多用户操作系统

2013ft

      多用户多任务操作系统中的进程是工作在特定域中的，每个域所定义的可执行操作是特定的，即在某个域中对某个对象的访问权为可读写，而在另一个域中对此对象的访问权可能规定为只读访问。这样在前一个域中的进程可以对此对象作读写操作，而工作在后一个域中的进程却只能对该对象进行读操作，而不能对其进行写入操作。

      使诸进程工作在被指定的域中是提高多用户多任务操作系统稳定性与安全性的一种有效的方法，而这种域的定义体现在使用者面前的便是登录及用户(进程)的身份。例如以管理员身份登录系统，那么登录后可以做很多危险的事，象局域网监控软件格式化某个分区、配置页面文件、设定某个硬件为可用或不可用、删除其他用户账户、建立新的管理员组成员以及为组或用户指派或取消特定权限等等。所有这些操作在以权利小于等于Power Users的身份登录后是绝对被禁止的。

      在Windows XP中，域的实现是基于NTFS文件系统和内核两方面的，其中基于NTFS文件系统的域管理机制是更底层的保护机制，是文件系统级别的访问限制机制；而基于内核的域访问限制只能提供最基本的限制，达不到自主访问控制的要求。所以在微软的极力倡导下也仍然没有使用他们的NTFS分区的用户，他们的系统还是有一定的进程域的管理能力的。只是管理的势力范围并不全面而已。