Windows Vista 中用户帐户控制和远程限制的说明

本文介绍用户帐户控制(UAC)和远程限制。

适用于: Windows Vista
原始 KB 数: 951016

简介

用户帐户控制(UAC)是 Windows Vista 的新安全组件。 UAC 使用户能够以非管理员身份执行常见的日常任务。 这些用户称为 Windows Vista 中的标准用户 。 属于本地管理员组成员的用户帐户将使用最低权限原则运行大多数应用程序。 在此方案中,最低特权用户具有与标准用户帐户的权限类似的权限。 但是,当本地管理员组的成员必须执行需要管理员权限的任务时,Windows Vista 会自动提示用户批准。

UAC 远程限制的工作原理

为了更好地保护属于本地管理员组成员的用户,我们在网络上实施 UAC 限制。 此机制有助于防止 环回 攻击。 此机制还有助于防止本地恶意软件使用管理权限远程运行。

本地用户帐户(安全帐户管理器用户帐户)

例如,当作为目标远程计算机上的本地管理员组成员的用户使用 net use *\\remotecomputer\Share$ 命令建立远程管理连接时,他们不会作为完全管理员进行连接。 用户在远程计算机上没有提升潜力,用户无法执行管理任务。 如果用户想要使用安全帐户管理器(SAM)帐户管理工作站,则如果用户必须以交互方式登录到要通过远程协助或远程桌面管理的计算机(如果这些服务可用)。

域用户帐户(Active Directory 用户帐户)

具有域用户帐户的用户远程登录到 Windows Vista 计算机。 并且,域用户是管理员组的成员。 在这种情况下,域用户将在远程计算机上使用完全管理员访问令牌运行,并且 UAC 不会生效。

注意

此行为与 Windows XP 中的行为不同。

如何禁用 UAC 远程限制

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅:如何备份和还原 Windows 中的注册表

若要禁用 UAC 远程限制,请执行以下步骤:

  1. 单击开始,单击运行,键入 regedit,然后按 Enter。

  2. 找到并单击下面的注册表子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. 如果 LocalAccountTokenFilterPolicy 注册表项不存在,请执行以下步骤:

    1. 编辑菜单中指向新建,然后选择 DWORD 值
    2. 键入 LocalAccountTokenFilterPolicy,然后按 Enter。
  4. 右键单击“LocalAccountTokenFilterPolicy”,然后选择“修改”。

  5. 在“值”数据框中,键入“1”,然后选择“确定”。

  6. 退出注册表编辑器。

此问题是否修复了问题

检查问题是否已修复。 如果问题未解决, 请联系支持人员

UAC 远程设置

LocalAccountTokenFilterPolicy 注册表项的值可以为 0 或 1。 这些值将注册表项的行为更改为下表中所述的行为。

说明
0 此值生成筛选的令牌。 它是默认值。 删除管理员凭据。
1 此值生成提升的令牌。