本文內容
用戶帳戶控制 (UAC) 有助于防止惡意軟件損壞電腦,并且有助于組織部署易于管理的桌面。 借助 UAC,應用和任務將始終在非管理員帳戶的安全上下文中運行,除非管理員專門授予管理員級別的訪問系統權限。 UAC 可阻止自動安裝未經授權的應用并防止意外更改系統設置。
UAC 允許所有用戶使用標準用戶帳戶登錄到他們的計算機。 使用標準用戶令牌啟動的進程可能會使用授予標準用戶的訪問權限執行任務。 例如用戶帳戶控制在英文系統中顯示, 資源管理器會自動繼承標準用戶級別權限。 此外,使用 資源管理器啟動(例如,通過雙擊快捷方式)的任何應用也會使用標準用戶權限組運行。 許多應用(包括操作系統本身附帶的應用)旨在通過此方式正常運行。
其他應用(尤其是那些不是使用安全設置專門精心設計的應用)通常需要附加權限才能成功運行。 這些類型的應用稱為舊版應用。 此外,諸如安裝新軟件和更改 防火墻配置之類的操作需要比提供給標準用戶帳戶更多的權限。
當應用需要使用超過標準用戶權限運行時用戶帳戶控制在英文系統中顯示,UAC 允許用戶使用其管理員令牌 () 管理組和權限來運行應用,而不是其默認的標準用戶訪問令牌。 用戶繼續在標準用戶安全上下文中運行,同時允許某些應用在需要時以提升的權限運行。
實際應用程序
UAC 中的管理員批準模式有助于防止惡意軟件在管理員不知情的情況下靜默安裝。 它還有助于防止意外的系統范圍的更改。 最后,它可以用于強制執行更高級別的合規性,其中管理員必須主動同意或為每個管理進程提供憑據。
本部分內容主題描述
用戶帳戶控制工作原理
用戶帳戶控制 (UAC) 是 的總體安全構想的基本組件。 UAC 有助于緩解惡意軟件的影響。
用戶帳戶控制安全策略設置
你可以使用安全策略配置用戶帳戶控制在組織中的工作方式。 可以使用本地安全策略管理單元 (.msc) 對它們進行本地配置,或通過組策略為域、OU 或特定組對它們進行配置。
用戶帳戶控制組策略和注冊表項設置
下面是組織可用于管理 UAC 的 UAC 組策略和注冊表項設置列表。