什么是 Windows 10 中的用户权限

• 类别: Windows 10 功能和支持

尝试消除问题的工具

选择操作系统 Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro 选择一个投影程序（可选） - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

描述您的问题

得到答案

通过电子邮件发送我 在网站上展示

在 Windows 10 中运行任务或修改对象时，您是否曾被提示用户帐户没有权限？如果是，则表示您登录的帐户没有执行任务所需的权限。执行高级任务和执行命令需要特定级别的权限。

本文讨论什么是用户权限、它们是如何分类的，以及您需要了解的有关不同类型的所有信息。 快速总结 隐藏 1 什么是用户帐户 2 了解用户权限 2.1 标准用户 2.2 管理用户 2.3 超级用户 2.4 儿童用户 2.5 备份运营商 2.6 密码运算符 2.7 Hyper-V 管理员 2.8 IIS_IUSRS 帐户 2.9 网络配置操作员 2.10 远程桌面用户 3 如何更改用户权限 4 发生冲突时，哪种政策优先？

什么是用户帐户

用户帐户是计算机上用于存储用户数据的位置，包括用户名、密码、用户配置文件和其他与用户相关的数据。

Windows 10 支持不同人使用多个用户帐户，每个人都可以拥有自己的用户帐户。这有助于将他们的信息相互隔离，并防止一个用户更改另一用户的数据。除了共享驱动器上的数据外，他们的个人数据是单独存储的，他们的应用程序配置和设置也是如此。

一般来说，Windows 10 上有两种类型的用户帐户：

• 本地账户
• 微软帐户

本地帐户是在托管计算机上创建的帐户，不与任何域或电子邮件关联。而 Microsoft 帐户与 Microsoft ID 直接关联。

尽管这些是帐户类型的两个主要类别，但在这些类别中还有一些选项可供选择。这些进一步的子类别决定了每个账户的角色，被称为 团体 .

这些用户帐户进一步分为多个组，其中一些重要的帐户是：

• 管理用户
• 标准用户
• 高级用户
• 儿童用户

这些类别/组定义了每个用户帐户应拥有的权利和特权，并且完全独立于它是本地帐户还是 Microsoft 帐户。然后将用户帐户添加到每个组，并从这些组继承访问级别 组织单位 (OU)。

让我们进一步深入了解这些用户帐户类型如何说明用户权限。

了解用户权限

用户帐户的访问级别取决于用户所属的组。每个用户可以同时属于一个或多个组。然后，应用于该组的规则集将直接应用于该特定组内的用户。

这些组定义的权限允许用户修改某些设置并控制他们的操作系统，或者提示他们没有所需的访问权限并且必须使用适当的帐户登录。

标准用户

到 标准用户 ，也称为 默认用户， 他们几乎可以控制自己的帐户而不更改设置，也不能访问其他用户帐户的数据。如果您想限制用户对您拥有的计算机的访问，则最好使用此方法。以下是这些帐户可以执行的一些示例：

• 更改其帐户的密码，或将其删除。
• 在他们的个人资料上自定义主题和背景。
• 仅查看和编辑他们的个人文件或共享云端硬盘中的文件夹。

标准用户无法安装系统级软件。

管理用户

一个 管理用户 可以管理他们的整个计算机，例如创建或删除用户配置文件、访问系统文件和注册表、管理应用程序、设置组策略等。总而言之，与其他用户相比，管理帐户具有更多的权力和控制权。他们的一些主要特点是：

• 更改影响所有用户帐户的设置。
• 创建、删除或管理所有用户帐户。
• 更改影响所有用户的系统安全设置。
• 也可以访问和编辑其他用户的文件和文件夹。

全新安装 Windows 10 后，名为 Administrator 的用户帐户已存在，无法删除。它只能重命名或禁用。默认情况下，此帐户处于禁用状态，需要手动启用才能使用。

由于管理用户对计算机有更多的权力和控制，建议不要让每个用户都成为管理员，并在这个组中保持一个紧密的圈子。建议只让受信任的人作为管理员进入。

超级用户

到 超级用户 具有与管理员相同的权限，但他们无权查看实时订阅或计费信息。除此之外，他们还可以完全控制计算机。

向需要管理系统的组织中的 IT 专业人员推荐这些类型的帐户，而无需了解其财务状况。

儿童用户

儿童用户 顾名思义，帐户主要是供家庭控制和限制孩子在计算机上执行的操作。他们可以限制屏幕时间，或者只允许该用户使用适合其年龄的内容。此外，它可以防止他们意外删除系统文件或移动它们。以下是此类帐户的一些主要功能：

• 监控互联网浏览历史，以及应用程序和游戏使用情况。
• 阻止不需要的网站，或仅允许特定网站。
• 仅允许使用适合年龄的应用程序和游戏。
• 管理订阅并设置支出限额。

备份运营商

备份操作员 组用户可以备份和恢复系统文件和文件夹，而不管这些文件的所有权或权限如何。备份操作员可以：

• 将文件和文件夹备份和恢复到整个系统。
• 将文件和文件夹恢复到旧状态。
• 备份操作员可以启动或停止 TSM 调度程序服务（一种进行定期备份的自动化服务）。

密码运算符

密码运算符 可以管理系统上有关加密的操作。它们的功能的一些例子是：

• 创建、删除或管理 VPN。
• 配置 下一代密码学 (CNG) 在 Windows 10 上。
• 可以编辑 IPsec 策略中的加密设置 视窗防火墙 .

Hyper-V 管理员

该组的成员有权管理 hyper-V 虚拟机及其设置，无论其所有权如何。他们可以执行的一些关键任务是：

• 在本地计算机上创建、移除或删除 Hyper-V 虚拟机。
• 更改在 Hyper-V 上运行的虚拟机的网络、存储和 RAM 配置。
• 访问虚拟机以从内部修改它们。
• 重新启动或重置虚拟机。

IIS_IUSRS 帐户

该组主要供愿意查看或修改系统脚部文件夹中任何文件的用户使用。属于该组的用户 IIS_IUSRS 能够：

• 修改和编辑属于本地托管的任何网站的任何文件。
• 使用应用程序池标识访问文件内容。

网络配置操作员

属于该组的用户可以管理整个系统的网络设置，这也可能影响其他用户。该组的一些主要特点是：

• 修改计算机上所有端口的 TCP/IP 配置。
• 启用或禁用网络适配器。
• 监控和控制网络流量
• 限制网络使用

远程桌面用户

顾名思义，该组中的用户可以管理谁使用此功能，以及允许谁连接到本地计算机。一些主要功能是：

• 查看远程桌面历史记录/事件。
• 允许特定用户或计算机远程访问系统。
• 限制或允许特定用户从这台 PC 远程访问其他计算机。

如何更改用户权限

如前所述，权限由组策略控制。因此，将用户移动到适当的组将改变他们的权限和访问级别。以下是管理组中现有用户的方法：

1. 通过在运行中键入 compmgmt.msc 打开计算机管理控制台。
2. 从左窗格中展开本地用户和组，然后单击组。
   
3. 在右侧窗格中，双击要添加用户的组。
4. 在“组属性”窗口中，单击“添加”将新用户添加到组中，或单击用户并单击“删除”将其从组中删除。
   

将新用户添加到组后，他们的权限级别将相应更改。如果您将他们从组中删除，他们将失去与该组关联的权限。

发生冲突时，哪种政策优先？

正如我们前面提到的，一个用户帐户可以是多个组的成员。由于两个组应用了不同的策略，计算机将如何确定帐户应遵循的策略？

如果用户属于多个组，则这些组的规则、特权和权限都将适用于该用户帐户。但是，可能存在特权冲突。例如，一组允许访问互联网，而另一组阻止它。计算机如何确定哪个策略优先？

Windows 10 的一项功能是 组策略编辑器 .这个实用程序让我们修改 组策略对象 (GPO) 直接适用于组织单位。这意味着，应用于 GPO 的任何策略都会影响 OU。由于 OU 位于层次结构的顶部并最后处理，因此它们优先并最终确定用户帐户的适用策略。

我们希望本文能澄清您的一些概念以及用户权限的工作原理。