏……

如今使用WINDOWS XP VISTA WIN7 的人都听说过“权限”(Privilege)这个概念，但是真正理解它的家庭用户，也许并不会太多，那么，什么是“权限”呢?对于一般的用户而言，我们可以把它理解为系统对用户能够执行的功能操作所设立的额外限制，用于进一步约束计算机用户能操作的系统功能和内容访问范围，或者说，权限是指某个特定的用户具有特定的系统资源使用权力。

对计算机来说，系统执行的代码可能会对它造成危害，因此处理器产生了Ring（圈内，环内）的概念，把“裸露在外”的一部分用于人机交互的操作界面限制起来，避免它一时头脑发热发出有害指令;而对于操作界面部分而言，用户的每一步操作仍然有可能伤害到它自己和底层系统——尽管它自身已经被禁止执行许多有害代码，但是一些不能禁止的功能却依然在对这层安全体系作出威胁，因此，为了保护自己，操作系统需要在Ring 的笼子里限制操作界面基础上，再产生一个专门用来限制用户的栅栏，这就是现在我们要讨论的权限，它是为限制用户而存在的，而且限制对每个用户并不是一样的，在这个思想的引导下，有些用户能操作的范围相对大些，有些只能操作属于自己的文件，有些甚至什么也不能做……

还记得古老的WINDOWS 9x和MS-DOS吗?它们仅仅拥有基本的Ring权限保护(实模式的DOS甚至连Ring分级都没有)，在这个系统架构里，所有用户的权力都是一样的，任何人都是管理员，系统没有为环境安全提供一点保障——它连实际有用的登录界面都没有提供，仅仅有个随便按ESC都能正常进入系统并进行任何操作的“伪登录”限制而已。对这样的系统而言，不熟悉电脑的用户经常一不小心就把系统毁掉了，而且病毒木马自然也不会放过如此“松软”的一块蛋糕，在如今这个提倡信息安全的时代里，WINDOWS 9x成了名副其实的鸡肋系统，最终淡出人们的视线，取而代之的是由WINDOWS NT家族发展而来的WINDOWS 2000,XP,VISTA 与 win7，此外还有近年来致力向桌面用户发展的Linux系统等，它们才是能够满足这个安全危机时代里个人隐私和数据安全等要求的系统。

Win2000之后的系统都是microsoftWindows NT技术的产物，是基于服务器安全环境思想来构建的纯32位系统。NT技术没有辜负microsoft的开发，它稳定，安全，提供了比较完善的多用户环境，最重要的是，它实现了系统权限的指派，从而杜绝了由Win9x时代带来的不安全操作习惯可能引发的大部分严重后果。

正因为如此，计算机用户才有了分类:管理员、普通用户、受限用户、来宾等……

二. 权限的指派

1.普通权限

虽然Win2\X\V\win7等系统提供了“权限”的功能，但是这样就又带来一个新问题:权限如何分配才是合理的?如果所有人拥有的权限都一样，那么就等于所有人都没有权限的限制，那和使用Win9x有什么区别?幸好，系统默认就为我们设置好了“权限组”(Group)，只需把用户加进相应的组即可拥有由这个组赋予的操作权限，这种做法就称为权限的指派。

默认情况下，系统为用户分了8个组，并给每个组赋予不同的操作权限，管理员组

(Administrators)、高权限用户组(Power Users)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用户组(Guests)，匪名用户组(Ahthenticated users)其中备份操作组和文件复制组为维护系统而设置，平时不会被使用。

系统默认的分组是依照一定的管理凭据指派权限的，而不是胡乱产生，管理员组拥有大部分的计算机操作权限(并不是全部)，能够随意修改删除所有文件和修改系统设置只有程序信任组（特殊权限）。再往下就是高权限用户组，这一部分用户也能做大部分事情，但是不能修改系统设置，不能运行一些涉及系统管理的程序。普通用户组则被系统拴在了自己的地盘里，不能处理其他用户的文件和运行涉及管理的程序等。来宾用户组的文件操作权限和普通用户组一样，但是无法执行更多的程序。

2.特殊权限

除了上面提到的6个默认权限分组，系统还存在一些特殊权限成员，这些成员是为了特殊用途而设置，分别是:SYSTEM(系统)、Trustedinstaller（信任程序）、Everyone(所有人)、CREATOR OWNER(创建者) 等，这些特殊成员不被任何内置用户组吸纳，属于完全独立出来的账户。 前面我提到管理员分组的权限时并没有用“全部”来形容，秘密就在此，不要相信系统描述的“有不受限制的完全访问权”，它不会傻到把自己完全交给人类，管理员分组同样受到一定的限制，只是没那么明显罢了，真正拥有“完全访问权”的只有一个成员:SYSTEM。这个成员是系统产生的，真正拥有整台计算机管理权限的账户，一般的操作是无法获取与它等价的权限的。

“所有人”权限与普通用户组权限差不多，它的存在是为了让用户能访问被标记为“公有”的文件，这也是一些程序正常运行需要的访问权限——任何人都能正常访问被赋予“Everyone”权限的文件，包括来宾组成员。

被标记为“创建者”权限的文件只有建立文件的那个用户才能访问，做到了一定程度的隐私保护。

但是，所有的文件访问权限均可以被管理员组用户和SYSTEM成员忽略，除非用户使用了NTFS加密。

无论是普通权限还是特殊权限，它们都可以“叠加”使用，“叠加”就是指多个权限共同使用，例如一个账户原本属于Users组，而后我们把他加入Administrators组在加入Trustedinstaller等权限提升，那么现在这个账户便同时拥有两个或多个权限身份，而不是用管理员权限去覆盖原来身份。权限叠加并不是没有意义的，在一些需要特定身份访问的场合，用户只有为自己设置了指定的身份才能访问，这个时候“叠加”的使用就能减轻一部分劳动量了。

距离上一次狼群的袭击已经过了很久，羊们渐渐都忘记了恐惧，一天晚上，一只羊看准了某处因为下雨被泡得有点松软低陷的栅栏，跳了出去。可惜这只羊刚跳出去不久就遭遇了饿狼，不仅尸骨无存，还给狼群带来了一个信息:栅栏存在弱点，可以突破!

几天后的一个深夜，狼群专找地面泥泞处的栅栏下手，把栅栏挖松了钻进去，再次洗劫了羊群。从来以后牧民们开始轮流拿着枪,带着牧羊犬巡视着羊圈（大家想到什么！没错正是UAC保护 呵呵）

以后狼群的进攻被牧民们击退了，而且在不断吸取教训，牧民们在加固栅栏时都会把栅栏的根部打在坚硬的泥地上，并且嵌得很深。饿狼们，还会再来吗?

权限是计算机安全技术的一个进步，但是它也是由人创造出来的，不可避免会存在不足和遗漏，我们在享受权限带来的便利时，也不能忽视了它可能引起的安全隐患或者设置失误

导致的众多问题。要如何才算合理使用权限，大概，这只能是个仁者见仁，智者见智的问题了。

今天，你又在用管理员账户心安理得的到处逛了吗？？？？？？？？

论坛中删除的NTFS部分

NTFS与权限

在前面我提到了NTFS文件系统，安装过Win XP Vista和win7的用户应该会注意到安装过程中出现的“转换分区格式为NTFS”的选择，那么什么是NTFS?NTFS(New Technology File System)是一个特别为Network和磁盘配额、文件加密等管理安全特性设计的磁盘格式，只有使用NT技术的系统对它直接提供支持，也就是说，如果系统崩溃了，用户将无法使用外面流行的普通光盘启动工具修复系统，因此，是使用传统的FAT32还是NTFS，一直是个倍受争议的话题，但如果用户要使用完全的系统权限功能，或者要安装作为服务器使用，建议最好还是使用NTFS分区格式。

与FAT32分区相比，NTFS分区多了一个“安全”特性，NT用户可以进一步设置相关的文件访问权限，而且前面提到的相关用户组指派的文件权限也只有在NTFS格式分区上才能体现出来。例如，来宾组的用户再也不能随便访问到NTFS格式分区的任意一个文件了，这样可以减少系统遭受一般由网站服务器带来的入侵损失，因为IIS账户对系统的访问权限仅仅是来宾级别而已，如果入侵者不能提升权限，那么他这次的入侵可以算是白忙了。

使用NTFS分区的时候，用户才会察觉到系统给管理员组用户设定的限制:一些文件即使是管理员也无法访问，因为它是SYSTEM成员建立的，并且设定了权限。(图.NTFS权限审核导致访问被拒绝)

但是NTFS系统会带来一个众所周知的安全隐患:NTFS支持一种被称为“交换数据流”(AlternateDataStream，ADs)的存储特性，原意是为了和Macintosh的HFS文件系统兼容而设计的，使用这种技术可以在一个文件资源里写入相关数据(并不是写入文件中)，而且写进去的数据可以使用很简单的方法把它提取出来作为一个独立文件读取，甚至执行，这就给入侵者提供了一个可乘之机，例如在一个正常程序里插入包含恶意代码的数据流，在程序运行时把恶意代码提取出来执行，就完成了一次破坏行动。

不过值得庆幸的是，数据流仅仅能存在于NTFS格式分区内，一旦存储介质改变为FAT32、CDFS，exFAT等格式，数据流内容便会消失了，破坏代码也就不复存在。

4.权限设置带来的安全访问和故障

设置权限的说说(四)
《windows权限》

windows权限

windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力

在windows中,为不同的账户设置权限很重要,可以防止重要文件被其他人所修改,使系统崩溃

我们可以在控制面板中设置账户时设置权限

作为微软第一个稳定且安全的操作系统，Windows XP经过几年的磨合过渡期，终于以超过Windows系列操作系统50%的用户占有量成为目前用户使用最多的操作系统。在慢慢熟悉了Windows XP后，人们逐渐开始不满足基本的系统应用了，他们更加渴望学习一些较深入且实用的知识，以便能让系统充分发挥出Windows XP的高级性能。

因此本文以Windows XP Professional版本为平台，引领大家感受一下Windows XP在"权限"方面的设计魅力！

一、什么是权限

Windows XP提供了非常细致的权限控制项，能够精确定制用户对资源的访问控制能力，大多数的权限从其名称上就可以基本了解其所能实现的内容。

" 权限"(Permission)是针对资源而言的。也就是说，设置权限只能是以资源为对象，即"设置某个文件夹有哪些用户可以拥有相应的权限"，而不能是以用户为主，即"设置某个用户可以对哪些资源拥有权限"。这就意味着"权限"必须针对"资源"而言，脱离了资源去谈权限毫无意义──在提到权限的具体实施时，"某个资源"是必须存在的。

利用权限可以控制资源被访问的方式，如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。

值得一提的是，有一些Windows用户往往会将"权力"与"权限"两个非常相似的概念搞混淆，这里做一下简单解释："权力"(Right)主要是针对用户而言的。"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。登录权力决定了用户如何登录到计算机，如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称，这些权力主要用于帮助用户对系统进行管理，如是否允许用户安装或加载驱动程序等。显然，权力与权限有本质上的区别。

二、安全标识符、访问控制列表、安全主体

说到Windows XP的权限，就不能不说说"安全标识符"(Security Identifier, SID)、"访问控制列表"(Access Control List，ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。

1.安全标识符在Windows XP中，系统是通过SID对用户进行识别的，而不是很多用户认为的"用户名称"。SID可以应用于系统内的所有用户、组、服务或计算机，因为SID是一个具有惟一性、绝对不会重复产生的数值，所以，在删除了一个账户(如名为"A"的账户)后，再次创建这个"A"账户时，前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护，盗用权限的情况也就彻底杜绝了。 查看用户、组、服务或计算机的SID值，可以使用 "Whoami"工具来执行，该工具包含在Windows XP安装光盘的"Support\Tools"目录中，

双击执行该目录下的"Setup"文件后，将会有包括Whoami工具在内的一系列命令行工具拷贝到"X:\Program Files\Support Tools"目录中。此后在任意一个命令提示符窗口中都可以执行"Whoami /all"命令来查看当前用户的全部信息。

2.访问控制列表(ACL)

访问控制列表是权限的核心技术。顾名思义，这是一个权限列表，用于定义特定用户对某个资源的访问权限，实际上这就是Windows XP对资源进行保护时所使用的一个标准。

在访问控制列表中，每一个用户或用户组都对应一组访问控制项(Access Control Entry, ACE)，这一点只需在"组或用户名称"列表中选择不同的用户或组时，通过下方的权限列表设置项是不同的这一点就可以看出来。显然，所有用户或用户组的权限访问设置都将会在这里被存储下来，并允许随时被有权限进行修改的用户进行调整，如取消某个用户对某个资源的"写入"权限。

3.安全主体(Security Principal)

在Windows XP中，可以将用户、用户组、计算机或服务都看成是一个安全主体，每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同，账户的管理方式也有所不同──本地账户被本地的SAM管理；域的账户则会被活动目录进行管理......

一般来说，权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。因为用户组包括多个用户，所

以大多数情况下，为资源指派权限时建议使用用户组来完成，这样可以非常方便地完成统一管理。

三、权限的四项基本原则

在Windows XP中，针对权限的管理有四项基本原则，即：拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则

对于权限的设置来说，将会起到非常重要的作用，下面就来了解一下：1.拒绝优于允许原则

" 拒绝优于允许"原则是一条非常重要且基础性的原则，它可以非常完美地处理好因用户在用户组的归属方面引起的权限"纠纷"，例如，"shyzhong"这个用户既属于"shyzhongs"用户组，也属于"xhxs"用户组，当我们对"xhxs"组中某个资源进行"写入"权限的集中分配(即针对用户组进行) 时，这个时候该组中 "shyzhong"账户将自动拥有"写入"的权限。 但令人奇怪的是，"shyzhong"账户明明拥有对这个资源的"写入 "权限，为什么实际操作中却无法执行呢？原来，在"shyzhongs"组中同样也对"shyzhong"用户进行了针对这个资源的权限设置，但设置的权限是"拒绝写入"。基于"拒绝优于允许"的原则，"shyzhong"在"shyzhongs"组中被 "拒绝写入"的权限将优先"xhxs"组中被赋予的允许"写入"权限被执行。因此，在实际操作中，"shyzhong"用户无法对这个资源进行"写入"操作。

2.权限最小化原则

Windows XP将"保持用户最小的权限"作为一个基本原则进行执行，这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。

这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。

基于这条原则，在实际的权限赋予操作中，我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户"shyzhong"在默认状态下对 "DOC"目录是没有任何权限的，现在需要为这个用户赋予对"DOC"目录有"读取"的权限，那么就必须在"DOC"目录的权限列表中为 "shyzhong"用户添加"读取"权限。

3.权限继承性原则

权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个"DOC"目录，在这个目录中有"DOC01"、"DOC02"、"DOC03"等子目录，现在需要对DOC目录及其下的子目录均设置 "shyzhong"用户有"写入"权限。因为有继承性原则，所以只需对"DOC"目录设置"shyzhong"用户有"写入"权限，其下的所有子目录将自动继承这个权限的设置。

4.累加原则

这个原则比较好理解，假设现在"zhong"用户既属于"A"用户组，也属于"B"用户组，它在A用户组的权限是"读取"，在"B"用户组中的权限是"写入"，那么根据累加原则，"zhong"用户的实际权限将会是"读取+写入"两种。

显然，"拒绝优于允许"原则是用于解决权限设置上的冲突问题的；"权限最小化"原则是用于保障资源安全的；"权限继承性"原则是用于"自动化"执行权限设置的；而"累加原则"则是让权限的设置更加灵活多变。几个原则各有所用，缺少哪一项都会给权限的设置带来很多麻烦！

设置权限的说说(五)
《通用权限管理概要设计说明书》

通用权限管理概要设计说明书

V1.0

文件更改摘要：

目录

1. 引言 ......................................................................................................................................... 4 1.1 编写目的 ............................................................................................................................. 4 1.2 背景 ...................................................................................................................................... 4 1.3 术语 ...................................................................................................................................... 4 1.4 预期读者与阅读建议 ...................................................................................................... 4 1.5 参考资料 ............................................................................................................................. 4 2. 总体设计 ................................................................................................................................ 4 2.1 设计目标 ............................................................................................................................. 4 2.2 运行环境 ............................................................................................................................. 4 2.3 网络结构 ............................................................................................................................. 5 2.4 总体设计思路和处理流程 ............................................................................................. 5 2.5 模块结构设计 .................................................................................................................... 7 2.6 尚未解决的问题 ............................................................................................................... 7 3. 接口设计（暂略） .............................................................................................................. 7 3.1 用户接口（暂略） .......................................................................................................... 7 3.2 外部接口（暂略） .......................................................................................................... 7 3.3 内部接口（暂略） .......................................................................................................... 7 4. 界面总体设计 ....................................................................................................................... 7 4.1 组权限管理 ........................................................................................................................ 8 4.1.1 包含用户 ..................................................................................................................... 8 4.1.2 所属角色 ..................................................................................................................... 8 4.1.3 组权限 ......................................................................................................................... 9 4.1.4 总权限 ......................................................................................................................... 9 4.1.5 组管理 ....................................................................................................................... 10 4.2 角色权限管理 .................................................................................................................. 10 4.2.1 包含用户 ................................................................................................................... 10 4.2.2 包含组 ....................................................................................................................... 11 4.2.3 角色权限 ................................................................................................................... 11 4.2.4 管理角色 ................................................................................................................... 12 4.3 用户权限管理 .................................................................................................................. 12 4.3.1 所属角色 ................................................................................................................... 12 4.3.2 所属组 ....................................................................................................................... 13 4.3.3 用户权限 ................................................................................................................... 13 4.3.4 总权限 ....................................................................................................................... 14 4.3.5 用户管理 ................................................................................................................... 15 4.3.6 组织管理 ................................................................................................................... 15 4.4 操作日志管理 .................................................................................................................. 15 4.4.1 查询操作日志 .......................................................................................................... 15 4.4.2 删除操作日志 .......................................................................................................... 16 5. 数据结构设计 ..................................................................................................................... 16

5.1 设计原则 ........................................................................................................................... 16 5.1.1 命名的规范 .............................................................................................................. 16 5.1.2 数据的一致性和完整性........................................................................................ 16 5.2 数据库环境说明 ............................................................................................................. 17 5.3 数据库命名规则 ............................................................................................................. 17 5.4 逻辑结构 ........................................................................................................................... 17 5.5 物理存储 ........................................................................................................................... 17 5.6 数据备份和恢复 ............................................................................................................. 17 6. 系统出错处理设计 ............................................................................................................ 17 6.1 出错信息 ........................................................................................................................... 17 6.2 补救措施 ........................................................................................................................... 18 7. 系统安全设计 ..................................................................................................................... 18 7.1 数据传输安全性设计 .................................................................................................... 18 7.2 应用系统安全性设计 .................................................................................................... 18 7.3 数据存储安全性设计 .................................................................................................... 18

1. 引言 1.1 编写目的

本文档对通用权限管理系统的总体设计、接口设计、界面总体设计、数据结构设计、系统出错处理设计以及系统安全数据进行了说明。

1.2 背景

a、 软件系统的名称：通用权限管理系统； b、 任务提出者、开发者：谢星星；

c、 在J2EE的web系统中需要使用权限管理的系统。

1.3 术语

本系统：通用权限管理系统； SSH：英文全称是Secure Shell。

1.4 预期读者与阅读建议

1.5 参考资料

《通用权限管理系统需求规格说明书》 《通用权限管理系统数据库设计说明书》

2. 总体设计 2.1 设计目标

权限系统一直以来是我们应用系统不可缺少的一个部分，若每个应用系统都重新对系统的权限进行设计，以满足不同系统用户的需求，将会浪费我们不少宝贵时间，所以花时间来设计一个相对通用的权限系统是很有意义的。

本系统的设计目标是对应用系统的所有资源进行权限控制，比如应用系统的功能菜单、各个界面的按钮控件等进行权限的操控。

2.2 运行环境

操作系统：Windows系统操作系统和Linux系列操作系统。

设置权限的说说(六)
《USB权限设置》

USB权限的设置方法

接到一个任务，禁止集团内所有电脑的USB接口进行文件拷贝，但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备。

纠结了，这不摆明了让我蛋疼吗？

不过，疼归疼，办法总是要想滴，说白了不就是不让人把公司的机密资料带出去吗？现在这些人，暴力管理还找一大堆冠冕堂皇的理由让你无条件服从，P服！哥们我楞是从中总结出一条真理：世界上没有办不到的事，只是你愿不愿意想办法。

不罗嗦，开工，首先了解任务的详细内容：

任务目的：

1、要管制USB存储设备，一般用户不能写不能读；部分用户能读不能写入USB存储设备；还有一部分大人们（公司高管）平时不读不写，在需要用的时候要能读能写！

2、无论使用什么方式进行管制，不能影响到现在USB打印机、扫描仪、加密狗、鼠标键盘等等外部设备的使用。额滴神，这帮兔崽子真会折磨人。

任务范围：集团内800+台电脑

任务时间：2周

接下来，就得找实施方案了！

1、方案一：BIOS里全部关闭USB端口

2、方案二：Client端安装USB管理软件，用软件进行管制，安装一台服务器，监控所有电脑的USB动态

3、方案三：从操作系统注册表下手，批处理执行管理

先说说这三个方案：恕本人愚昧，或许还有很多又好又快捷的方法，但偶当时确实只想到这些， 方案一：最操蛋的方法，端口全关了，什么USB设备都用不了了，就别提这机那机了，PASS掉， 方案二：所有电脑安装Client，工作量大，时间根本不够，再说了，我很介意在用户端安装软件，多一个进程多占用一部分内存，到时候电脑速度慢了又会有人大呼小叫了。仍然PASS，

第三个，其实这也是俺最喜欢用的手段：批处理！哈哈，就它了。

各位观众，看清楚看明白啦，实施过程开始！

1、首先，关闭USB存储设备的盘符自动分配，打开注册表，找到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR，将"Start"的值改为4（禁止自动启动），默认为3是自动分配盘符

2、干掉USB存储设备的作用文件：进入WINDOWS系统目录，找到X:Windowsinf，这里说明一下，USB存储设备的作用文件有两个，分别是usbstor.inf和usbstor.pnf，因为后续可能需要重新打开USB功能，所以不要删除它，建议拷贝到其他位置，当然你要暴力一点，删除它也没关系，但记得做好备份。 我用两条批处理指令实现：

copy %Windir%infusbstor.inf %Windir%usbstor.inf /y >nul

copy %Windir%infusbstor.pnf %Windir%usbstor.pnf /y >nul

del %Windir%infusbstor.pnf /q/f >nul

del %Windir%infusbstor.inf /q/f >nul

哦不，准确的说是4行指令！

3、然后，禁止将电脑里的资料拷贝到USB存储设备，意思是把USB存储设备设置只读的，干成残废。 打开注册表：定位到HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControl，在其下新建一个名为“StorageDevicePolicies”的项，选中它，在右边的窗格中新建一个名为“WriteProtect”的DWORD值，并将其

数值数据设置为1

嘿嘿，有了这一条，你就是能用USB存储设备，也只能单方面读取数据了，也算是半个残废了。

到此，基本上第一个过程基本完成，实现的功能包括：禁止使用USB存储设备，不影响其他USB外设，就算要用，也把USB存储设备干成残废（只读）。

接下来说第二个部分：如何开启？（部分用户需要使用USB存储设备）实际上，逆向操作以上步骤就可以完成开启，但为了表达的更完整一些，我还是把过程写下来

1、找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR，将"Start"的值改为3

2、恢复USB存储设备作用文件，还是4行指令：

copy %Windir%usbstor.inf %Windir%infusbstor.inf /y >nul

copy %Windir%usbstor.pnf %Windir%infusbstor.pnf /y >nul

del %Windir%usbstor.pnf /q/f >nul

del %Windir%usbstor.inf /q/f >nul

完成后，用户可使用USB存储设备，但不能往里面写入任何内容！你不信？不信就试试嘛，俗话说的好：实践出真知！

不好意思，扯远了！

这样，关闭也写了，开启也写了，接下来的事情，你知道的。

批处理代码，哈哈！

关闭过程：

@echo off

reg add "HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet ControlStorageDevicePolicies“ /v

WriteProtect /t reg_dword /d 1 /f

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" /v Start /t reg_dword /d 4 /f

copy %Windir%infusbstor.inf %Windir%usbstor.inf /y >nul

copy %Windir%infusbstor.pnf %Windir%usbstor.pnf /y >nul

del %Windir%infusbstor.pnf /q/f >nul

del %Windir%infusbstor.inf /q/f >nul

@echo on

开启过程：

@echo off reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" /v Start /t reg_dword /d 3 /f

copy %Windir%usbstor.inf %Windir%infusbstor.inf /y >nul

copy %Windir%usbstor.pnf %Windir%infusbstor.pnf /y >nul

del %Windir%usbstor.pnf /q/f >nul

del %Windir%usbstor.inf /q/f >nul

@echo on

将以上代码保存为两个BAT文档，然后放进x:Windowssystem32目录下，比如DisableUSB.bat和EnableUSB.bat

然后直接在运行里面输入指令：DisableUSB （关闭）EnableUSB（开启）

打完收工

设置权限的说说(七)
《朋友网怎么设置访问权限》

朋友网怎么设置访问权限

朋友网，原名QQ校友。是腾讯打造的真实社交平台，为用户提供行业、、学校、班级、熟人等真实的社交场景。2011年7月5日，腾讯正式宣布旗下社区腾讯朋友更名为朋友网。

登录qq

点击朋友网图标

朋友网暂不支持访问权限设置，不过如果将朋友网中的朋友拖入黑名单中，将无法进入你的朋友网主页。先将鼠标箭头放在姓名上，然后，点击设置——加入黑名单。设置成功，此朋友将无法进入你的个人主页。

上一种只能用在朋友网中的朋友，没有加入黑名单中的照样可以进入你的个人主页。比较单一，而且如果多的话，操作起来也麻烦。第二种方法是仅自己可见、好友可见、和所有人可见。点击右上角的设置图标，鼠标左击设置隐私。

在个人信息栏下，可以设置出生日期、经历、我的班级等等的隐私设置。

点击个人主页拈权限，可以设置日志、最近访客、相册的可见设置。。相册的访问权限设置也差不多，点击修改单个相册权限。

点击编辑

点击，就可以设置访问权限了。

点击同步设置，可以设置说说和日志与qq空间同步。 点击和互动搜索可以设置好友申请、聊天等权限。 点击其他可以设置黑名单、停用账户。

设置权限的说说相关热词搜索：空间说说怎么设置权限 qq说说怎么设置权限 说说评论权限怎么设置