适用于 IT 专业人员的用户帐户控制概述

应用到: Windows Server 2008 R2

用户帐户控制 (UAC) 可帮助阻止恶意程序(有时也称为“恶意软件”)损坏计算机,同时也可以帮助组织部署更易于管理的平台。

使用 UAC,应用程序和任务总是在非管理员帐户的安全上下文中运行,但管理员专门给计算机授予管理员级别的访问权限时除外。UAC 会阻止自动安装未经授权的应用程序,并防止无意中对系统设置进行更改。

UAC 如何工作?

有两个级别的用户:标准用户和管理员。标准用户是计算机上的用户组的成员;管理员是计算机上的管理员组的成员。

默认情况下,标准用户和管理员都会在标准用户安全上下文中访问资源和运行应用程序。用户登录到计算机时,系统会为该用户创建一个访问令牌。该访问令牌包含有关授予给该用户的访问权限级别的信息,其中包括特定的安全标识符 (SID) 和 Windows 权限。管理员登录时,系统会为该用户创建两个单独的访问令牌:标准用户访问令牌和管理员访问令牌。标准用户访问令牌包含的用户特定信息与管理员访问令牌包含的信息相同,但是会删除管理 Windows 权限和 SID。标准用户访问令牌可以启动标准用户应用程序,但不能启动执行管理任务的应用程序。

当用户需要运行执行管理任务的应用程序(管理员应用程序)时,系统会提示用户将安全上下文从标准用户更改或提升为管理员。该默认用户体验称为“管理员批准模式”。在此模式下,应用程序需要特定的权限才能作为管理员应用程序来运行。

note注意
可以使用组策略更改 UAC 消息的行为。

设计应用程序时,软件开发者应该将应用程序标识为管理员应用程序或标准用户应用程序。如果应用程序没有标识为管理员应用程序,则 Windows 会将它视为标准用户应用程序。但是,管理员也可以将应用程序看作管理员应用程序。

社区附加资源

添加
显示: