Описание контроля учетных записей пользователей и удаленных ограничений в Windows Vista
В этой статье описывается контроль учетных записей пользователей (UAC) и удаленные ограничения.
Применимо к: Windows Vista
Исходный номер базы знаний: 951016
Введение
Контроль учетных записей (UAC) — это новый компонент безопасности Windows Vista. Контроль учетных записей позволяет пользователям выполнять обычные повседневные задачи в качестве администраторов. В Windows Vista эти пользователи называются стандартными пользователями . Учетные записи пользователей, входящие в локальную группу администраторов, будут запускать большинство приложений по принципу минимальных привилегий. В этом сценарии у пользователей с наименьшими привилегиями есть права, аналогичные правам учетной записи стандартного пользователя. Однако если член локальной группы администраторов должен выполнить задачу, требующую прав администратора, Windows Vista автоматически запрашивает у пользователя утверждение.
Принцип работы удаленных ограничений UAC
Чтобы лучше защитить пользователей, являющихся членами локальной группы администраторов, мы реализуем ограничения контроля учетных записей в сети. Этот механизм помогает предотвратить атаки на замыкания на себя . Этот механизм также помогает предотвратить удаленный запуск локального вредоносного программного обеспечения с правами администратора.
Учетные записи локальных пользователей (учетная запись пользователя диспетчера учетных записей безопасности)
Например, когда пользователь, являющийся членом локальной группы администраторов на целевом удаленном компьютере, устанавливает удаленное административное подключение с помощью команды net use *\\remotecomputer\Share$ , он не подключается как полный администратор. Пользователь не имеет возможности повышения прав на удаленном компьютере, и пользователь не может выполнять административные задачи. Если пользователь хочет администрировать рабочую станцию с помощью учетной записи диспетчера учетных записей безопасности (SAM), пользователь должен в интерактивном режиме войти на компьютер, который будет администрироваться с помощью удаленного помощника или удаленного рабочего стола, если эти службы доступны.
Учетные записи пользователей домена (учетная запись пользователя Active Directory)
Пользователь с учетной записью пользователя домена удаленно входит в систему на компьютере с Windows Vista. Кроме того, пользователь домена является членом группы администраторов. В этом случае пользователь домена будет запускаться с полным маркером доступа администратора на удаленном компьютере, и контроль учетных записей не будет действовать.
Примечание.
Это поведение не отличается от поведения в Windows XP.
Отключение удаленных ограничений контроля учетных записей
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Чтобы отключить удаленные ограничения контроля учетных записей, выполните следующие действия.
В меню Пуск выберите элемент Выполнить, введите команду regedit и нажмите клавишу ВВОД.
Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemLocalAccountTokenFilterPolicyЕсли запись реестра не существует, выполните следующие действия.- В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
- Введите LocalAccountTokenFilterPolicy и нажмите клавишу ВВОД.
Щелкните правой кнопкой мыши LocalAccountTokenFilterPolicy и выберите команду Изменить.
В поле Данные значения введите 1 и нажмите кнопку ОК.
Закройте редактор реестра.
Это устранит проблему
Проверьте, устранена ли проблема. Если проблема не устранена, обратитесь в службу поддержки.
Удаленные параметры контроля учетных записей
Запись реестра LocalAccountTokenFilterPolicy может иметь значение 0 или 1. Эти значения изменяют поведение записи реестра на то, что описано в следующей таблице.
| Значение | Описание |
|---|---|
| 0 | Это значение создает отфильтрованный токен. Это значение по умолчанию. Учетные данные администратора удаляются. |
| 1 | Это значение создает маркер с повышенными привилегиями. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по