Exportar (0) Imprimir
Expandir Tudo

Guia passo a passo do controle de conta de usuário do Windows

Atualizado: abril de 2011

Aplica-se a: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Storage Server 2008 R2, Windows Vista

Este guia passo a passo fornece as instruções necessárias para usar o Controle de conta de usuário (UAC) em um ambiente de teste.

Este documento não se destina a fornecer uma descrição completa e detalhada do UAC. Os recursos adicionais podem incluir:

  • Todos os usuários deste Guia Passo a Passo também se interessarão pela Introdução ao Controle de Conta de Usuário do Windows Vista (http://go.microsoft.com/fwlink/?LinkID=102562).

  • Para obter informações adicionais sobre profissionais de TI, consulte as Noções básicas sobre o Controle de Conta de Usuário no Windows Vista e sua configuração (http://go.microsoft.com/fwlink/?LinkId=56402).

  • Para obter informações de desenvolvedores e distribuidores independentes de software sobre como desenvolver aplicativos para o Windows Vista® ou o Windows Server® 2008, consulte As histórias de desenvolvedores do Windows Vista e do Windows Server 2008: Requisitos de Desenvolvimento de Aplicativos do Windows Vista para o Controle de Conta de Usuário (UAC) (http://go.microsoft.com/fwlink/?LinkId=89654).

O que é Controle de Conta de Usuário?

O Controle de Conta de Usuário (UAC) é um novo componente de segurança no Windows Vista. O UAC permite que usuários executem tarefas comuns como usuários sem privilégios de administrador, chamados usuários padrão no Windows Vista e como administradores sem ter que alternar usuários, fazer logoff ou usar Executar como. Uma conta de usuário padrão é semelhante a uma conta de usuário no Windows XP. As contas de usuários que são membros do grupo Administradores local executarão a maioria dos aplicativos como um usuário padrão. Ao separar as funções de usuário e administrador enquanto ativa a produtividade, o UAC representa um aperfeiçoamento importante para o Windows Vista.

noteObservação
O UAC é também um componente do Windows Server 2008.

Quando um administrador faz logon em um computador que esteja executando o Windows Vista, o usuário recebe dois tokens de acesso separados. Os tokens de acesso, que contêm uma associação ao grupo de usuário, dados de autorização e de controle de acesso, são usados pelo Windows® para controlar os recursos e as tarefas que o usuário pode acessar. Antes do Windows Vista, uma conta de administrador recebia apenas um token de acesso, o qual incluía dados para conceder ao usuário acesso a todos os recursos do Windows. Esse modelo de controle de acesso não incluía verificações de failsafe para garantir que os usuários quisessem realmente executar uma tarefa que exigisse o token de acesso administrativo. Por isso, softwares mal-intencionados podiam se instalar nos computadores dos usuários sem que eles fossem notificados. (Em geral, esse processo é conhecido como instalação "silenciosa".)

Ainda mais prejudicial, já que o usuário é um administrador, o software mal-intencionado poderia usar os dados de controle de acesso do administrador para infectar os arquivos principais do sistema operacional e, em alguns casos, se tornar quase impossível de remover.

A diferença principal entre um usuário padrão e um administrador no Windows Vista é o nível de acesso que o usuário tem sobre áreas principais e protegidas do computador. Os administradores podem alterar o estado do sistema, desativar o firewall, configurar a diretiva de segurança, instalar um serviço ou driver que afete todos os usuários no computador e instalar software em todo o computador. Os usuários padrão não podem executar estas tarefas e só podem instalar software por usuário.

Para ajudar a evitar que um software mal-intencionado se instale silenciosamente e cause infecção em todo o computador, a Microsoft desenvolveu o recurso UAC. Diferentemente das versões anteriores do Windows, quando um administrador faz logon em um computador que esteja executando o Windows Vista, o token de acesso de administrador do usuário é dividido em dois tokens de acesso: um token de acesso de administrador completo e um token de acesso de usuário padrão. Durante o processo de logon, os componentes de autorização e controle de acesso que identificam um administrador são removidos, resultando em um token de acesso de usuário padrão. O token de acesso de usuário padrão é usado para iniciar a área de trabalho, o processo Explorer.exe. Como todos os aplicativos herdam seus dados de controle de acesso da inicialização da área de trabalho, eles também são executados como um usuário padrão.

Depois que um administrador fizer logon, o token de acesso completo do administrador não será chamado até que o usuário tente executar uma tarefa administrativa.

Contrastando com esse processo, quando um usuário padrão fizer logon, somente o token de acesso do usuário padrão será criado. Esse token de acesso de usuário padrão é usado para iniciar o desktop.

ImportantImportante
Como a experiência de usuário pode ser configurada com a Diretiva de grupo, podem haver diferentes experiências de usuário, dependendo das configurações de diretiva. As escolhas de configuração feitas no seu ambiente afetarão os avisos e caixas de diálogo vistas pelos usuários padrão, administradores ou ambos.

Quem deve usar este guia?

Este guia é destinado para os seguintes públicos:

  • Projetistas e analistas de TI que estejam avaliando o produto

  • Arquitetos de segurança responsáveis por implementar computação confiável

  • Administradores que necessitem controlar o comportamento do UAC

Por que usar este guia?

Os grupos listados acima deverão usar este guia para testar como seus aplicativos de linha de negócios (LOB) são executados no Windows Vista. Como o UAC faz uma clara distinção entre os processos do administrador e do usuário padrão, alguns aplicativos LOB existentes poderão ser reprojetados por um distribuidor de software independente (ISV) ou uma equipe interna de ferramentas ou marcada para sempre ser executada de forma elevada

Neste guia

Requisitos do Controle de Conta de Usuário

Recomendamos que você use primeiramente as etapas fornecidas neste guia em um ambiente de teste. Os guias passo a passo não são destinados necessariamente ao uso para implementar os recursos do Windows Vista sem a documentação anexa (como listado na seção Recursos adicionais) e deverão ser usados com cuidado como um documento autônomo.

Configurando o laboratório de testes

A configuração de laboratório necessária para testar o UAC inclui um controlador de domínio que execute o Windows Server 2008 (ou o Windows Server® 2003), um servidor membro que execute o Windows Server 2008 (ou o Windows Server 2003) e um computador cliente que execute o Windows Vista. O controlador de domínio, o servidor membro e o computador cliente devem estar em uma rede isolada e conectados por um hub comum ou comutador de Camada 2. Os endereços privados podem ser usados durante a configuração do teste.

Cenários principais do Controle de Conta de Usuário

Este guia abrange os seguintes cenários do UAC:

noteObservação
Os três cenários incluídos neste guia são destinados a ajudar os administradores a se familiarizar com o recurso UAC do Windows Vista. Eles incluem informações básicas e administradores de procedimentos necessários para começar a usar o UAC. As informações e procedimentos das configurações avançadas e personalizadas do UAC não estão incluídas neste guia.

Cenário 1: solicitar que um aplicativo seja executado de forma elevada por uma vez

No Windows Vista, o UAC e seu Modo de aprovação de administrador estão ativados por padrão. Quando o UAC está ativado, as contas do administrador local são executadas como contas de usuário padrão. Isso significa que quando um membro do grupo de Administradores locais faz logon, ele é executado sem seus privilégios administrativos. Isso ocorrerá até que ele tente executar um aplicativo ou tarefa que tenha um token administrativo. Quando um membro do grupo de Administradores locais tentar iniciar esse aplicativo ou tarefa, ele será solicitado a consentir a execução do aplicativo de forma elevada. O cenário 1 detalha o procedimento para executar um aplicativo ou tarefa de forma elevada por uma vez.

noteObservação
Para executar o procedimento a seguir, você deverá fazer logon no computador cliente como membro do grupo de administradores locais. Você não pode fazer logon com a conta de administrador (ou interna) porque o Modo de aprovação de administrador não se aplica a esta conta. (A conta de administrador interna está desativada nas novas instalações do Windows Vista.)

Para solicitar que um aplicativo seja executado de forma elevada por uma vez

  1. Inicie um aplicativo ao qual provavelmente será atribuído um token administrativo, como a Limpeza de disco do Microsoft Windows. Um aviso do Controle de conta de usuário será exibido.

  2. Verifique se os detalhes apresentados correspondem à solicitação iniciada.

  3. Na caixa de diálogo Controle de conta do usuário, clique em Continuar para iniciar o aplicativo.

Cenário 2: configurar um aplicativo para que sempre seja executado de forma elevada

O cenário 2 é semelhante ao cenário anterior no qual você quis executar um aplicativo ou processo de forma elevada com o token de acesso do administrador. No entanto, neste cenário, você deseja executar um aplicativo que não tenha sido marcado pelo desenvolvedor ou identificado pelo sistema operacional como um aplicativo administrativo. Alguns aplicativos, como aplicativos de linha de negócios internos ou produtos que não sejam da Microsoft, poderão exigir direitos administrativos, mas não foram identificados como tal. Neste cenário, você marcará um aplicativo para solicitar o consentimento dos usuários, e caso seja concedido, executar um aplicativo administrativo. O procedimento a seguir orientará você nesse processo.

noteObservação
Para executar o procedimento a seguir, você deverá fazer logon no computador cliente como membro do grupo de administradores locais. Você não pode fazer logon com a conta de administrador (ou interna) porque o Modo de aprovação de administrador não se aplica a esta conta.

ImportantImportante
Este procedimento não poderá ser usado para evitar que o UAC solicite consentimento para executar um aplicativo administrativo.

Para configurar um aplicativo para que sempre seja executado de forma elevada

  1. Clique com o botão direito em um aplicativo que provavelmente não tenha atribuído um token administrativo, como um aplicativo de processamento de texto.

  2. Clique em Propriedades e, em seguida, selecione a guia Compatibilidade.

  3. Em Nível de privilégio, selecione Executar este programa como administrador e clique em OK.

    noteObservação
    Se a opção Executar este programa como administrador estiver indisponível, isso significará que o aplicativo não poderá ser sempre executado de forma elevada, que o aplicativo não necessita de credenciais administrativas para ser executado, que o aplicativo é parte da versão atual do Windows Vista ou que você não fez logon no computador como administrador.

Cenário 3: configurar o Controle de Conta de Usuário

O cenário 3 descreve algumas tarefas comuns que os administradores locais executam durante a instalação e a configuração dos computadores clientes que executam o Windows Vista. Os procedimentos a seguir guiarão você pelas tarefas de desativação do UAC, desativação do Modo de aprovação de administrador, desativação da solicitação de credenciais do UAC para instalar aplicativos e alteração do comportamento do prompt de elevação.

ImportantImportante
As opções de configuração avançadas do UAC não estão disponíveis no Windows Vista Starter, Windows Vista Home Basic ou Windows Vista Home Premium.

Desativando o UAC

Use o procedimento a seguir para desativar o UAC.

Para executar o procedimento a seguir, você deverá fazer logon ou fornecer as credenciais de um membro do grupo de Administradores locais.

ImportantImportante
A desativação do UAC reduz a segurança do computador e poderá expor você a um maior risco de software mal-intencionado. Não recomendamos deixar o UAC desativado.

Para desativar o UAC

  1. Clique em Iniciar e em Painel de Controle.

  2. No Painel de Controle, clique em Contas de Usuário.

  3. Na janela Contas de Usuário, clique em Contas de Usuário.

  4. Na janela de tarefas Contas de Usuário, clique em Ativar ou Desativar Controle de Conta de Usuário.

  5. Se o UAC estiver atualmente configurado no Modo de Aprovação de Administrador, a mensagem Controle de Conta de Usuário será exibida. Clique em Continuar.

  6. Limpe a caixa de seleção Utilizar o Controle de Conta de Usuário (UAC) para ajudar a proteger o computador e clique em OK.

  7. Clique em Reiniciar Agora para aplicar a alteração imediatamente ou clique em Reiniciar Depois e feche a janela de tarefas Contas de Usuário.

Desativar o Modo de Aprovação do Administrador

Use o procedimento a seguir para desativar o Modo de Aprovação do Administrador.

noteObservação
Para executar o procedimento a seguir, você deverá fazer logon no computador cliente como administrador local.

ImportantImportante
Não há suporte para este procedimento no Windows Vista Starter, Windows Vista Home Basic ou Windows Vista Home Premium.

Para desativar o Modo de Aprovação do Administrador

  1. Clique em Iniciar, em Todos os Programas, em Acessórios, em Executar, digite secpol.msc na caixa Abrir e clique em OK.

  2. Caso a caixa de diálogo Controle de Conta de Usuário apareça, confirme se a ação exibida é a desejada e clique em Continuar..

  3. Na árvore de console Configurações de Segurança Locais, clique duas vezes em Diretivas Locais e em Opções de Segurança.

  4. Role para baixo e clique duas vezes em Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador.

  5. Selecione a opção Desativado e, em seguida, clique em OK.

  6. Feche a janela Configurações de Segurança Locais.

Desativar a solicitação de credenciais do Controle de Conta de Usuário para instalar aplicativos

Use o procedimento a seguir para desativar a solicitação de credenciais do UAC para instalar aplicativos.

noteObservação
Para executar o procedimento a seguir, você deverá fazer logon no computador cliente como administrador local.

ImportantImportante
Não há suporte para este procedimento no Windows Vista Starter, Windows Vista Home Basic ou Windows Vista Home Premium.

Para desativar a solicitação de credenciais do UAC para instalar aplicativos

  1. Clique em Iniciar, em Todos os Programas, em Acessórios, em Executar, digite secpol.msc na caixa de texto Abrir e clique em OK.

  2. Na árvore de console Configurações de Segurança Locais, clique em Diretivas Locais e em Opções de Segurança.

  3. Role para baixo e clique duas vezes em Controle de Conta de Usuário: detectar instalações de aplicativo e prompt de elevação.

  4. Selecione a opção Desativado e, em seguida, clique em OK.

  5. Feche a janela Configurações de Segurança Locais.

Alterar o comportamento do prompt de elevação

Use os procedimentos a seguir para alterar o comportamento do prompt de elevação do UAC. Você pode configurar o comportamento do prompt de elevação separadamente para administradores e usuários padrão.

noteObservação
Para executar os procedimentos a seguir, você deverá fazer logon no computador cliente como administrador local.

ImportantImportante
Não há suporte para estes procedimentos no Windows Vista Starter, Windows Vista Home Basic ou Windows Vista Home Premium.

Para alterar o comportamento do prompt de elevação dos administradores

  1. Clique em Iniciar, em Acessórios, em Executar, digite secpol.msc na caixa Abrir e clique em OK.

  2. Na árvore de console Configurações de Segurança Locais, clique em Diretivas Locais e em Opções de Segurança.

  3. Role para baixo e clique duas vezes em Controle de Conta de Usuário: comportamento do prompt de elevação dos administradores.

  4. No menu suspenso, selecione uma das configurações a seguir:

    • Elevar sem perguntar (as tarefas que necessitam de elevação serão executadas automaticamente como elevação sem perguntar ao administrador)

    • Pedir consentimento (esta configuração necessita da entrada do nome de usuário e senha antes da execução de um aplicativo ou tarefa como elevada)

    • Pedir consentimento (configuração padrão dos administradores)

  5. Clique em OK.

  6. Feche a janela Configurações de Segurança Locais.

Para alterar o comportamento do prompt de elevação dos usuários padrão

  1. Clique em Iniciar, em Acessórios, em Executar, digite secpol.msc na caixa Abrir e clique em OK.

  2. Na árvore de console Configurações de Segurança Locais, clique em Diretivas Locais e em Opções de Segurança.

  3. Role para baixo e clique duas vezes em Controle de Conta de Usuário: comportamento do prompt de elevação dos usuários padrão.

  4. No menu suspenso, selecione uma das configurações a seguir:

    • Negar automaticamente solicitações de elevação (os usuários padrão não poderão executar programas que necessitam de elevação e não serão solicitados)

    • Pedir consentimento (esta configuração necessita da entrada do nome de usuário e senha antes da execução de um aplicativo ou tarefa como elevada e é o padrão para usuários padrão)

  5. Clique em OK.

  6. Feche a janela Configurações de Segurança Locais.

Solução de Problemas e Suporte

Como o UAC é um recurso do Windows Vista, o suporte está disponível diretamente na Microsoft e nas comunidades de usuário. Para obter mais informações sobre suporte, consulte http://go.microsoft.com/fwlink/?LinkID=76619.

Recursos adicionais

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft