Windows 本機系統中都會有個 "SYSTEM" 群組,這個群組是由 Windows Server 自動建立的,但卻無法透過 GUI 介面瀏覽或修改。通常 SYSTEM 群組都用於作業系統中的特殊使用者,通常是作業系統中所附的一些 Windows 服務或作業系統專用的帳戶,通常這類的使用者都無法登入,但擁有的權限卻是無限大。
例如說在每個磁碟機下都會有個 "System Volume Information" 的系統目錄,當你的 Windows XP 有使用「系統還原」功能時,System Volume Information 目錄就是用來備份磁碟資料與還原點資訊的目錄,而在每個磁碟分割上都一定會有一個 System Volume Information 資料夾,不過預設是看不見的,要取消勾選檔案總管中 [資料夾選項] 中的「隱藏保護的作業系統檔案」才看的見。
![取消勾選檔案總管中 [資料夾選項] 中的「隱藏保護的作業系統檔案」](/image.axd?picture=WindowsLiveWriter/SYSTEM_1389C/image_thumb_1.png)
不過,這個目錄正常來說連 Administrator 都無法存取,就算看的見你也是無法存取的,我用檔案總管看一下這個目錄的安全性設定,發現只有 SYSTEM 這個群組可以操作而已。
如果你硬要進入該目錄,就會得到「無法存取 C:\System Volume Information。存取被拒。」的錯誤訊息:
如果透過命令提示字元模式進入,也會得到同樣的訊息:
如果要以 SYSTEM 的身份操作電腦的話,可以利用 at 命令搭配 cmd.exe 進入命令提示字元模式,因為 AT 命令是用來排定某些命令或程式在某個特定的日期和時間,在電腦上執行,預設來說執行的身份是 SYSTEM 權限,所以我們可以透過這個方式以 SYSTEM 的權限進入命令提示字元模式,以下是進入的步驟:
首先,你要先查詢目前的時間:
然後下達 at 指令,如下:
C:\>at 22:18 /interactive cmd
新增一項工作,工作識別碼= 1
然後過不到一分鐘,就會有一個「命令提示字元」視窗出現,此時再進入 C:\System Volume Information 就可以正常進入了。如下圖示,我可以正常進入系統專用的目錄,且可以對該目錄進行任何檔案的操作,你看到我的圖示下達 dir 指令是找不到檔案,那是因為我並沒有啟用系統還原功能。
另外,如果你有那些很想要刪除但卻無法刪除的檔案,也可以透過這個方式將檔案給刪除掉。別懷疑,電腦用久了總是會遇到鬼,有時後就真的有檔案刪不掉(例如中毒的檔案)。
注意: 如果是透過遠端桌面登入 Windows Server 2003 的話,必須登入 Console 才能正常開啟互動視窗!
相關連結