Поделиться через

Описание контроля учетных записей пользователей и удаленных ограничений в Windows Vista

  • Статья

В этой статье описывается управление учетными записями пользователей (UAC) и удаленные ограничения.

Область применения: Windows Vista
Исходный номер базы знаний: 951016

Введение

Контроль учетных записей пользователей (UAC) — это новый компонент безопасности Windows Vista. UAC позволяет пользователям выполнять повседневные задачи в качестве неадминистраторов. Эти пользователи называются стандартными пользователями в Windows Vista. Учетные записи пользователей, которые являются членами локальной группы администраторов, будут запускать большинство приложений с помощью принципа наименьших привилегий. В этом сценарии у пользователей с минимальными привилегиями есть права, похожие на права стандартной учетной записи пользователя. Однако если член локальной группы администраторов должен выполнять задачу, требующую прав администратора, Windows Vista автоматически запрашивает у пользователя утверждение.

Как работают удаленные ограничения UAC

Чтобы лучше защитить тех пользователей, которые являются членами локальной группы администраторов, мы реализуем ограничения UAC в сети. Этот механизм помогает предотвратить атаки обратного цикла. Этот механизм также помогает предотвратить удаленное удаленное выполнение локального вредоносного программного обеспечения с правами администратора.

Учетные записи локальных пользователей (учетная запись пользователя Диспетчера учетных записей безопасности)

Когда пользователь, являющийся членом локальной группы администраторов на целевом удаленном компьютере, устанавливает удаленное административное подключение с помощью команды net use *\\remotecomputer\Share$ , например, он не будет подключаться как полный администратор. Пользователь не имеет возможности повышения прав на удаленном компьютере, и пользователь не может выполнять административные задачи. Если пользователь хочет администрировать рабочую станцию с учетной записью диспетчера учетных записей безопасности (SAM), пользователь должен интерактивно войти на компьютер, который будет администрироваться с помощью удаленной помощи или удаленного рабочего стола, если эти службы доступны.

Учетные записи пользователей домена (учетная запись пользователя Active Directory)

Пользователь, у которого есть учетная запись пользователя домена, выполняет удаленный доступ к компьютеру Windows Vista. И пользователь домена является членом группы "Администраторы". В этом случае пользователь домена будет работать с полным маркером доступа администратора на удаленном компьютере, и UAC не будет в силе.

Примечание.

Это поведение отличается от поведения в Windows XP.

Отключение удаленных ограничений UAC

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Чтобы отключить удаленные ограничения UAC, выполните следующие действия.

  1. В меню Пуск выберите элемент Выполнить, введите команду regedit и нажмите клавишу ВВОД.

  2. Найдите и откройте следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. LocalAccountTokenFilterPolicy Если запись реестра не существует, выполните следующие действия.

    1. В меню "Изменить" наведите указатель мыши на "Создать", а затем выберите значение DWORD.
    2. Введите LocalAccountTokenFilterPolicy и нажмите клавишу ВВОД.

  4. Щелкните правой кнопкой мыши LocalAccountTokenFilterPolicy и выберите Изменить.

  5. В поле данных Значение введите 1 и нажмите кнопку ОК.

  6. Закройте редактор реестра.

Исправлена проблема

Проверьте, устранена ли проблема. Если проблема не устранена, обратитесь в службу поддержки.

Удаленные параметры UAC

Запись реестра LocalAccountTokenFilterPolicy может иметь значение 0 или 1. Эти значения изменяют поведение записи реестра на одну из описанных в следующей таблице.

значение Описание
0 Это значение создает отфильтрованный маркер. Это значение по умолчанию. Учетные данные администратора удаляются.
1 Это значение создает маркер с повышенными привилегиями.