Condividi tramite


Impostazioni e configurazione di Controllo account utente

Elenco delle impostazioni di Controllo account utente

Nella tabella seguente sono elencate le impostazioni disponibili per configurare il comportamento di Controllo dell'account utente e i relativi valori predefiniti.

Nome dell'impostazione Descrizione
Amministrazione modalità di approvazione per l'account amministratore predefinito Controlla il comportamento della modalità di approvazione Amministrazione per l'account amministratore predefinito.

Abilitato: l'account amministratore predefinito usa la modalità di approvazione Amministrazione. Per impostazione predefinita, qualsiasi operazione che richiede l'elevazione dei privilegi richiede all'utente di approvare l'operazione.
Disabilitato (impostazione predefinita): l'account amministratore predefinito esegue tutte le applicazioni con privilegi amministrativi completi.
Consenti alle applicazioni UIAccess di richiedere l'elevazione senza usare il desktop sicuro Controlla se i programmi UIAccess o UIA (User Interface Accessibility) possono disabilitare automaticamente il desktop sicuro per le richieste di elevazione dei privilegi usate da un utente standard.

Abilitato: i programmi UIA, tra cui Assistenza remota, disabilitano automaticamente il desktop sicuro per le richieste di elevazione dei privilegi. Se non disabiliti l'impostazione Passa al desktop sicuro quando richiedi l'impostazione dei criteri di elevazione dei privilegi, i prompt vengono visualizzati sul desktop dell'utente interattivo anziché sul desktop sicuro. Questa impostazione consente all'amministratore remoto di fornire le credenziali appropriate per l'elevazione. Questa impostazione di criterio non modifica il comportamento della richiesta di elevazione dell'account utente per gli amministratori. Se si prevede di abilitare questa impostazione di criterio, è necessario esaminare anche l'effetto dell'impostazione dei criteri Comportamento della richiesta di elevazione dei privilegi per utenti standard : se è configurato come Nega automaticamente le richieste di elevazione dei privilegi, le richieste di elevazione dei privilegi non vengono presentate all'utente.
Disabilitato (impostazione predefinita): il desktop protetto può essere disabilitato solo dall'utente del desktop interattivo o disabilitando l'impostazione Passa al desktop protetto quando viene richiesto l'impostazione dei criteri di elevazione dei privilegi .
Comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità di approvazione Amministrazione Controlla il comportamento della richiesta di elevazione dei privilegi per gli amministratori.

Elevazione senza richiesta: consente agli account con privilegi di eseguire un'operazione che richiede l'elevazione senza richiedere il consenso o le credenziali. Usare questa opzione solo negli ambienti più vincolati.
Richiedi credenziali sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di immettere un nome utente e una password con privilegi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio più alto disponibile dell'utente.
Richiedi consenso sul desktop protetto: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop protetto di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con il privilegio più alto disponibile dell'utente.
Richiedi credenziali: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto di immettere un nome utente e una password amministrativi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.
Richiedi consenso: quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con il privilegio più alto disponibile dell'utente.
Richiedi il consenso per i file binari non Windows (impostazione predefinita): quando un'operazione per un'applicazione non Microsoft richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop sicuro di selezionare Consenti o Nega. Se l'utente seleziona Consenti, l'operazione continua con il privilegio più alto disponibile dell'utente.
Comportamento della richiesta di elevazione dei privilegi per gli utenti standard Controlla il comportamento della richiesta di elevazione dei privilegi per gli utenti standard.

Richiedi credenziali (impostazione predefinita): quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto di immettere un nome utente e una password amministrativi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.
Nega automaticamente le richieste di elevazione dei privilegi: quando un'operazione richiede l'elevazione dei privilegi, viene visualizzato un messaggio di errore di accesso negato configurabile. Un'azienda che esegue desktop come utente standard può scegliere questa impostazione per ridurre le chiamate al supporto tecnico.
Richiedi credenziali sul desktop protetto Quando un'operazione richiede l'elevazione dei privilegi, all'utente viene richiesto sul desktop sicuro di immettere un nome utente e una password diversi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.
Rilevare le installazioni delle applicazioni e richiedere l'elevazione Controlla il comportamento del rilevamento dell'installazione dell'applicazione per il computer.

Abilitato (impostazione predefinita): quando viene rilevato un pacchetto di installazione dell'app che richiede l'elevazione dei privilegi, all'utente viene richiesto di immettere un nome utente e una password amministrativi. Se l'utente immette credenziali valide, l'operazione continua con il privilegio applicabile.
Disabilitato: i pacchetti di installazione dell'app non vengono rilevati e viene richiesta l'elevazione. Le aziende che eseguono desktop utente standard e usano tecnologie di installazione delegate, ad esempio Microsoft Intune, devono disabilitare questa impostazione di criterio. In questo caso, il rilevamento del programma di installazione non è necessario.
Elevare solo i file eseguibili firmati e convalidati Applica i controlli delle firme per tutte le applicazioni interattive che richiedono l'elevazione dei privilegi. Gli amministratori IT possono controllare quali applicazioni possono essere eseguite aggiungendo certificati all'archivio certificati autori attendibili nei dispositivi locali.

Abilitato: applica la convalida del percorso di certificazione del certificato per un determinato file eseguibile prima che sia consentito l'esecuzione.
Disabilitato (impostazione predefinita): non applica la convalida del percorso di certificazione del certificato prima che sia consentito l'esecuzione di un determinato file eseguibile.
Elevare solo le applicazioni UIAccess installate in posizioni sicure Controlla se le applicazioni che richiedono l'esecuzione con un livello di integrità UIAccess (User Interface Accessibility) devono risiedere in un percorso sicuro nel file system. Le posizioni sicure sono limitate alle cartelle seguenti:
- %ProgramFiles%, incluse le sottocartelle
- %SystemRoot%\system32\
- %ProgramFiles(x86)%, incluse le sottocartelle


Abilitato (impostazione predefinita): se un'app si trova in un percorso sicuro nel file system, viene eseguita solo con integrità UIAccess.
Disabilitata: un'app viene eseguita con integrità UIAccess anche se non si trova in un percorso sicuro nel file system.

Nota: Windows applica un controllo della firma digitale a tutte le app interattive che richiede l'esecuzione con un livello di integrità UIAccess indipendentemente dallo stato di questa impostazione.
Eseguire tutti gli amministratori in modalità approvazione Amministrazione Controlla il comportamento di tutte le impostazioni dei criteri di Controllo dell'account utente.

Abilitato (impostazione predefinita): Amministrazione modalità di approvazione è abilitata. Questo criterio deve essere abilitato e devono essere configurate le impostazioni di Controllo dell'account utente correlate. Il criterio consente l'esecuzione dell'account administrator predefinito e dei membri del gruppo Administrators in modalità di approvazione Amministrazione.
Disabilitato: Amministrazione modalità approvazione e tutte le impostazioni dei criteri di Controllo dell'account utente correlate sono disabilitate. Nota: se questa impostazione di criterio è disabilitata, Sicurezza di Windows notifica che la sicurezza complessiva del sistema operativo è ridotta.
Passare al desktop sicuro quando si richiede l'elevazione Questa impostazione di criterio controlla se la richiesta di elevazione dei privilegi viene visualizzata sul desktop dell'utente interattivo o sul desktop protetto.

Abilitato (impostazione predefinita): tutte le richieste di elevazione dei privilegi vengono inviate al desktop sicuro indipendentemente dalle impostazioni dei criteri di comportamento delle richieste per amministratori e utenti standard.
Disabilitato: tutte le richieste di elevazione dei privilegi vengono inviate al desktop dell'utente interattivo. Vengono usate le impostazioni dei criteri di comportamento della richiesta per gli amministratori e gli utenti standard.
Virtualizzare gli errori di scrittura dei file e del Registro di sistema in posizioni per utente Controlla se gli errori di scrittura dell'applicazione vengono reindirizzati ai percorsi definiti del Registro di sistema e del file system. Questa impostazione riduce le applicazioni eseguite come amministratore e scrive i dati dell'applicazione in fase di esecuzione in %ProgramFiles%, %Windir%, %Windir%\system32o HKLM\Software.

Abilitato (impostazione predefinita): gli errori di scrittura delle app vengono reindirizzati in fase di esecuzione ai percorsi utente definiti sia per il file system che per il Registro di sistema.
Disabilitato: le app che scrivono dati in percorsi protetti hanno esito negativo.

Configurazione del controllo dell'account utente

Per configurare Controllo dell'account utente, è possibile usare:

  • Microsoft Intune/MDM
  • Criteri di gruppo
  • Registro di sistema

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Configurare Controllo dell'account utente con un criterio del catalogo delle impostazioni

Per configurare i dispositivi usando Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni elencate sotto la categoria Local Policies Security Options:

Screenshot che mostra i criteri di Controllo dell'account utente nel catalogo delle impostazioni di Intune.

Assegnare i criteri a un gruppo di sicurezza che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando un criterio personalizzato con il provider di servizi di configurazione criteri LocalPoliciesSecurityOptions.
Le impostazioni dei criteri si trovano in: ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions.

Impostazione
Nome impostazione: Amministrazione modalità di approvazione per l'account amministratore predefinito
Nome CSP dei criteri: UserAccountControl_UseAdminApprovalMode
Nome impostazione: Consenti alle applicazioni UIAccess di richiedere l'elevazione senza usare il desktop protetto
Nome CSP dei criteri: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Nome impostazione: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità di approvazione Amministrazione
Nome CSP dei criteri: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Nome impostazione: comportamento della richiesta di elevazione dei privilegi per gli utenti standard
Nome CSP dei criteri: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Nome impostazione: rilevare le installazioni dell'applicazione e richiedere l'elevazione
Nome CSP dei criteri: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Nome impostazione: eleva solo i file eseguibili firmati e convalidati
Nome CSP dei criteri: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Nome impostazione: elevare solo le applicazioni UIAccess installate in posizioni sicure
Nome CSP dei criteri: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Nome impostazione: eseguire tutti gli amministratori in modalità approvazione Amministrazione
Nome CSP dei criteri: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Nome impostazione: passare al desktop sicuro quando si richiede l'elevazione
Nome CSP dei criteri: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Nome impostazione: Virtualizzare gli errori di scrittura del file e del Registro di sistema nei percorsi per utente
Nome CSP dei criteri: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations