给用户组降低权限就可以保证不中木马了吗？
不一定的
很多人觉得USERS组太苛刻了，因此降低权限的时候选择了POWER USER

殊不知，POWER USER权限和administrator仅一步之遥，除了修改系统文件之外，它已经可以写文件、写注册表，增加、修改服务了

Power Users

Power Users 组的成员拥有的权限比 Users 组的成员所拥有的多，但比 Administrators 组的成员所拥有的少。Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。

从 Windows NT 4.0 升级时，为了防止组织在升级前使用的应用程序发生向后兼容问题，Restricted Users 组的成员会被自动放入 Power Users 组中。许多在 Windows NT 4.0 上使用的应用程序要求有更高的权限才能正常运行。Windows 2000、Windows XP Professional 和 Windows Server 2003 家族默认的安全设置与 Windows NT 4.0 中的 Power Users 安全设置非常相似。由 Windows NT 4.0 中的 User 运行的任何程序，都可由 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族中的 Power User 运行。

如果不希望将最终用户的权限提升为 Power Users 组权限，您可以让他们成为 Users 组的成员，这样他们将只能运行属于 Windows Logo Program for Software 的应用程序。如果必须支持不属于 Windows Logo Program for Software 的应用程序，则最终用户需要成为 Power Users 组的成员。有关 Windows Logo Program for Software 的信息，请参阅 Microsoft 网站中的“Windows Logo Program for Software”页。

Power Users 可以执行以下操作：

• 运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族中属于 Windows Logo program for Software 的应用程序和以前的应用程序。

• 安装不修改操作系统文件的程序或安装系统服务。

• 自定义整个系统的资源，包括打印机、日期/时间、电源选项和其他“控制面板”资源。

• 创建和管理本地用户帐户和组。

• 启动和停止默认情况下不启动的服务。


Power Users 不具有将自己添加到 Administrators 组的权限。Power Users 不能访问 NTFS 卷上的其他用户数据，除非他们获得了这些用户的授权。

警告

• 在 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族的某个成员中运行旧的程序时，通常需要修改对某些系统设置的访问权限。如果默认权限允许 Power Users 运行旧的程序，则同时也可能让 Power User 获得系统的其他权限，甚至是完全的管理控制权限。因此，为了获得最大程度的安全性而又不牺牲程序的功能，最重要的是部署属于 Windows Logo Program for Software 的应用程序。这些程序可在由 Users 组提供的安全配置下正常运行。

• 由于 Power Users 可以安装或修改程序，因而以 Power User 身份连接到 Internet 时可能引起特洛伊木马程序的攻击或其他安全隐患。


Users

Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户的数据。

Users 组提供了一个最安全的程序运行环境。在使用 NTFS 文件系统格式化的卷上，全新安装系统（不是升级的系统）上的默认安全设置用于禁止该组的成员损害操作系统和已安装程序的完整性。Users 不能修改整个系统的注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。Users 可以运行属于 Windows Logo Program for Software 的 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族程序（由管理员安装或部署）。Users 对自己的所有数据文件（存储在 %userprofile% 下）和注册表中有关他们自己的那一部分（位于 HKEY_CURRENT_USER 中）具有完全的控制权。

请注意，User 级别的权限通常不允许该类用户正常运行旧的应用程序。要运行这些旧的应用程序，您必须放宽安全设置以允许 Users 组的成员运行这些应用程序，或者必须将 Users 组的成员升级到 Power Users 组。这两种选择都将降低组织的安全性。由于 Users 组的成员肯定能运行 Windows Logo Program for Software 的应用程序，因此最好的做法是仅使用属于 Windows Logo Program for Software 的应用程序。详细信息，请参阅 Microsoft 网站上的 Windows Logo program for Software。

要保证运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族的某个成员的系统安全，管理员应该：

• 确保最终用户只是 Users 组的成员。

• 部署可由 Users 组的成员正常运行的程序，如属于 Windows Logo Program for Software 的程序。


Users 将无法运行为 Windows 2000 以前版本所编写的大多数 Windows 程序，因为这些应用程序或者不支持文件系统和注册表安全（如 Windows 95 和 Windows 98），或者具有其他的默认安全设置 (Windows NT)。如果在新安装的 NTFS 系统上运行旧的应用程序有问题，可采取下列措施之一：

1.
安装属于 Windows Logo Program for Software 的新版本应用程序。

2.
将终端用户从 Users 组移到 Power Users 组。

3.
降低 Users 组的默认安全权限。这可以用兼容的安全模板完成。