讲一下这个2000的一些privilege。
Privilege，为本地管理员提供了一种手段，可以控制允许什么人具有啥权限或能执行啥样的系统操作，
如允许交互式登陆...。这里我们说的特权是指特殊操作所需的权限，如备份呀啥的！一旦授予了某种特权，
这些特权就会包含在用户的安全访问令牌中。这是一些基本的概念，可以看以下，比较简单明白。
系统为了管理的方便总是为每个本地组分配了相应的特权，而且历来不改变这个特权，这些东东在NT系统上可以分为内置能力，标准用户权力，顶级用户权力这么几种，可是在2000中标准权利和顶级权力已经被用户特权所取代，只有在为委派而信任计算机和用户帐户（SeEnableDelegationPrivilege)和把计算机从dock中移出（SeUndockPrivilege)这两种情境下可以把NT的权利映射到2000中的特权。
注意一下2000的一些问题。其实其实不是所有能力都有匹配的权利，因此，不会用权力完全匹配组的内置能力。而由于
特定组能力的预定义分配和不能把所有能力复制为权力，就难以区分任务，并且只能强制使用最低特权的概念。


那么在域一级下就缺少一个安全结构，造成了难以授予管理的功能。2000在AD引入后，就允许区分任务，也可授
予domain和OU相应的管理条理。
下面来谈一下具体的一些用户特权，应当有26个，也有说28个的。
SeTcbPrivilege
成为OS的一部分
允许进程可以像用户一样被鉴别，因此可以像用户一样访问相应的资源。只有底层的鉴别服务需要这样的特权所以甭管是工作站，独立服务器，还是DC都没有把这个设为某人权利。
SeMachineAccountPrivilege
添加工作站到域为了这个特权可以启用，务必保证这个用户在域控制器本地安全策略中的才行。
SeBackupPrivilege
备份文件和目录。
允许用户绕过文件和目录的权限来做备份。只有当应用程序尝试访问NTFS备份API时才检查这个特权。默认情境下，这个特权划分给Administrators和Backup Operators。
SeChangeNotifyPrivilege
回避遍历检查。
允许用户来回移动目录，可是不能列出文件夹的内容。默认情境下，这种特权被赋予Administrators,
Backup Operators, Power Users, Users ,and Everyone，换句话说就是所有人都有这种权利。
SeSystemTimePrivilege
改变系统时间。
默认情境下Administrators和Power Users有这种权利。
SeCreatePagefilePrivilege
建立分页文件。
允许用户建立和改变一个分页文件的大小。默认情境下，只有Administrators有这个特权。
SeCreateTokenPrivilege
建立令牌对象。
允许进程调用NtCreateToken()或是其它的Token-Creating APIs建立一个访问令牌。
SeCreatePermanentPrivilege
建立永久共享对象。
允许进程在2000项目管理器中建立一个目录对象。
SeDebugPrivilege
调试程序。
允许用户连接一个Debugger来调试任何进程。默认情境下Administrators有该特权。
SeEnableDelegationPrivilege
为委派而信任计算机和用户帐户。
允许用户为了委派而改变信任，只有当用户或是计算机对该对象的帐户控制标志有写权限的时候可以。
SeRemoteShutdownPrivilege
远程关闭系统。
Administrators在默认情境下有此特权。
SeAuditPrivilege
发生安全审核。
允许一个应用程序在安全日志中，建立，发生，增加一条记录。
SeIncreaseQuotaPrivilege
增加限额。
允许一个有写属性的进程使用其它进程从而取得更多的处理器限额，这种特权有助于系统调试，可是也有造成
DOS的可能。
SeIncreaseBaseProrityPrivilege
增加调度优先级。
允许一个有写属性的进程使用其它进程来获得更多的执行优先权。有这种特权的用户可以在Task管理器中改变一个进程的调度优先权。默认情况Administrators有该特权。