Windows Vista 中的用户帐户控制和远程限制说明

本文介绍用户帐户控制 (UAC) 和远程限制。

适用于: Windows Vista
原始 KB 编号: 951016

简介

用户帐户控制 (UAC) 是 Windows Vista 的新安全组件。 通过 UAC,用户可以以非管理员身份执行常见的日常任务。 这些用户在 Windows Vista 中称为 标准用户 。 作为本地管理员组成员的用户帐户将使用 最低特权原则运行大多数应用程序。 在此方案中,特权最低的用户具有类似于标准用户帐户权限的权限。 但是,当本地管理员组的成员必须执行需要管理员权限的任务时,Windows Vista 会自动提示用户进行审批。

UAC 远程限制的工作原理

为了更好地保护作为本地管理员组成员的用户,我们对网络实施 UAC 限制。 此机制有助于防止 环回 攻击。 此机制还有助于防止本地恶意软件使用管理权限远程运行。

安全帐户管理器用户帐户 (本地用户帐户)

例如,当作为目标远程计算机上本地管理员组成员的用户使用 Net use *\\remotecomputer\Share$ 命令建立远程管理连接时,他们不会以完全管理员身份连接。 用户在远程计算机上没有提升潜力,用户无法执行管理任务。 如果用户想要使用安全帐户管理器管理工作站 (SAM) 帐户,则如果这些服务可用,则用户必须以交互方式登录到要使用远程协助或远程桌面管理的计算机。

Active Directory 用户帐户 (域用户帐户)

具有域用户帐户的用户远程登录到 Windows Vista 计算机。 并且,域用户是管理员组的成员。 在这种情况下,域用户将在远程计算机上使用完整的管理员访问令牌运行,并且 UAC 不会生效。

注意

此行为与 Windows XP 中的行为没有区别。

如何禁用 UAC 远程限制

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表

若要禁用 UAC 远程限制,请执行以下步骤:

  1. 单击“开始”,单击“运行”,键入 regedit,然后按 Enter。

  2. 找到并单击下面的注册表子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. LocalAccountTokenFilterPolicy如果注册表项不存在,请执行以下步骤:

    1. “编辑” 菜单上,指向 “新建”,然后选择 “DWORD 值”。
    2. 入 LocalAccountTokenFilterPolicy,然后按 ENTER。
  4. 右键单击 LocalAccountTokenFilterPolicy,然后选择 “修改”。

  5. “值”数据 框中,键 入 1,然后选择 “确定”。

  6. 退出注册表编辑器。

这是否修复了问题

检查问题是否已修复。 如果问题未解决, 请联系支持人员

UAC 远程设置

LocalAccountTokenFilterPolicy 注册表项的值可以是 0 或 1。 这些值将注册表项的行为更改为下表中所述的行为。

说明
0 此值生成筛选的令牌。 这是默认值。 将删除管理员凭据。
1 此值生成提升的令牌。