用户帐户控制设置和配置
用户帐户控制设置列表
下表列出了用于配置 UAC 行为的可用设置及其默认值。
| 设置名称 | 描述 |
|---|---|
| 内置管理员帐户的管理员审批模式 | 控制内置管理员帐户管理员审批模式的行为。 已启用:内置管理员帐户使用管理员审批模式。 默认情况下,任何需要特权提升的操作都提示用户批准该操作。 禁用 (默认) :内置管理员帐户以完全管理权限运行所有应用程序。 |
| 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升 | 控制用户界面辅助功能 (UIAccess 或 UIA) 程序是否可以自动禁用标准用户使用的提升提示的安全桌面。 已启用:UIA 程序(包括远程协助)会自动禁用安全桌面以提示提升。 如果未禁用 “提示提升时切换到安全桌面 ”策略设置,则会在交互式用户的桌面上而不是安全桌面上显示提示。 此设置允许远程管理员提供适当的提升凭据。 此策略设置不会更改管理员的 UAC 提升提示的行为。 如果计划启用此策略设置,还应查看 标准用户的提升提示行为 策略设置的效果:如果将其配置为 自动拒绝提升请求,则不会向用户显示提升请求。 禁用 (默认) :只有交互式桌面的用户或禁用 “提示提升时切换到安全桌面 ”策略设置,才能禁用安全桌面。 |
| 管理员审批模式下管理员的提升提示行为 | 控制管理员的提升提示的行为。 提升而不提示:允许特权帐户执行需要提升的操作,而无需同意或凭据。 仅在受约束最严重的环境中使用此选项。 在安全桌面上提示输入凭据:当操作需要特权提升时,系统会在安全桌面上提示用户输入特权用户名和密码。 如果用户输入了有效的凭据,则操作会以用户的最高可用权限继续执行。 安全桌面上的同意提示:当操作需要特权提升时,系统会提示用户在安全桌面上选择“允许”或“拒绝”。 如果用户选择“允许”,则操作会以用户的最高可用权限继续执行。 提示输入凭据:当操作需要特权提升时,系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据,则操作将继续具有适用的权限。 同意提示:当操作需要特权提升时,系统会提示用户选择“允许”或“拒绝”。 如果用户选择“允许”,则操作会以用户的最高可用权限继续执行。 非 Windows 二进制文件的同意提示 (默认) :当非Microsoft应用程序的操作需要特权提升时,系统会在安全桌面上提示用户选择“允许”或“拒绝”。 如果用户选择“允许”,则操作会以用户的最高可用权限继续执行。 |
| 标准用户的提升提示行为 | 控制标准用户的提升提示的行为。 提示输入凭据 (默认) :当操作需要特权提升时,系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据,则操作将继续具有适用的权限。 自动拒绝提升请求:当操作需要特权提升时,将显示可配置的访问被拒绝错误消息。 以标准用户身份运行桌面的企业可以选择此设置来减少技术支持呼叫。 在安全桌面上提示输入凭据 当操作需要特权提升时,系统会在安全桌面上提示用户输入不同的用户名和密码。 如果用户输入了有效的凭据,则操作将继续具有适用的权限。 |
| 检测应用程序安装并提示提升 | 控制计算机的应用程序安装检测行为。 启用 (默认) :检测到需要特权提升的应用安装包时,系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据,则操作将继续具有适用的权限。 已禁用:不会检测到应用安装包,并提示提升。 运行标准用户桌面并使用委派安装技术(例如Microsoft Intune)的企业应禁用此策略设置。 在这种情况下,安装程序检测是不必要的。 |
| 仅提升已签名和验证的可执行文件 | 对请求特权提升的任何交互式应用程序强制实施签名检查。 IT 管理员可以通过将证书添加到本地设备上的受信任发布者证书存储,来控制允许哪些应用程序运行。 已启用:在允许运行给定可执行文件之前,对其强制实施证书认证路径验证。 禁用 (默认) :在允许运行给定可执行文件之前,不强制实施证书认证路径验证。 |
| 仅提升安装在安全位置中的 UIAccess 应用程序 | 控制请求使用用户界面辅助功能 (UIAccess) 完整性级别运行的应用程序是否必须驻留在文件系统中的安全位置。 安全位置仅限于以下文件夹: - %ProgramFiles%,包括子文件夹- %SystemRoot%\system32\- %ProgramFiles(x86)%,包括子文件夹启用 (默认) :如果应用驻留在文件系统中的安全位置,则它仅以 UIAccess 完整性运行。 已禁用:即使应用不驻留在文件系统中的安全位置,应用也会使用 UIAccess 完整性运行。 注意:无论此设置的状态如何,Windows 都会在请求使用 UIAccess 完整性级别运行的任何交互式应用上强制实施数字签名检查。 |
| 在管理员审批模式下运行所有管理员 | 控制所有 UAC 策略设置的行为。 已启用 (默认) :已启用管理员审批模式。 必须启用此策略并配置相关的 UAC 设置。 该策略允许内置管理员帐户和管理员组的成员在管理员审批模式下运行。 已禁用:禁用管理员审批模式和所有相关 UAC 策略设置。 注意:如果禁用此策略设置,Windows 安全中心会通知你操作系统的整体安全性已降低。 |
| 提示提升时切换到安全桌面 | 此策略设置控制是在交互式用户的桌面上还是安全桌面上显示提升请求提示。 启用 (默认) :无论管理员和标准用户的提示行为策略设置如何,所有提升请求都会转到安全桌面。 禁用:所有提升请求都转到交互式用户的桌面。 使用管理员和标准用户的提示行为策略设置。 |
| 将文件和注册表写入失败虚拟化到每个用户位置 | 控制是否将应用程序写入失败重定向到定义的注册表和文件系统位置。 此设置可缓解以管理员身份运行的应用程序,并将运行时应用程序数据 %ProgramFiles%写入 、 %Windir%、 %Windir%\system32或 HKLM\Software。启用 (默认) :应用写入失败在运行时重定向到文件系统和注册表的已定义用户位置。 禁用:将数据写入受保护位置的应用失败。 |
用户帐户控制配置
若要配置 UAC,可以使用:
- Microsoft Intune/MDM
- 组策略
- 注册表
以下说明提供有关如何配置设备的详细信息。 选择最适合需要的选项。
Intune/CSP
GPO
注册表使用设置目录策略配置 UAC
若要使用 Microsoft Intune 配置设备,请创建设置目录策略,并使用类别Local Policies Security Options下列出的设置:
将策略分配给安全组,该安全组包含要配置的设备或用户作为成员。
或者,可以通过 LocalPoliciesSecurityOptions 策略 CSP 使用自定义策略配置设备。
策略设置位于:下。 ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions
| 设置 |
|---|
|
设置名称:管理员内置管理员帐户的审批模式 策略 CSP 名称: UserAccountControl_UseAdminApprovalMode |
|
设置名称:允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升 策略 CSP 名称: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation |
|
设置名称:管理员审批模式下管理员的提升提示行为 策略 CSP 名称: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators |
|
设置名称:标准用户的提升提示行为 策略 CSP 名称: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers |
|
设置名称:检测应用程序安装并提示提升 策略 CSP 名称: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation |
|
设置名称:仅提升已签名和验证的可执行文件 策略 CSP 名称: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated |
|
设置名称:仅提升安装在安全位置中的 UIAccess 应用程序 策略 CSP 名称: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations |
|
设置名称:在管理员审批模式下运行所有管理员 策略 CSP 名称: UserAccountControl_RunAllAdministratorsInAdminApprovalMode |
|
设置名称:在提示提升时切换到安全桌面 策略 CSP 名称: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation |
|
设置名称:将文件和注册表写入失败虚拟化到每用户位置 策略 CSP 名称: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations |