Opis kontroli konta użytkownika i ograniczeń zdalnych w systemie Windows Vista
W tym artykule opisano kontrolę konta użytkownika (UAC) i ograniczenia zdalne.
Dotyczy: Windows Vista
Oryginalny numer KB: 951016
Wprowadzenie
Kontrola konta użytkownika (UAC) to nowy składnik zabezpieczeń systemu Windows Vista. Funkcja UAC umożliwia użytkownikom wykonywanie typowych codziennych zadań jako nieadministratorzy. Użytkownicy ci są nazywani standardowymi użytkownikami w systemie Windows Vista. Konta użytkowników należące do lokalnej grupy Administratorzy będą uruchamiać większość aplikacji przy użyciu zasady najniższych uprawnień. W tym scenariuszu najmniej uprzywilejowani użytkownicy mają prawa podobne do praw standardowego konta użytkownika. Jeśli jednak członek lokalnej grupy Administratorzy musi wykonać zadanie wymagające uprawnień administratora, system Windows Vista automatycznie monituje użytkownika o zatwierdzenie.
Jak działają ograniczenia zdalne funkcji UAC
Aby lepiej chronić tych użytkowników, którzy są członkami lokalnej grupy Administratorzy, implementujemy ograniczenia funkcji UAC w sieci. Ten mechanizm pomaga zapobiegać atakom sprzężenia zwrotnego . Ten mechanizm pomaga również zapobiegać zdalnemu uruchamianiu lokalnego złośliwego oprogramowania z uprawnieniami administracyjnymi.
Konta użytkowników lokalnych (konto użytkownika menedżera kont zabezpieczeń)
Gdy użytkownik będący członkiem lokalnej grupy Administratorzy na docelowym komputerze zdalnym nawiązuje zdalne połączenie administracyjne przy użyciu polecenia net use *\\remotecomputer\Share$ , na przykład nie połączy się jako pełny administrator. Użytkownik nie ma potencjału podniesienia uprawnień na komputerze zdalnym i nie może wykonywać zadań administracyjnych. Jeśli użytkownik chce administrować stacją roboczą przy użyciu konta Menedżera kont zabezpieczeń (SAM), użytkownik musi interaktywnie zalogować się na komputerze, który ma być administrowany pomocą zdalną lub pulpitem zdalnym, jeśli te usługi są dostępne.
Konta użytkowników domeny (konto użytkownika usługi Active Directory)
Użytkownik, który ma konto użytkownika domeny, loguje się zdalnie na komputerze z systemem Windows Vista. Użytkownik domeny jest również członkiem grupy Administratorzy. W takim przypadku użytkownik domeny zostanie uruchomiony z pełnym tokenem dostępu administratora na komputerze zdalnym, a funkcja UAC nie będzie obowiązywać.
Uwaga
To zachowanie nie różni się od zachowania w systemie Windows XP.
Jak wyłączyć ograniczenia zdalne funkcji UAC
Ważna
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.
Aby wyłączyć ograniczenia zdalne funkcji UAC, wykonaj następujące kroki:
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie naciśnij klawisz ENTER.
Odszukaj, a następnie kliknij następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemLocalAccountTokenFilterPolicyJeśli wpis rejestru nie istnieje, wykonaj następujące kroki:- W menu Edytuj wskaż pozycję Nowy, a następnie wybierz pozycję WARTOŚĆ DWORD.
- Wpisz LocalAccountTokenFilterPolicy, a następnie naciśnij klawisz ENTER.
Kliknij prawym przyciskiem myszy pozycję LocalAccountTokenFilterPolicy, a następnie wybierz pozycję Modyfikuj.
W polu Dane wartości wpisz 1, a następnie wybierz przycisk OK.
Zamknij Edytor rejestru.
Czy rozwiązano ten problem
Sprawdź, czy problem został rozwiązany. Jeśli problem nie zostanie rozwiązany, skontaktuj się z pomocą techniczną.
Ustawienia zdalne funkcji UAC
Wpis rejestru LocalAccountTokenFilterPolicy może mieć wartość 0 lub 1. Te wartości zmieniają zachowanie wpisu rejestru na opisane w poniższej tabeli.
| Value | Opis |
|---|---|
| 0 | Ta wartość tworzy filtrowany token. Jest to wartość domyślna. Poświadczenia administratora zostaną usunięte. |
| 1 | Ta wartość tworzy token z podwyższonym poziomem poziomu. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla