Compartilhar via

Descrição do Controle de Conta de Usuário e restrições remotas no Windows Vista

  • Artigo

Este artigo descreve o UAC (Controle de Conta de Usuário) e as restrições remotas.

Aplica-se a: Windows Vista
Número original do KB: 951016

Introdução

O UAC (Controle de Conta de Usuário) é um novo componente de segurança do Windows Vista. O UAC permite que os usuários executem tarefas comuns do dia a dia como não administradores. Esses usuários são chamados de usuários padrão no Windows Vista. As contas de usuário que são membros do grupo Administradores local executarão a maioria dos aplicativos usando o princípio de privilégios mínimos. Nesse cenário, os usuários com privilégios mínimos têm direitos que se assemelham aos direitos de uma conta de usuário padrão. No entanto, quando um membro do grupo Administradores local precisa executar uma tarefa que requer direitos de administrador, o Windows Vista solicita automaticamente a aprovação do usuário.

Como funcionam as restrições remotas do UAC

Para proteger melhor os usuários que são membros do grupo Administradores local, implementamos restrições do UAC na rede. Esse mecanismo ajuda a prevenir ataques de loopback . Esse mecanismo também ajuda a impedir que software mal-intencionado local seja executado remotamente com direitos administrativos.

Contas de usuário locais (conta de usuário do Gerente de Contas de Segurança)

Quando um usuário que é membro do grupo Administradores local no computador remoto de destino estabelece uma conexão administrativa remota usando o comando net use *\\remotecomputer\Share$ , por exemplo, ele não se conectará como um administrador completo. O usuário não tem potencial de elevação no computador remoto e não pode executar tarefas administrativas. Se o usuário quiser administrar a estação de trabalho com uma conta SAM (Gerenciador de Contas de Segurança), o usuário deverá fazer logon interativamente no computador que será administrado com a Assistência Remota ou a Área de Trabalho Remota, se esses serviços estiverem disponíveis.

Contas de usuário de domínio (conta de usuário do Active Directory)

Um usuário que tem uma conta de usuário de domínio faz logon remotamente em um computador com Windows Vista. E o usuário do domínio é membro do grupo Administradores. Nesse caso, o usuário do domínio será executado com um token de acesso de administrador completo no computador remoto e o UAC não entrará em vigor.

Observação

Esse comportamento não é diferente do comportamento no Windows XP.

Como desativar as restrições remotas do UAC

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

Para desativar as restrições remotas do UAC, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, digite regedit e pressione ENTER.

  2. Localize e clique na seguinte subchave do Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. Se a entrada do registro LocalAccountTokenFilterPolicy não existir, siga estas etapas:

    1. No menu Editar, aponte para Novo e selecione Valor DWORD.
    2. Digite LocalAccountTokenFilterPolicy e pressione ENTER.

  4. Clique com o botão direito do mouse em LocalAccountTokenFilterPolicy e, em seguida, selecione Modificar.

  5. Na caixa de dados Valor, digite 1 e, em seguida, selecione OK.

  6. Saia do Editor do Registro.

Isso resolveu o problema

Verifique se o problema foi corrigido. Se o problema não for corrigido, entre em contato com o suporte.

Configurações remotas do UAC

A entrada do Registro LocalAccountTokenFilterPolicy pode ter um valor de 0 ou 1. Esses valores alteram o comportamento da entrada do Registro para o descrito na tabela a seguir.

Valor Descrição
0 Esse valor cria um token filtrado. É o valor padrão. As credenciais de administrador são removidas.
1 Esse valor cria um token elevado.