(1)Administrators或Power Users组帐户的SID被标记为拒绝(Deny)。

　　如果某个资源拒绝Administrators或Power Users访问，则进程无法访问该资源;而且进程会忽略除Deny之外的其他访问权限。

　　(2)除了Admin、Administrators和Power Users组帐户外，其他帐户的SID都加入受限(Restricted)列表：当进程访问资源时，必须经过两次安全检查：一次是检查令牌中启用的SID，另一次是检查受限列表里的SID，只有两次检查都通过，才能访问成功。

　　u 特权(Privilege)

　　仅保留SeChangeNotificatonPrivilege(跳过遍历检查)特权。

　　难怪这时的IE特别安全，尽管是以管理员帐户Admin登录系统，但是IE进程不能访问用户的配置文件夹(%USERPROFILE%)，连收藏夹、我的文档都不能访问!

　　IE也不能在分区根目录写入文件，对注册表没有写的权限。同时只有SeChangeNotificatonPrivilege(跳过遍历检查)特权，可以防止病毒滥用特权做坏事。

　　提示 配置文件夹ACL包括Admin和Administrators和SYSTEM，由于Administrators被标记为Deny，而Admin帐户没有对应的Restricted SID(在第二次安全检查时失败)，所以无法访问。

　　二、“基本用户”类型帮助IE强身健体

　　用“运行方式”运行IE浏览器，虽然非常安全，但是有以下两个缺陷：

　　u 限制太严格，例如IE浏览器无法加载收藏夹。

　　u 每次运行IE浏览器，还需要增加额外的步骤，很不方便。

　　本文将介绍如何给XP系统启用一个“基本用户”(Basic User)类型，这个“基本用户”(Basic User)类似于Windows Vista的“标准用户”(Standard User)，只是默认没有启用。

　　1.启用基本用户类型

　　(1)打开注册表编辑器，定位到以下注册表项：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

　　(2)新建一个名为Levels的DOWRD键值，其数据数值为0x20000。

　　2.Runas命令

　　打开命令提示符窗口，运行以下命令：

　　Runas /ShowTrustLevels

　　即可看到系统当前的信任级别，如附图所示，其中有一个“基本用户”，对应新增加的注册表键值(Levels:0x20000)。

　　运行以下命令，即可以“基本用户”的身份启动IE浏览器：

　　runas /trustlevel:基本用户 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"

　　可以新建一个快捷方式，在项目位置里输入以上的命令，这样每次双击该快捷方式，就能够以“基本用户”的身份启动IE浏览器。