Vista 中的用户帐户控制和远程Windows说明
09/08/
本文内容
本文介绍了用户帐户控制 (UAC) 和远程限制。
适用于: WindowsVista
原始 KB 编号: 951016
简介
UAC (用户帐户) 是 Vista 的新安全Windows组件。 UAC 使用户能够作为非管理员执行常见的日常任务。 这些用户在 Vista 中称为 Windows用户。 作为本地用户成员的用户帐户管理员组使用最小特权原则运行 大多数应用程序。 在此方案中,最小特权用户具有与标准用户帐户的权限类似的权限。 但是,当本地 管理员组成员必须执行需要管理员权限的任务时,Windows Vista 会自动提示用户进行审批。
UAC 远程限制如何工作
为了更好地保护那些是本地用户管理员组,我们网络上实施了 UAC 限制。 此机制有助于防止 环回 攻击。 此机制还有助于防止本地恶意软件使用管理权限远程运行。
本地用户帐户 (安全帐户管理器用户帐户)
例如,当作为目标远程计算机上本地 管理员组 的用户使用 net use 命令建立远程管理连接时,他们将不会以完全管理员角色 *\\remotecomputer\Share$ 进行连接。 用户在远程计算机上没有提升的可能性,并且用户无法执行管理任务。 如果用户希望使用安全帐户管理器 (SAM) 帐户管理工作站,用户必须以交互方式登录到要通过远程协助或远程桌面管理的计算机(如果这些服务可用)。
Active Directory 用户帐户 (域用户帐户)
具有域用户帐户的用户远程登录到 Windows Vista 计算机。 而且,域用户是该域管理员组。 在这种情况下,域用户将使用远程计算机上的完整管理员访问令牌运行,并且 UAC 不会生效。
备注
此行为与 Windows XP 中的行为相同。
如何禁用 UAC 远程限制
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 若要详细了解如何备份和还原注册表,请参阅如何在 Windows 中备份和还原注册表。
若要禁用 UAC 远程限制,请按照以下步骤操作:
单击 "开始",单击 "运行",键入 regedit,然后按 Enter。
找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
如果 LocalAccountTokenFilterPolicy 注册表项不存在,请按照以下步骤操作:
在"编辑" 菜单上,指向 "新建", 然后选择 "DWORD 值"。
键入 LocalAccountTokenFilterPolicy,然后按 Enter。
右键单击 "LocalAccountTokenFilterPolicy", 然后选择"修改 "。
在"值数据" 框中,键入"1", 然后选择"确定 "。
退出注册表编辑器。
这是否修复了此问题
检查问题是否已修复。 如果问题未解决,请联系 支持人员。
UAC 远程设置
LocalAccountTokenFilterPolicy 注册表项的值可以是 0 或 1。 这些值将注册表项的行为更改为下表中所述的行为。
值
说明
0
此值生成已筛选的令牌。 它是默认值。 将删除管理员凭据。
1
此值生成提升的令牌。
