偶然发现一个不属于任何用户组的用户,依然拥有Users组的权限。我给Apache新建了一个用户:apc,并且将它从Users组里删除,让Apache服务以此用户运行。Apache的logs目录赋予了写入权限,Apache安装目录赋予了读取和运行权限,但忘了给网站根目录赋予读取权限,启动服务竟然可以正常运行,而且可以正常访问网站。后来研究了一下,发现是Users用户组拥有对所有目录的读取权限,如果禁用了Users的权限,网站就无法访问了。试了sersver 2003、server 2008 R2两个版本windows都如此。我已经把用户apc从Users里移除了,为何它的权限还是跟随Users组变化?有没有办法让其真正脱离Users权限组?

解决方案 »

  1.   

    上面提到的apc user是域用户吗?如果是,默认域的Domain Users都会被添加到客户端机器的本地users组的,也会默认有users组的权限。
      

  2.   

    无法!你用 whoami 这个内置程序就知道了,lusrmgr.msc里是不准确的。lusrmgr.msc里删除 users 后,用这个用户登录net user %username%
    whoami /groups
    可以看到BUILTIN\Users 还在的。不过如果 lusrmgr 里删除 users 的作用是:保证 这个用户 不出现在 windows 环境界面的用户选择 范围里。