笔者在windows server2008运行若干程序的时候经常提示一些权限信息,庆幸经过一翻折腾翻阅,从此文找到了解决问题的办法,share!
更新时间: 2008年12月
应用到: Windows Server 2008, Windows Vista
此循序渐进指南为在测试环境中使用用户帐户控制 (UAC) 提供了必要的说明。
本文档未提供 UAC 的全面详细说明。更多资源包括:
- 此循序渐进指南的所有用户还会对位于下列位置的“Windows Vista 用户帐户控制入门”感兴趣:http://go.microsoft.com/fwlink/?LinkID=102562(可能为英文网页)。
- 有关为 IT 专业人员提供的其他信息,请参阅位于下列位置的“了解和配置 Windows Vista 中的用户帐户控制”:http://go.microsoft.com/fwlink/?LinkId=56402(可能为英文网页)。
- 有关为开发人员和独立软件供应商提供的有关如何开发 Windows Vista® 或 Windows Server® 2008 应用程序的信息,请参阅位于下列位置的“Windows Vista 和 Windows Server 2008 开发人员的文章:Windows Vista 用户帐户控制 (UAC) 的应用程序开发要求”:http://go.microsoft.com/fwlink/?LinkId=89654(可能为英文网页)。
什么是用户帐户控制?
用户帐户控制 (UAC) 是 Windows Vista 中的一个新安全组件。用户通过 UAC 能够以非管理员(在 Windows Vista 中称为标准用户)身份,也能够以管理员身份执行常见任务,而无需切换用户、注销或使用“运行身份”命令。标准用户帐户与 Windows XP 中的用户帐户含义相同。属于本地 Administrators 组成员的用户帐户以标准用户身份运行大多数应用程序。UAC 在进行生产时将用户功能与管理员功能分隔开来,是 Windows Vista 的一个重要增强功能。
注意 |
---|
UAC 也是 Windows Server 2008 中的一个组件。
|
当管理员登录到运行 Windows Vista 的计算机时,系统会向用户分配两个单独的存取令牌。存取令牌中包含用户的组成员身份、授权和访问控制数据,由 Windows(R) 用于控制该用户可以访问的资源和任务。在 Windows Vista 之前的操作系统中,管理员帐户只接收一个存取令牌,该令牌中包含的数据用于授予用户访问所有 Windows 资源的权限。此访问控制模型不包含任何故障保险检查,因而无法确保用户真正希望执行需要其管理存取令牌的任务。因此,恶意软件可能会在不通知用户的情况下安装在用户的计算机上。(有时将此情况称为“无提示”安装。)
更危险的情况是:由于用户是管理员,因此恶意软件还可能会使用管理员的访问控制数据来感染核心操作系统文件,有些时候,几乎无法删除受感染的操作系统文件。
Windows Vista 中的标准用户和管理员的主要区别在于用户对计算机的受保护核心区域的访问权限级别不同。管理员可以更改系统状态、关闭防火墙、配置安全策略、安装影响计算机上每个用户的服务或驱动程序,以及为整台计算机安装软件。标准用户无法执行这些任务,他们只能安装针对用户的软件。
为防止恶意软件在不提示的情况下安装并导致对整台计算机的感染,Microsoft 开发了 UAC 功能。与以前版本的 Windows 不同,当管理员登录到运行 Windows Vista 的计算机时,用户的完整管理员存取令牌被分成两个存取令牌:完整管理员存取令牌和标准用户存取令牌。在登录过程中,将删除标识管理员的授权和访问控制组件,以便生成标准用户存取令牌。标准用户存取令牌之后用于启动桌面(Explorer.exe 进程)。由于所有应用程序都通过初始启动桌面继承其访问控制数据,因此,所有这些应用程序也都以标准用户身份运行。
管理员登录后,在用户尝试执行管理任务之前,将不调用完整管理员存取令牌。
当标准用户登录时只创建标准用户存取令牌,与上述过程不同。此标准用户存取令牌之后用于启动桌面。
要点 |
---|
由于可以使用组策略配置用户体验,因此根据不同的组策略设置,可能会有不同的用户体验。在您的环境中所做的配置选择将影响标准用户、管理员或二者兼能看到的提示和对话框。
|
应使用本指南的用户
本指南主要供以下用户参考:
- 评估产品的 IT 计划者和分析者
- 负责实施可信计算的安全架构师
- 需要控制 UAC 行为的管理员
使用本指南的原因
以上所列组中的用户应使用本指南测试其行业 (LOB) 应用程序如何在 Windows Vista 中运行。由于 UAC 能够明确区分管理员进程和标准用户进程,因此需要请独立软件供应商 (ISV) 或内部工具小组对某些现有 LOB 应用程序进行重新设计,或者将这些应用程序标记为始终以提升的权限运行。
本指南中所包含的内容
用户帐户控制的要求
建议您首先在测试环境中执行本指南中提供的步骤。在没有附带文档(列在“其他资源”部分中)的情况下,不一定必须使用循序渐进指南才能部署 Windows Vista 功能,应将本指南作为独立的文档谨慎使用。
设置测试实验室
测试 UAC 所需的实验室配置包括一台运行 Windows Server 2008(或 Windows Server(R) 2003)的域控制器、一台运行 Windows Server 2008(或 Windows Server 2003)的成员服务器,以及一台运行 Windows Vista 的客户端计算机。域控制器、成员服务器及客户端计算机都应在隔离的网络上,且应通过公用集线器或第 2 层交换机进行连接。在整个测试配置期间都应使用专用地址。
用户帐户控制的主要方案
本指南涵盖了用于 UAC 的下列方案:
注意 |
---|
本指南中所包含的这三个方案用于帮助管理员熟悉 Windows Vista 中的 UAC 功能。这些方案中包括管理员在开始使用 UAC 时所需的基本信息和过程。本指南中不包括有关高级或自定义 UAC 配置的信息和过程。
|
方案 1:请求应用程序以提升的权限运行一次
在 Windows Vista 中,默认启用 UAC 及其管理员批准模式。启用 UAC 后,本地管理员帐户以标准用户帐户身份运行。这意味着本地 Administrators 组的成员登录时,他们将在其管理权限被禁用的情况下运行。这种情况将持续到这些成员尝试运行具有管理令牌的应用程序或任务时。当本地 Administrators 组的成员尝试启动此类应用程序或任务时,系统会提示他们是否同意以提升的权限运行此应用程序。方案 1 详细说明了以提升的权限运行一次应用程序或任务的过程。
注意 |
---|
若要执行下列过程,您必须以本地 Administrators 组成员的身份登录到客户端计算机。您无法使用计算机(或内置)管理员帐户登录,因为管理员批准模式不适用于此帐户。(在最新安装的 Windows Vista 上禁用了内置管理员帐户。)
|
-
启动可能已被分配管理令牌的应用程序,例如 Microsoft Windows 磁盘清理。将显示“用户帐户控制”提示。
-
验证所显示的详细信息与您发出的请求是否匹配。
-
在“用户帐户控制”对话框中,单击“继续”启动应用程序。
方案 2:将应用程序配置为始终以提升的权限运行
方案 2 与方案 1 相似,都希望使用管理员存取令牌以提升的权限运行应用程序或进程。然而在此方案中,您要运行的应用程序尚未由开发人员标记,或者尚未被操作系统识别为管理应用程序。某些应用程序(如内部行业应用程序或非 Microsoft 产品)可能需要管理权限但却尚未被识别为管理应用程序。在此方案中,您需要标记应用程序以提示用户是否同意,如果得到许可,则作为管理应用程序运行。下列过程将引导您完成此过程。
注意 |
---|
若要执行下列过程,您必须以本地 Administrators 组成员的身份登录到客户端计算机。您无法使用计算机(或内置)管理员帐户登录,因为管理员批准模式不适用于此帐户。
|
要点 |
---|
不能使用此过程阻止 UAC 提示是否同意运行管理应用程序。
|
-
右键单击可能尚未被分配管理令牌的应用程序,例如文字处理应用程序。
-
单击“属性”,然后选择“兼容性”选项卡。
-
在“特权等级”下,选择“请以管理员身份运行该程序”,然后单击“确定”。
注意 如果“请以管理员身份运行该程序”选项不可用,则意味着:该应用程序被阻止始终以提升的权限运行,该应用程序无需管理凭据即可运行,该应用程序是当前版本的 Windows Vista 的一部分,或者您未以管理员身份登录到计算机。
方案 3:配置用户帐户控制
方案 3 概述了在设置和配置运行 Windows Vista 的客户端计算机时,本地管理员执行的某些常见任务。以下过程将引导您完成下列任务:关闭 UAC、禁用管理员批准模式、禁用 UAC 在安装应用程序时提示输入凭据,以及更改权限提升提示行为。
要点 |
---|
在 Windows Vista Starter、Windows Vista Home Basic 或 Windows Vista Home Premium 中,UAC 的高级配置选项不可用。
|
关闭 UAC
使用下列过程禁用 UAC。
若要执行下列过程,您必须能够使用本地 Administrators 组成员的凭据登录或提供此凭据。
要点 |
---|
关闭 UAC 会降低计算机的安全性,并且可能会使您的计算机受到更多的恶意软件威胁。建议您不要禁用 UAC。
|
-
单击“开始”,然后单击“控制面板”。
-
在“控制面板”中,单击“用户帐户”。
-
在“用户帐户”窗口中,单击“用户帐户”。
-
在“用户帐户”任务窗口中,单击“打开或关闭用户帐户控制”。
-
如果 UAC 当前已在管理员批准模式下配置,将显示“用户帐户控制”消息。单击“继续”。
-
清除“使用用户帐户控制(UAC)帮助保护您的计算机”复选框,然后单击“确定”。
-
单击“立即重新启动”立即应用更改,或单击“稍后重新启动”,然后关闭“用户帐户”任务窗口。
禁用管理员批准模式
使用下列过程禁用管理员批准模式。
注意 |
---|
若要执行下列过程,您必须以本地管理员身份登录到客户端计算机。
|
要点 |
---|
Windows Vista Starter、Windows Vista Home Basic 或 Windows Vista Home Premium 不支持此过程。
|
-
依次单击“开始”、“所有程序”、“附件”和“运行”,在“打开”框中键入 secpol.msc,然后单击“确定”。
-
如果出现“用户帐户控制”对话框,请确认所显示的是您要执行的操作,然后单击“继续”。.
-
从本地安全设置控制台树中双击“本地策略”,然后双击“安全选项”。
-
向下滚动并双击“用户帐户控制: 以管理员批准模式运行所有管理员”。
-
选择“已禁用”选项,然后单击“确定”。
-
关闭“本地安全设置”窗口。
禁用用户帐户控制在安装应用程序时提示输入凭据
使用下列过程禁用 UAC 在安装应用程序时提示输入凭据。
注意 |
---|
若要执行下列过程,您必须以本地管理员身份登录到客户端计算机。
|
要点 |
---|
Windows Vista Starter、Windows Vista Home Basic 或 Windows Vista Home Premium 不支持此过程。
|
-
依次单击“开始”、“所有程序”、“附件”和“运行”,在“打开”文本框中键入 secpol.msc,然后单击“确定”。
-
从本地安全设置控制台树中单击“本地策略”,然后单击“安全选项”。
-
向下滚动并双击“用户帐户控制: 检测应用程序安装并提示提升”。
-
选择“已禁用”选项,然后单击“确定”。
-
关闭“本地安全设置”窗口。
更改权限提升提示的行为
使用下列过程更改 UAC 的权限提升提示行为。您可以单独为管理员和标准用户配置权限提升提示的行为。
注意 |
---|
若要执行下列过程,您必须以本地管理员身份登录到客户端计算机。
|
要点 |
---|
Windows Vista Starter、Windows Vista Home Basic 或 Windows Vista Home Premium 不支持这些过程。
|
-
依次单击“开始”、“附件”和“运行”,在“打开”框中键入 secpol.msc,然后单击“确定”。
-
从本地安全设置控制台树中单击“本地策略”,然后单击“安全选项”。
-
向下滚动并双击“用户帐户控制: 管理员的提升提示行为”。
-
从下拉菜单中,选择下列设置之一:
- “不提示,直接提升”(请求提升权限的任务将自动以提升的权限运行,而不提示管理员)
- “提示凭据”(此设置要求输入用户名和密码,然后才能以提升的权限运行应用程序或任务)
- “同意提示”(管理员的默认设置)
- “不提示,直接提升”(请求提升权限的任务将自动以提升的权限运行,而不提示管理员)
-
单击“确定”。
-
关闭“本地安全设置”窗口。
-
依次单击“开始”、“附件”和“运行”,在“打开”框中键入 secpol.msc,然后单击“确定”。
-
从本地安全设置控制台树中单击“本地策略”,然后单击“安全选项”。
-
向下滚动并双击“用户帐户控制: 标准用户的提升提示行为”。
-
从下拉菜单中,选择下列设置之一:
- “自动拒绝提升请求”(标准用户将无法运行要求提升权限的程序,并且不对标准用户进行提示)
- “提示凭据”(此设置要求输入用户名和密码,然后才能以提升的权限运行应用程序或任务,这是标准用户的默认设置)
- “自动拒绝提升请求”(标准用户将无法运行要求提升权限的程序,并且不对标准用户进行提示)
-
单击“确定”。
-
关闭“本地安全设置”窗口。
疑难解答和支持
由于 UAC 是 Windows Vista 的一项功能,因此可以直接从 Microsoft 和用户社区获取支持。有关支持信息,请参阅 http://go.microsoft.com/fwlink/?LinkID=76619(可能为英文网页)。
其他资源
- 有关在公司或企业环境中管理安全和 UAC 的信息,请参阅位于下列位置的“Windows Vista 安全指南”http://go.microsoft.com/fwlink/?LinkID=85735(可能为英文网页)。