Windows Vista 中的用户帐户控制和远程限制说明

本文介绍用户帐户控制 (UAC) 和远程限制。

适用于: Windows Vista
原始 KB 编号: 951016

简介

用户帐户控制 (UAC) 是 Windows Vista 的新安全组件。 UAC 使用户能够以非管理员身份执行常见的日常任务。 这些用户称为 Windows Vista 中的 标准用户 。 属于本地管理员组成员的用户帐户将使用 最小特权原则运行大多数应用程序。 在此方案中,最低特权用户的权限类似于标准用户帐户的权限。 但是,当本地管理员组的成员必须执行需要管理员权限的任务时,Windows Vista 会自动提示用户进行审批。

UAC 远程限制的工作原理

为了更好地保护本地管理员组成员的用户,我们在网络上实施 UAC 限制。 此机制有助于防止 环回 攻击。 此机制还有助于防止具有管理权限的本地恶意软件远程运行。

本地用户帐户 (安全帐户管理器用户帐户)

例如,当目标远程计算机上的本地 Administrators 组成员的用户使用 net use *\\remotecomputer\Share$ 命令建立远程管理连接时,他们不会以完全管理员身份进行连接。 用户在远程计算机上没有提升潜力,并且用户无法执行管理任务。 如果用户想要使用安全帐户管理器 (SAM) 帐户来管理工作站,则用户必须以交互方式登录到使用远程协助或远程桌面管理的计算机(如果这些服务可用)。

Active Directory 用户帐户) (域用户帐户

具有域用户帐户的用户远程登录到 Windows Vista 计算机。 并且,域用户是 Administrators 组的成员。 在这种情况下,域用户将在远程计算机上使用完全管理员访问令牌运行,并且 UAC 不会生效。

注意

此行为与 Windows XP 中的行为没有区别。

如何禁用 UAC 远程限制

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表

若要禁用 UAC 远程限制,请执行以下步骤:

  1. 单击“开始”,单击“运行”,键入 regedit,然后按 Enter。

  2. 找到并单击下面的注册表子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. LocalAccountTokenFilterPolicy如果注册表项不存在,请执行以下步骤:

    1. “编辑” 菜单上,指向“ 新建”,然后选择“ DWORD 值”。
    2. 键入 LocalAccountTokenFilterPolicy,然后按 Enter。
  4. 右键单击“ LocalAccountTokenFilterPolicy”,然后选择“ 修改”。

  5. “值数据 ”框中,键入 1,然后选择“ 确定”。

  6. 退出注册表编辑器。

此问题是否已修复

检查问题是否已修复。 如果问题未修复, 请联系支持人员

UAC 远程设置

LocalAccountTokenFilterPolicy 注册表项的值可以是 0 或 1。 这些值将注册表项的行为更改为下表中所述的行为。

说明
0 此值生成筛选的令牌。 它是默认值。 删除管理员凭据。
1 此值生成提升的令牌。