前面我们讨论过了关于NT的安全性，现在我们就需要进一步讨论关于NT的工作组及其权限，首先我们来看一看NT缺省的域工作组。

一、NT缺省的域工作组
在安装完NT Server后，操作系统自动创建了六个缺省工作组：Administrators,Backup Operators，Guests,Power users，Replications和users组，这六个缺省组表示了在你的Windows NT网络中应使用的基本访问权限的设定。例如Administrator组对域文件系统中的每个文件和目录均有完全访问控制权限。Administrator组的用户如具有Administrator和Power User权限则将具有网管的访问权限。 下面的表列出了缺省的组和他们的访问权限。 全局组   权 限
 
Administrators  对域内的每个文件及口录都有完全访问权限。 
Backup Operators  Barkup Operators能避开文件安全控制以执行备份操作。它是网络黑客人侵最好的着眼点，因为黑客可以利用它的权限济份文件或破坏文件。 
Guests  Guests组成员可以列出大部分网络中的文件，但却不能对这些文件进行打开和别的访问。 
Power Users  Power Users成员有所有用户的权限，此外．他们还可以共享目录和打印机。他们具有对数据目录的扩展权限。 
Replicator  Replicator成员可以复制或拷贝域中的一个文件，从一处到另一处。但不具有额外的权限打开或修改复制的文件。 
Users  Users组…般对于其自己的目录、应用程序具有各种权限，还可以与其他用户共享自己的目录，Users组应该是Windows NT网络中最常用的组。 

二、Windows NT缺省的本地组
上面我们知道了Windows NT的一些缺省域组，利用这些组，网管可以对域的用户大致分类以便于管理。另外，Windows NT还创建了大量的缺省本地组，他们可以执行许多不同的命令。这些命令来自于服务器，且他们中的很多是Administrator组常用的命令。
表2：缺省的本地组和他们的安全权限

本地组   安全权限 
Server Operator    该组的成员可以关闭服务器，也可在远程重启服务器，执行备份和恢复 
Backup Operator    该组成员可关闭服务器，备份和恢复文件 
Account Operator    该组成员可关闭服务器 
Print Operator    该组成员可关闭服务器 

这些组的成员可在控制台注册。作为超级网管必须谨慎地查看和监视表2中所列的本地组成员的活动。如果黑客获得了Server Operator帐号，并且向服务器上投放了特格伊木马，并在远程关闭服务器后重启动井激活病毒。那么特洛伊木马就可以将Administrator的权限提供给黑客了。
 
三、Windows NT缺省的目录权限
在安装Windows NT之后，系统自动创建了一些缺省的目录权限，每个缺省的工作组均有一定的目录权限。如前所述，超级网管有访问域中每个文件和目录的权限。别的组的缺省权限如表3所示。
表3：Windows NT缺省的目录权限

目 录
 组
 
winnt，system32，win32app  Server Operators， Users可以读、执行、显示和改变文件属性 
system32config  所有的Users组成员均可列出此目录的文件 
system32drivers；system epl  Server Operator具有完全访问权限（读写、删除、执行、创建），Uers具有读权限 
system32spool  Server Operator ，和Print Oporaltor具有完全访问权限， Users组有读权限 
system32 eplexport  Server Operator可读、执行文件，显示文件的许可权，改变文件属性。Replicator有读的权限。 
system32 eplimport  server Operator和Replicator可读和执行文件，显示文件许可权、改变文件属性， Users组有读权限 
users   Account Operators可读写、删除、执行文件，User可列该目录的文件名 
usersdefault  所有的User成员可读、写、执行文件 

在安装好NT后，也许你想修改表3中缺省的组访问权限，但应注意所有的Users组员至少应对某些目录具有访问权限。例如：Users需要对winnt和、system32中的文件具有访问权限。因为有很多程序需要用到其中的文件。

四、关于Administrators 及其他
在Administrators组中的成员即使没有特定的对一个目录或文件级别的访问权限，也能访问系统中的全部资源。因此，超级网管应对分配用户进Administrators组加以限制并且监视该组的用户以防止其滥用权限造成损失。幸运的是，Windows NT文件权限结构可让你使用NT跟踪工具监视Administrators组的用户以防止权限滥用。
由于Administrators组成员对整个服务器或域有访问特权，因此黑客常常首先尝试获得Administrators的权限，如果未成功，则试图先获得较低的权限级注册进入系统并获得在Administrators组中授予他的一定权限，这种方式（由低到高的权限获取）叫“安全性提升入侵”。对付这种入侵的最好方法就是在NT安装中删除或改变Administrators的权限。