用户帐户控制滑块和组策略设置

时间:2020-01-09 10:46:58  来源:igfitidea点击:

在Windows Vista中,Microsoft引入了一种新机制,该机制提供了针对未授权修改的添加保护级别,称为UAC(用户帐户控制)。在Windows 7(或者更高版本)中,UAC具有设置滑块(从"控制面板"或者UserAccountControlSettings.exe调用),该滑块可用于选择四个UAC保护级别之一。

可以使用滑块选择以下4种用户帐户控制保护级别:

  • 级别4始终通知最高UAC保护级别
  • 级别3仅在程序尝试更改计算机(默认)标准保护级别时通知
  • 级别2仅在程序尝试对计算机进行更改(不要使我的桌面变暗)时,才与上一级别进行通知,而无需使用桌面锁切换到安全桌面时才通知
  • 级别1永不通知UAC已禁用

下表显示了UAC策略列表和相应的注册密钥。 UAC设置的参数存储在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System分支中

策略名称带有策略的注册表键集
用户帐户控制:内置管理员帐户的管理员批准模式FilterAdministratorToken
用户帐户控制:允许UIAccess应用程序在不使用安全桌面的情况下提示进行提升EnableUIADesktopToggle
用户帐户控制:管理员在管理员批准模式下提升提示的行为ConsentPromptBehaviorAdmin
用户帐户控制:标准用户的提升提示的行为ConsentPromptBehaviorUser
用户帐户控制:检测应用程序安装并提示提升权限EnableInstallerDetection
用户帐户控制:仅提升经过签名和验证的可执行文件ValidateAdminCodeSignatures
用户帐户控制:仅提升安装在安全位置的UIAccess应用程序启用SecureUIAPaths
用户帐户控制:以“管理员批准”模式运行所有管理员EnableLUA
用户帐户控制:提示提升权限时切换到安全桌面PromptOnSecureDesktop
用户帐户控制:虚拟化对每个用户位置的文件和注册表写入失败启用虚拟化

如果必须使用GPO设置UAC参数,请检查GPO设置与下面给出的四个UAC级别之间的以下对应关系:

UAC 1级

内置管理员帐户的管理员批准模式=禁用允许UIAccess应用程序在不使用安全桌面的情况下提示进行提升=禁用在管理员批准模式下管理员的提升提示行为=在不提示的情况下提升标准用户行为提示提示输入凭据以检测应用程序安装并提示提升权限=启用仅提升经过签名和验证的可执行文件=禁用仅提升安装在安全位置的UIAccess应用程序=启用以管理员批准模式运行所有管理员=禁用提示时切换到安全桌面高程=禁用虚拟化文件和注册表到每个用户位置的写入失败=启用

UAC 2级

内置管理员帐户的管理员批准模式=禁用允许UIAccess应用程序在不使用安全桌面的情况下提示进行提升=禁用在管理员批准模式下向管理员提示的提升行为=提示对非Windows二进制文件的同意提升行为标准用户提示=提示提供凭据以检测应用程序安装并提示提升提示=启用仅提升经过签名和验证的可执行文件=禁用仅提升安装在安全位置的UIAccess应用程序=启用以管理员批准模式运行所有管理员=启用切换到提示提升高度时,安全桌面=禁用虚拟化文件和注册表对每个用户位置的写入失败=启用

UAC 3级(默认)

对应于策略的注册表项的标准值在括号中给出。

内置管理员帐户的管理员批准模式=禁用(注册表项FilterAdministratorToken 0的值)允许UIAccess应用程序在不使用安全桌面的情况下提示提升权限=禁用(注册表项EnableUIADesktopToggle的值0)提升行为在管理员批准模式下提示管理员的提示=提示非Windows二进制文件的同意(注册表项ConsentPromptBehaviorAdmin 5的值)对于标准用户,提升提示的行为=提示输入凭据(注册表项ConsentPromptBehaviorUser 3的值)安装和提升提示=启用(域计算机的注册表项EnableInstallerDetection 0的值,工作组1的值)仅提升经过签名和验证的可执行文件=禁用(注册表项ValidateAdminCodeSignatures的值0)仅提升具有以下功能的UIAccess应用程序:安装在安全的位置=启用(该值注册表项EnableSecureUIAPaths的名称1)以"管理员批准模式"运行所有管理员=启用(注册表项EnableLUA 1的值)当提示输入海拔高度时切换到安全桌面=启用(注册表项PromptOnSecureDesktop 1的值)虚拟化文件并每个用户位置的注册表写入失败=启用(注册表项EnableVirtualization 1的值)

UAC 4级

内置管理员帐户的管理员批准模式=禁用允许UIAccess应用程序在不使用安全桌面的情况下提示进行提升=禁用在管理员批准模式下管理员的提升提示行为=在安全桌面上提示同意行为提升提示行为对于标准用户=提示输入凭据以检测应用程序安装并提示提升权限=启用仅提升经过签名和验证的可执行文件=禁用仅提升安装在安全位置的UIAccess应用程序=启用以管理员批准模式运行所有管理员=启用提示提升高度时保护安全桌面=启用虚拟化文件和注册表写入每个用户位置的失败=启用

如果要允许用户进一步调整UAC设置,则可以使用GPP在域计算机上指定默认设置,以设置一次应用的注册表项(一次应用,不重新应用)。