server 2003内置组及组的权限：

Administrators 属于该administators本地组内的用户，都具备系统管理员的权限，它们拥有对这台计算机最大的控制权限，可以执行整台计算机的管理任务。内置的系统管理员帐房Administrator就是本地组的成员，而且无法将它从该组删除。
如果这台计算机已加入域，则域的Domain Admins会自动地加入到该计算机的Administrators组内。也就是说，域上的系统管理员在这台计算机上也具备着系统管理员的权限。

Backup OPerators 在该组内的成员，不论它们是否有权访问这台计算机中的文件夹或文件，都可以通过“开始”－“所有程序”－“附件”－“系统工具”－“备份”的途径，备份与还原这些文件夹与文件。

Guests　该组是提供没有用户帐户，但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。

Network Configuration Operators　该组内的用户可以在客户端执行一般的网络设置任务，例如更改ＩＰ地址，但是不可以安装/删除驱动程序与服务，也不可以执行与网络服务器设置有关的任务，例如DNS服务器、DHCP服务器的设置。

Power Users　该组内的用户具备比Users组更多的权利，但是比Administrators组拥有的权利更少一些，例如，可以：
创建、删除、更改本地用户帐户
创建、删除、管理本地计算机内的共享文件夹与共享打印机
自定义系统设置，例如更改计算机时间、关闭计算机等

Power Users　组的成员不可以更改Administrators与Backup Operators、无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。

Remote Desktop Users　该组的成员可以通过远程计算机登录，例如，利用终端服务器从远程计算机登录。

Users　该组员只拥有一些基本的权利，例如运行应用程序，但是他们不能修改操作系统的设置、不能更改其它用户的数据、不能关闭服务器级的计算机。
所有添加的本地用户帐户者自动属于该组。
如果这台计算机已经加入域，则域的Domain Users会自动地被加入到该计算机的Users组中。


内置特殊组：

Everone 任何一个用户都属于这个组。注意，如果Guest帐号被启用时，则给Everone这个组指派权限时必须小心，因为当一个没有帐户的用户连接计算机时，他被允许自动利用Guest帐户连接，但是因为Guest也是属于Everone组，所以他将具备Everyone所拥有的权限。

Authenticated Users 任何一个利用有效的用户帐户连接的用户都属于这个组。建议在设置权限时，尽量针对Authenticated Users组进行设置，而不要针对Everone进行设置。

Interactive 任何在本地登录的用户都属于这个组。

Network　任何通过网络连接此计算机的用户都属于这个组。

Creator Owner 文件夹、文件或打印文件等资源的创建者，就是该资源的Creator Owner（创建所有者）。不过，如果创建者是属于Administrators组内的成员，则其Creator Owner为Administrators组。

Anonymous Logon　任何未利用有效的Windows Server 2003帐户连接的用户，都属于这个组。注意，在windows 2003内，Everone 组内并不包含“Anonymous Logon”组

 

 

ntfs权限设置：

权限的标记——用户和组

Windows NT中的权限控制单位是进程，进程的身份是靠其启动的用户和组来标记的。用户和组分为本地帐户，指本地建立的用户帐户，用作对以本地帐户登录的进程（如administrator启动运行的程序，标记为以administrator启动的服务），域帐户（如GrapeCity\Valentinening启动运行的程序，标记为以GrapeCity\Valentinening启动的服务）计算机（如以计算机GrapeCity\xa-app-xxx$的LocalSystem启动的服务）。三者在进行设置时一视同仁。

文件访问权限——NTFS权限

当一个用户试图访问一个文件或者文件夹的时候（不论是本地访问还是通过Microsoft File and printer sharing for Microsoft network指定UNC进行访问），NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表（ACL）中，如果存在则进一步检查访问控制项（ACE），然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户使用的账户或者账户所属的组，就拒绝用户访问。该权限可以在文件夹属性的Security选项卡中进行设置。这里可以添加用户到ACL中，并指定ACE。

NTFS权限的应用规则

1． 权限的组合——交集。（原文此处为并集，有误）
如果一个用户同时在两个组或者多个组内，而各个组对同一个文件有不同的权限，那么这个用户对这个文件有什么权限呢？简单的说，当一个用户属于多个组的时候，这个用户会得到各个组的累加权限，但是一旦有一个组的相应权限被拒绝，此用户的此权限也会被拒绝。
2、权限的继承
新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限，一般的说从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。如果需要取消继承，可以通过文件夹属性的Security选项卡中的Advanced进行修改。

3、权限的拒绝——最高权限
拒绝（Deny）是需要谨慎的操作，因为按照NTFS的规则，Deny权限具有最高的计算地位。无论给账户或者组了什么权限，只要在拒绝的这一栏里有勾，那么被拒绝的权限就绝对有效。
4、权限的移动——同分区保留
由于NTFS的权限是以分区为单位进行保存的，只有移动到同一分区内才保留原来设置的权限，否则为继承目的地文件夹或者驱动器的NTFS权限（原设定的权限被清除）。

共享文件权限——Share权限：

共享权限只作用于Microsoft File and printer sharing for Microsoft network指定UNC进行访问，权限有三种：读取、更改和完全控制。

1、 读取。读取权限是指派给Everyone组的默认权限。
a、 查看文件名和子文件夹名。
b、 查看文件中的数据。
c、 运行程序文件。
2、 更改。更改权限不是任何组的默认权限。更改权限除允许所有的读取权限外，还增加以下权限。
a、 添加文件和子文件夹。
b、 更改文件中的数据。
c、 删除子文件夹和文件。
3、 完全控制。 完全控制权限是指派给本机上的Administrators组的默认权限。完全控制权限除允许全部读取及更改权限外，还具有更改权限的权限。

共享权限的计算方法和NTFS权限一样，如果赋予某用户或者用户组拒绝的权限，该用户或者该用户组的成员将不能执行被拒绝的操作。

常用的权限控制——共享权限和NTFS权限的组合权限。
共享权限只对通过网络访问的用户有效，所以需要和NTFS权限配合才能严格的控制用户的访问（比如LeySer Service的部分权限控制）。当一个共享文件夹设置了共享权限和NTFS权限后，就要受到两种权限的控制。
如果希望用户能够完全控制共享文件夹，首先要在共享权限中添加此用户（组），并设置完全控制的权限。然后在NTFS权限设置中添加此用户（组），也设置完全控制权限。只有两个地方都设置了完全控制权限，才最终有完全控制权限。
当用户从网络访问一个存储在NTFS文件系统上的共享文件夹的时候会受到两种权限的约束，而有效权限是最严格的权限（也就是两种权限的交集）。而当用户从本地计算机直接访问文件夹的时候，不受共享权限的约束，只受NTFS权限的约束。
同样的，这里也要考虑到两个权限的冲突问题，比如，共享权限为只读，NTFS权限是写入，那么最终权限是完全拒绝。这是因为这两个权限的组合权限是两个权限的交集。

综上我们在设置权限时先要将用户从组中摘出然后在根据实际需要在将其加入特定的组中