administrators的权限是没有限制的，拥有一切权限，powerusers的权限仅次于administrators组的限制，这个组的成员可以管理共享资源，可以管理其他组的成员，但是不能管理administrtors组的成员，不能更改ip，不能格式化硬盘。

Power Users 可以执行以下操作：1、 运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族中属于 Windows Logo program for Software 的应用程序和以前的应用程序。2、安装不修改操作系统文件的程序或安装系统服务。3、自定义整个系统的资源，包括打印机、日期/时间、电源选项和其他“控制面板”资源。4、创建和管理本地用户帐户和组。5、启动和停止默认情况下不启动的服务。Power Users 不具有将自己添加到 Administrators 组的权限。Power Users 不能访问 NTFS 卷上的其他用户数据，除非他们获得了这些用户的授权。警告： 在 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族的某个成员中运行旧的程序时，通常需要修改对某些系统设置的访问权限。如果默认权限允许 Power Users 运行旧的程序，则同时也可能让 Power User 获得系统的其他权限，甚至是完全的管理控制权限。因此，为了获得最大程度的安全性而又不牺牲程序的功能，最重要的是部署属于 Windows Logo Program for Software 的应用程序。这些程序可在由 Users 组提供的安全配置下正常运行。6、由于 Power Users 可以安装或修改程序，因而以 Power User 身份连接到 Internet 时可能引起特洛伊木马程序的攻击或其他安全隐患。UsersUsers 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户的数据。Users 组提供了一个最安全的程序运行环境。在使用 NTFS 文件系统格式化的卷上，全新安装系统（不是升级的系统）上的默认安全设置用于禁止该组的成员损害操作系统和已安装程序的完整性。Users 不能修改整个系统的注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。Users 可以运行属于 Windows Logo Program for Software 的 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族程序（由管理员安装或部署）。Users 对自己的所有数据文件（存储在 %userprofile% 下）和注册表中有关他们自己的那一部分（位于 HKEY_CURRENT_USER 中）具有完全的控制权。请注意，User 级别的权限通常不允许该类用户正常运行旧的应用程序。要运行这些旧的应用程序，您必须放宽安全设置以允许 Users 组的成员运行这些应用程序，或者必须将 Users 组的成员升级到 Power Users 组。这两种选择都将降低组织的安全性。由于 Users 组的成员肯定能运行 Windows Logo Program for Software 的应用程序，因此最好的做法是仅使用属于 Windows Logo Program for Software 的应用程序。详细信息，请参阅 Microsoft 网站上的 Windows Logo program for Software。 要保证运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族的某个成员的系统安全，管理员应该：1、确保最终用户只是 Users 组的成员。2、部署可由 Users 组的成员正常运行的程序，如属于 Windows Logo Program for Software 的程序。Users 将无法运行为 Windows 2000 以前版本所编写的大多数 Windows 程序，因为这些应用程序或者不支持文件系统和注册表安全（如 Windows 95 和 Windows 98），或者具有其他的默认安全设置 (Windows NT)。如果在新安装的 NTFS 系统上运行旧的应用程序有问题，可采取下列措施之一： 安装属于 Windows Logo Program for Software 的新版本应用程序。 将终端用户从 Users 组移到 Power Users 组。 降低 Users 组的默认安全权限。这可以用兼容的安全模板完成。返回页首Anonymous 组不再是 Everyone 组的成员对 Windows XP Professional 和 Windows Server 2003 家族而言，Anonymous 组不再是 Everyone 组的成员。当将 Windows 2000 系统升级到 Windows XP Professional 或 Windows Server 2003 家族时，升级之后，Anonymous 用户将不能够再使用具有 Everyone 组权限项目（且未明确授予 Anonymous Logon 组）的资源。在大多数情况下，对匿名访问都有适当的限制。为了支持需要匿名访问而且此前已存在的应用程序，可能有必要允许匿名访问。