Описание контроля учетных записей пользователей и удаленных ограничений в Windows Vista

В этой статье описываются контроль учетных записей пользователей (UAC) и удаленные ограничения.

Применимо к: Windows Vista
Исходный номер базы знаний: 951016

Введение

Контроль учетных записей пользователей (UAC) — это новый компонент безопасности Windows Vista. UAC позволяет пользователям выполнять стандартные повседневные задачи от имени администраторов. Эти пользователи называются стандартными пользователями в Windows Vista. Учетные записи пользователей, которые являются членами локальной группы администраторов, будут запускать большинство приложений, используя принцип наименьших привилегий. В этом сценарии пользователи с минимальными привилегиями имеют права, похожие на права стандартной учетной записи пользователя. Однако если член локальной группы администраторов должен выполнить задачу, которая требует прав администратора, Windows Vista автоматически запрашивает у пользователя утверждение.

Принцип работы удаленных ограничений UAC

Чтобы лучше защитить пользователей, которые являются членами локальной группы администраторов, мы реализуем ограничения UAC в сети. Этот механизм помогает предотвратить атаки замыкания на себя. Этот механизм также помогает предотвратить удаленное выполнение локального вредоносного ПО с правами администратора.

Учетные записи локальных пользователей (учетная запись диспетчера учетных записей безопасности)

Когда пользователь, который является членом локальной группы администраторов на целевом удаленном компьютере, устанавливает удаленное административное подключение с помощью команды net use *\\remotecomputer\Share$ , например, он не будет подключаться от имени полного администратора. У пользователя нет возможности повышения прав на удаленном компьютере, и он не может выполнять административные задачи. Если пользователь хочет администрировать рабочую станцию с помощью учетной записи диспетчера учетных записей безопасности (SAM), он должен в интерактивном режиме войти на компьютер, который будет администрироваться с помощью удаленного помощника или удаленного рабочего стола, если эти службы доступны.

Учетные записи пользователей домена (учетная запись пользователя Active Directory)

Пользователь, у которого есть учетная запись пользователя домена, удаленно регистрирует данные на компьютере Windows Vista. Пользователь домена также является членом группы "Администраторы". В этом случае пользователь домена будет выполняться с полным маркером доступа администратора на удаленном компьютере, и UAC не будет действовать.

Примечание.

Это поведение не отличается от поведения в Windows XP.

Отключение удаленных ограничений UAC

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Чтобы отключить удаленные ограничения UAC, выполните следующие действия.

  1. В меню Пуск выберите элемент Выполнить, введите команду regedit и нажмите клавишу ВВОД.

  2. Найдите и откройте следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. Если запись LocalAccountTokenFilterPolicy реестра не существует, выполните следующие действия.

    1. В меню "Правка " наведите указатель мыши на пункт "Создать", а затем выберите значение DWORD.
    2. Введите LocalAccountTokenFilterPolicy и нажмите клавишу ВВОД.
  4. Щелкните правой кнопкой мыши LocalAccountTokenFilterPolicy и выберите " Изменить".

  5. В поле данных " Значение" введите 1 и нажмите кнопку "ОК".

  6. Закройте редактор реестра.

Исправлена ли проблема?

Проверьте, устранена ли проблема. Если проблема не устранена, обратитесь в службу поддержки.

Удаленные параметры UAC

Запись реестра LocalAccountTokenFilterPolicy может иметь значение 0 или 1. Эти значения изменяют поведение записи реестра на поведение, описанное в следующей таблице.

Значение Описание
0 Это значение создает отфильтрованный маркер. Это значение по умолчанию. Учетные данные администратора удаляются.
1 Это значение создает маркер с повышенными привилегиями.