用戶帳戶控制 (UAC) 是 WindowsServer2008 和 WindowsVista 操作系統(tǒng)的一個(gè)新的安全組件。

用戶帳戶控制有什么作用？

UAC 允許管理員在非管理員用戶會(huì)話過程中輸入憑據(jù)以執(zhí)行臨時(shí)管理任務(wù)，而不必切換用戶、注銷或使用 Run as 命令。

UAC 還會(huì)要求管理員以特殊方式批準(zhǔn)應(yīng)用程序，從而在運(yùn)行這些應(yīng)用程序之前先執(zhí)行“系統(tǒng)范圍”更改，即使在管理員用戶會(huì)話中也是如此。

誰(shuí)會(huì)對(duì)該功能感興趣？

了解 UAC 的操作對(duì)于下列人員非常重要：

• 管理員
• IT 安全專業(yè)人士
• 為 Windows Server2008 或 WindowsVista 創(chuàng)建應(yīng)用程序的開發(fā)人員

是否有其他特殊注意事項(xiàng)？

最初用戶可能遇到大量 UAC 提示，這是因?yàn)榈谝淮闻渲貌僮飨到y(tǒng)時(shí)，要進(jìn)行許多系統(tǒng)范圍更改。但是，這些類型的更改頻率會(huì)隨著時(shí)間而降低。

當(dāng) UAC 出現(xiàn)在 Windows Server2008 和 WindowsVista 中時(shí)，默認(rèn)配置在以下方面有所不同：

• 默認(rèn)情況下，對(duì)于 Windows Server2008 或 WindowsVista 中的內(nèi)置 Administrator 帳戶不啟用管理員批準(zhǔn)模式 (AAM)。
• 默認(rèn)情況下，在 WindowsVista 中禁用內(nèi)置 Administrator 帳戶，并且創(chuàng)建的第一個(gè)用戶帳戶放置在本地 Administrators 組中，并為該帳戶啟用 AAM。
• 默認(rèn)情況下，Windows Server2008 中啟用了內(nèi)置 Administrator 帳戶。對(duì)此帳戶禁用 AAM。

此功能提供了哪些新用途？

UAC 包含多個(gè)功能和安全性改進(jìn)。

管理員批準(zhǔn)模式

管理員批準(zhǔn)模式 (AAM) 是一種 UAC 配置，使用這種配置為管理員創(chuàng)建拆分用戶存取令牌。當(dāng)管理員登錄到基于 Windows Server2008 的計(jì)算機(jī)時(shí)，將為管理員分配兩個(gè)單獨(dú)的存取令牌。在沒有 AAM 的情況下，一個(gè)管理員帳戶僅接收一個(gè)存取令牌，授予該管理員訪問所有 Windows 資源的權(quán)限。

為什么此功能非常重要？

AAM 幫助防止惡意程序在管理員不察覺的情況下無(wú)提示地進(jìn)行安裝。它還幫助防止意外的系統(tǒng)范圍更改。最后，它可用于強(qiáng)制執(zhí)行更高級(jí)別的相容性，在此情況下，對(duì)于每個(gè)管理進(jìn)程，管理員必須主動(dòng)同意或提供憑據(jù)。

工作方式有何不同？

在 Windows Server2008 中的標(biāo)準(zhǔn)用戶（非管理員）和管理員之間的區(qū)別在于：用戶所具有的對(duì)計(jì)算機(jī)的受保護(hù)核心區(qū)域的訪問權(quán)限級(jí)別不同。管理員可以更改系統(tǒng)狀態(tài)、關(guān)閉防火墻、配置安全策略、安裝影響計(jì)算機(jī)上每個(gè)用戶的服務(wù)或驅(qū)動(dòng)程序，以及為整個(gè)計(jì)算機(jī)安裝軟件程序。標(biāo)準(zhǔn)用戶不能執(zhí)行這些任務(wù)。

啟用 AAM 后，管理員會(huì)接收到一個(gè)完全存取令牌和一個(gè)被稱為“篩選的存取令牌”的第二個(gè)存取令牌。在登錄過程中，將刪除或禁用標(biāo)識(shí)為管理員的授權(quán)和訪問控制組件，以創(chuàng)建篩選的存取令牌。然后使用篩選的存取令牌啟動(dòng) Explorer.exe，該進(jìn)程創(chuàng)建并擁有用戶的桌面。由于應(yīng)用程序一般從啟動(dòng)它們的進(jìn)程（在此情況下是 Explorer.exe）繼承其存取令牌，因此它們也通過該篩選的存取令牌運(yùn)行。

備注
當(dāng)標(biāo)準(zhǔn)用戶登錄時(shí)，僅創(chuàng)建一個(gè)用戶存取令牌。標(biāo)準(zhǔn)用戶的完全存取令牌所授予的訪問權(quán)限與管理員的篩選的存取令牌所授予的訪問權(quán)限相同。

管理員登錄后，除非嘗試執(zhí)行管理任務(wù)，否則將不使用該管理員的完全存取令牌。

重要事項(xiàng)
由于可以使用本地組策略編輯器 (secpol.msc) 和組策略管理控制臺(tái) (GPMC) (gpedit.msc) 配置用戶體驗(yàn)，因此不存在單一的 UAC 用戶體驗(yàn)。

根據(jù)服務(wù)器的使用性質(zhì)，除終端服務(wù)器之外，管理員登錄服務(wù)器的頻率比管理員需要登錄到客戶端工作站的頻率高得多。因此，默認(rèn)情況下，禁用 Windows Server2008 中內(nèi)置 Administrator 帳戶的 AAM。默認(rèn)情況下，對(duì)于作為本地 Administrators 組的成員的其他帳戶，將啟用 AAM。

如何解決所有問題？

如果操作系統(tǒng)不能正確標(biāo)識(shí)管理應(yīng)用程序，它可能無(wú)法正常運(yùn)行，因?yàn)樗皇褂猛耆嫒×钆啤?/p>

有關(guān)如何配置現(xiàn)有應(yīng)用程序的詳細(xì)信息，請(qǐng)參閱本主題稍后介紹的其他資源。

對(duì)此更改應(yīng)做哪些準(zhǔn)備工作？

有關(guān)計(jì)劃的信息，請(qǐng)參閱本主題稍后介紹的部署此功能應(yīng)做哪些準(zhǔn)備工作？。

提升標(biāo)準(zhǔn)用戶權(quán)限

當(dāng)標(biāo)準(zhǔn)用戶嘗試執(zhí)行的任務(wù)所需要的權(quán)限標(biāo)準(zhǔn)用戶不具備時(shí)，將出現(xiàn)提升權(quán)限提示。但是，在這種情況下，提示要求輸入管理憑據(jù)。

為什么此功能非常重要？

UAC 允許管理員在標(biāo)準(zhǔn)用戶的會(huì)話過程中輸入憑據(jù)以執(zhí)行臨時(shí)管理任務(wù)，而不必切換用戶、注銷或使用 Run as 命令。

工作方式有何不同？

在沒有 UAC 的情況下，應(yīng)用程序嘗試運(yùn)行，但在嘗試要求管理員權(quán)限的操作時(shí)將失敗。某些應(yīng)用程序正常情況下能檢測(cè)到這種情況，而有些程序則不能。

在某些情況下，出現(xiàn)提升提示請(qǐng)求憑據(jù)可能會(huì)使用戶發(fā)生混淆或產(chǎn)生附加技術(shù)支持呼叫。因此，您可能不希望用戶看到這些提示，并且只是阻止啟動(dòng)該應(yīng)用程序。

如何解決這些問題？

可以使用本地組策略編輯器 (secpol.msc) 和組策略管理控制臺(tái) (GPMC) (gpedit.msc) 配置這種標(biāo)準(zhǔn)用戶默認(rèn)提示行為。

對(duì)此更改應(yīng)做哪些準(zhǔn)備工作？

有關(guān)計(jì)劃的信息，請(qǐng)參閱本主題稍后介紹的部署此功能應(yīng)做哪些準(zhǔn)備工作？。

防火墻圖標(biāo)

管理任務(wù)和程序以新的“防火墻”圖標(biāo)標(biāo)記。

為什么此功能非常重要？

在 Windows Server2008 中統(tǒng)一使用防火墻圖標(biāo)，以表明啟動(dòng)特定任務(wù)或程序要求管理權(quán)限。這有助于查明哪個(gè)任務(wù)或程序要求提升權(quán)限、培訓(xùn)用戶和管理員，以及減少技術(shù)支持呼叫。

UAC 文件和注冊(cè)表虛擬化

Windows Server2008 包含適用于下列應(yīng)用程序的文件和注冊(cè)表虛擬化技術(shù)：不支持 UAC 的應(yīng)用程序，以及可能要求管理員的存取令牌才能正常運(yùn)行的應(yīng)用程序。

為什么此功能非常重要？

UAC 虛擬化有助于確保即使是不支持 UAC 的應(yīng)用程序也與 Windows Server2008 兼容。

工作方式有何不同？

當(dāng)不支持 UAC 的管理應(yīng)用程序嘗試寫入受保護(hù)的目錄（例如 Program Files）時(shí)，UAC 會(huì)使用“寫時(shí)復(fù)制”策略為應(yīng)用程序提供其自身的正在嘗試更改的資源的虛擬化視圖。虛擬化復(fù)制在用戶的配置文件下進(jìn)行維護(hù)。因此，為運(yùn)行不支持 UAC 的應(yīng)用程序的每個(gè)用戶創(chuàng)建一個(gè)單獨(dú)的虛擬化文件的副本。

虛擬化技術(shù)確保不支持 UAC 的應(yīng)用程序不會(huì)自動(dòng)運(yùn)行失敗，也不會(huì)因發(fā)生不一致且難以解決的錯(cuò)誤而運(yùn)行失敗。

備注
虛擬化不適用于要求完全存取令牌的應(yīng)用程序。

如何解決這些問題？

使用虛擬化功能，大多數(shù)應(yīng)用程序任務(wù)將正常操作。但是，UAC 虛擬化是對(duì)應(yīng)用程序的短期修復(fù)，而不是長(zhǎng)期解決方案。應(yīng)用程序開發(fā)人員應(yīng)盡快修改其應(yīng)用程序以便支持 UAC，而不是依賴于文件、文件夾和注冊(cè)表虛擬化來暫時(shí)修復(fù)應(yīng)用程序。

有關(guān)如何設(shè)計(jì)應(yīng)用程序以支持 UAC 的指南，請(qǐng)參閱其他資源。

備注
不支持對(duì)本機(jī) Windows 64 位應(yīng)用程序進(jìn)行虛擬化。需要這些應(yīng)用程序與 UAC 協(xié)同工作，并將數(shù)據(jù)寫入正確的位置。

備注
如果程序包含具有所需執(zhí)行級(jí)別屬性的應(yīng)用程序清單，則將對(duì)應(yīng)用程序禁用虛擬化。

對(duì)此更改應(yīng)做哪些準(zhǔn)備工作？

有關(guān)計(jì)劃的信息，請(qǐng)參閱本主題稍后介紹的部署此功能應(yīng)做哪些準(zhǔn)備工作？。

添加或更改了哪些設(shè)置？

以下系統(tǒng)設(shè)置控制 Windows Server2008 中 UAC 的行為。可以通過使用本地組策略編輯器 (secpol.msc) 或 GPMC (gpedit.msc) 配置這些設(shè)置。

在 “本地策略”的“安全選項(xiàng)”節(jié)點(diǎn)中，在“安全設(shè)置”下可以找到以下設(shè)置。

我是否需要更改任何現(xiàn)有代碼？

編寫的新的應(yīng)用程序應(yīng)該能與 UAC 一起使用，并且應(yīng)包括嵌入清單。

有關(guān)為 Windows Server2008 和 WindowsVista 創(chuàng)建新程序的詳細(xì)信息，請(qǐng)參閱其他資源。

部署此功能應(yīng)做哪些準(zhǔn)備工作？

UAC 可以顯著減少暴露于惡意軟件的機(jī)會(huì)，并允許使用標(biāo)準(zhǔn)用戶憑據(jù)運(yùn)行舊版本的應(yīng)用程序。為了使用 UAC 能取得最大的成功，請(qǐng)參閱在其他資源中列出的信息。

Windows Server 2008 的所有版本中是否都提供此功能？

在所有版本的 Windows Server2008 中 UAC 是操作系統(tǒng)中必不可少的一部分。UAC 也是 WindowsVista 操作系統(tǒng)的一部分。

其他資源

有關(guān) UAC 的詳細(xì)信息，請(qǐng)參閱下列內(nèi)容：

• 用戶帳戶控制（功能信息頁(yè)）(http://go.microsoft.com/fwlink/?LinkID=82373)（可能為英文網(wǎng)頁(yè)）
• 用戶帳戶控制概述 (http://go.microsoft.com/fwlink/?LinkId=89652)（可能為英文網(wǎng)頁(yè)） 使用新的 Windows Vista 操作系統(tǒng)中的用戶帳戶控制，可以通過限制管理員級(jí)別對(duì)授權(quán)進(jìn)程的訪問權(quán)限，從而減小泄露的風(fēng)險(xiǎn)。
• 了解和配置 Windows Vista 中的用戶帳戶控制 (http://go.microsoft.com/fwlink/?LinkID=79026)（可能為英文網(wǎng)頁(yè)） 了解 UAC 的工作方式，包括部署方案以及確保舊版應(yīng)用程序的兼容性。
• Windows Vista 用戶帳戶控制循序漸進(jìn)指南 (http://go.microsoft.com/fwlink/?LinkID=53781)（可能為英文網(wǎng)頁(yè)） 本循序漸進(jìn)指南提供了測(cè)試實(shí)驗(yàn)室環(huán)境中使用用戶帳戶控制 (UAC) 的必要說明。
• 探索 Windows Vista 虛擬實(shí)驗(yàn)室中新的用戶帳戶控制 (http://go.microsoft.com/fwlink/?LinkId=89653)（可能為英文網(wǎng)頁(yè)） 無(wú)需在您的個(gè)人計(jì)算機(jī)上安裝 Windows Vista 用戶帳戶控制，即可獲得使用此應(yīng)用程序的實(shí)踐經(jīng)驗(yàn)。
• 用戶帳戶控制 (UAC) 的 Windows Vista 應(yīng)用程序開發(fā)要求 (http://go.microsoft.com/fwlink/?LinkId=89654)（可能為英文網(wǎng)頁(yè)） 了解如何開發(fā)與 UAC 協(xié)同工作的應(yīng)用程序。

原文地址

查看更多相關(guān)文章