我设了一个游客，结果连拨号的权利都没有
主要是防止软件安装和运行

呵呵, 这个首先要看你是fat还是ntfs. fat文件系统是没有权限设置的.
其次, 这个或许和你是否启用了 简单文件共享 有关, 不过这一点我不确定, 或许ntfs的权限系统即便在简单文件共享时仍旧是激活的

你说的有些软件在user下也可以安装, 其实你要先考虑"安装"的含义. 如果一个安装是基于系统服务的, (比如, 现在多数软件的安装基于msi服务), 那么不论什么文件系统, user都没有权限安装, power user有部分权限, 等等. 如果一个安装只是基于普通解压+脚本(一些第三方打包工具), 那么只要用户具有目标文件夹的写权限 (譬如你的文件系统是fat, 大家都有权限, 又或者你的文件系统虽然是ntfs, 但用户可以写到自己的my documents的某个子目录中), 这个"安装"就可以完成

NT系统的后台服务都是system service帐号运行的, 不管哪个帐号前台登陆, 对后台没影响.

Quote:

下面是引用美达于2005-07-23 17:05发表的:

什么意思?

一般来说, 防火墙和杀毒软件的实时监控都是作为系统服务运行在后台的 (你可以运行services.msc看一下), 系统服务进程的owner都是特殊帐号system service之类. 你可以按ctrl+alt+esc看进程列表里是不是有一堆system用户--并且作为对比, 你可以再手动运行任意程序, 看看用户是不是你的登陆用户名.

木马能不能感染, 也和木马的意图有关. 简单说, 凡是user用户不具备的权限, 木马也不具备. 但木马无须"安装", 所以做做记录键盘以偷窃密码, 删除用户本人文件等等的动作, 还是很方便的

平时用无特权用户登陆是一个好习惯, 这样在系统是ntfs的前提下, 恶意代码的的影响可以降到最低

顺便说一下相关的实用技巧. 如果系统运行runas服务(win2k)或者secondary logon服务(xp and above), 那么在普通用户环境下也可以方便使用需要admin权限的程序. 举个例子来说, 一般安装软件都需要admin权限, 只要在windows explorer中按住shift, 同时右键单击需要执行的程序, 就可以在弹出菜单里多出一项run using different credential选项, 点击, 提供相应的用户名和密码后可以让用户使用不同身份运行该程序. 对于需要经常使用不同身份来运行的程序--比如关闭杀毒软件的实时监控后, 往往需要手动更新病毒库, 也可以为该程序建立快捷方式, 然后在选项中选择"使用不同身份运行", 这样每次运行该快捷方式系统都会提示用户名和密码