用户帐户控制组策略和注册表项设置

最新推荐文章于 2024-03-25 08:30:26 发布
最新推荐文章于 2024-03-25 08:30:26 发布
阅读量3.5k 收藏 9
点赞数 2
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/121992054
版权

组策略设置

UAC 管理中心可以配置 10 个组策略 (用户帐户) 。 该表列出了每个策略设置的默认值,以下各节介绍了不同的 UAC 策略设置并提供建议。 这些策略设置位于本地安全策略管理单元中的 Security设置\Local Policies\Security Options 中。 有关每个组策略设置详细信息,请参阅组策略说明。 有关注册表项设置的信息,请参阅 注册表项设置

组策略设置
组策略设置注册表项默认值
用户帐户控制:内置管理员帐户的管理员审批模式FilterAdministratorToken禁用
用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限EnableUIADesktopToggle禁用
用户帐户控制: 管理员批准模式中管理员的提升权限提示行为ConsentPromptBehaviorAdmin提示同意非二Windows二进制文件
用户帐户控制: 标准用户的提升权限提示行为ConsentPromptBehaviorUser凭据提示
用户帐户控制: 检测应用程序安装并提示提升权限EnableInstallerDetection已启用 (家庭用户的默认)
企业 (禁用默认)
用户帐户控制: 只提升签名并验证的可执行文件ValidateAdminCodeSignatures禁用
用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序EnableSecureUIAPaths已启用
用户帐户控制: 以管理员批准模式运行所有管理员EnableLUA启用
用户帐户控制: 提示提升权限时切换到安全桌面PromptOnSecureDesktop启用
用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置EnableVirtualization启用

用户帐户控制:内置管理员帐户的管理员审批模式

The User Account Control: Admin Approval Mode for the built-in Administrator account policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account.

这些选项有:

  • 已启用。 内置管理员帐户使用管理员审批模式。 默认情况下,任何需要提升特权的操作都将提示用户批准该操作。
  • 已禁用。 (默认) 内置管理员帐户使用完全管理权限运行所有应用程序。

用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限

用户帐户控制:允许 UIAccess 应用程序提示提升,而不使用安全桌面策略设置控制用户界面辅助功能 (UIAccess 或 UIA) 程序是否可以针对标准用户使用的提升提示自动禁用安全桌面。

这些选项有:

  • 已启用。 UIA 计划(Windows远程协助)将自动禁用提升提示的安全桌面。 如果未禁用用户帐户控制  提示提升策略设置时切换到安全桌面,则提示将显示在交互式用户的桌面上,而不是安全桌面上。
  • 已禁用。 (默认) 只有交互式桌面的用户或禁用用户帐户控制  提示提升策略设置时切换到安全桌面,才能禁用安全桌面。

UIA 程序旨在代表Windows应用程序和应用程序应用程序进行交互。 此策略设置允许 UIA 程序绕过安全桌面以提高在某些情况下的可用性;但是,允许提升请求显示在交互式桌面(而不是安全桌面)可能会增加安全风险。

UIA 计划必须进行数字签名,因为它们必须能够响应有关安全问题的提示,如 UAC 提升提示。 默认情况下,UIA 程序仅从以下受保护的路径运行:

  • ...\Program 文件,包括子文件夹
  • ...\Program Files (x86) ,包括 64 位版本的 Windows
  • ...\Windows\System32

用户帐户控制:仅提升安装在安全位置中的 UIAccess 应用程序策略设置会禁用从受保护的路径运行的要求。

尽管此策略设置适用于任何 UIA 计划,但它主要用于某些远程协助方案,包括 Windows 7 中的远程协助Windows计划。

如果用户向管理员请求远程协助并建立了远程协助会话,则任何提升提示都将显示在交互式用户的安全桌面上,并且管理员的远程会话将暂停。 为避免在提升请求期间暂停远程管理员会话,用户在设置远程协助会话时可能会选中"允许 IT 专家 响应用户帐户控制提示"复选框。 但是,选中此复选框要求交互式用户响应安全桌面上的提升提示。 如果交互用户是标准用户,则用户没有允许提升所需的凭据。

如果启用此策略设置,提升请求会自动发送到交互式桌面 (而不是安全桌面) 还会在远程协助会话期间显示在远程管理员的桌面视图中。 这允许远程管理员提供适当的凭据进行提升。

此策略设置不会更改管理员的 UAC 提升提示行为。

如果计划启用此策略设置,则还应查看用户帐户控制:标准用户策略设置的提升 提示 行为的效果。 如果配置为"自动 拒绝提升请求", 则提升请求不会呈现给用户。

用户帐户控制: 管理员批准模式中管理员的提升权限提示行为

用户帐户 控制:管理员 批准模式策略设置中管理员的提升权限提示行为控制管理员提升权限提示的行为。

这些选项有:

  • 提升而不提示。 允许特权帐户执行需要提升的操作,而无需征得同意或凭据。

    注意 仅在最受限制的环境中使用此选项。

  • 提示在安全桌面上输入凭据。 当操作需要提升特权时,系统会在安全桌面上提示用户输入特权用户名和密码。 如果用户输入了有效的凭据,操作将继续具有用户的最高可用权限。

  • 提示在安全桌面上征得同意。 当操作需要提升特权时,系统会在安全桌面上提示用户选择"允许"或"拒绝 "。 如果用户选择" 允许", 操作将继续使用用户的最高可用权限。

  • 提示输入凭据。 当操作需要提升特权时,系统将提示用户输入管理用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。

  • 提示同意。 当操作需要提升特权时,系统将提示用户选择"允许"或"拒绝 "。 如果用户选择" 允许", 操作将继续使用用户的最高可用权限。

  • 提示同意非Windows二进制文件。 (默认) 当非 Microsoft 应用程序的操作需要提升特权时,系统会在安全桌面上提示用户选择"允许"或"拒绝"。 **** 如果用户选择" 允许", 操作将继续使用用户的最高可用权限。

用户帐户控制: 标准用户的提升权限提示行为

用户帐户 控制:标准 用户提升提示行为策略设置控制标准用户的提升权限提示行为。

这些选项有:

  • 自动拒绝提升请求。 当操作需要提升特权时,将显示可配置的拒绝访问错误消息。 作为标准用户运行桌面的企业可以选择此设置以减少技术支持呼叫。
  • 提示在安全桌面上输入凭据。 当操作需要提升特权时,系统会在安全桌面上提示用户输入不同的用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。
  • 提示输入凭据。 (默认) 当操作需要提升特权时,系统将提示用户输入管理用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。

用户帐户控制: 检测应用程序安装并提示提升权限

用户帐户 控制:检测应用程序安装并提示 提升策略设置控制计算机的应用程序安装检测行为。

这些选项有:

  • 已启用。 (家庭) 默认设置 当检测到需要提升特权的应用程序安装程序包时,系统将提示用户输入管理用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。
  • 已禁用。 ("企业) 应用程序安装包的默认值,并提示进行提升。 运行标准用户桌面并使用委派安装技术(如组策略软件安装或 Systems Management Server (SMS) )的企业应禁用此策略设置。 在这种情况下,不需要安装程序检测。

用户帐户控制: 只提升签名并验证的可执行文件

用户帐户 控制:仅 提升经过签名和验证的策略设置的可执行文件会强制执行公钥基础结构 (PKI) 签名检查以检查请求提升特权的任何交互式应用程序。 Enterprise管理员可通过将证书添加到本地计算机上的"受信任的发布者"证书存储来控制允许运行的应用程序。

这些选项有:

  • 已启用。 在允许运行给定可执行文件之前,对该文件强制执行 PKI 证书路径验证。
  • 已禁用。 (默认) 在允许运行给定可执行文件之前,不强制执行 PKI 证书路径验证。

用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序

用户帐户控制:仅提升安装在安全位置中的 UIAccess 应用程序策略设置控制请求使用用户界面辅助功能 (UIAccess) 完整性级别运行的应用程序是否必须驻留在文件系统中的安全位置。 安全位置仅限于以下位置:

  • ...\Program 文件,包括子文件夹
  • ...\Windows\system32
  • ...\Program Files (x86) ,包括 64 位版本的 Windows

请注意Windows请求使用 UIAccess 完整性级别运行的任何交互式应用程序强制执行 PKI 签名检查,而不管此安全性设置的状态如何。

这些选项有:

  • 已启用。 (默认值) 如果应用程序位于文件系统中的安全位置,则它仅使用 UIAccess 完整性运行。
  • 已禁用。 应用程序使用 UIAccess 完整性运行,即使它不驻留在文件系统中的安全位置。

用户帐户控制: 以管理员批准模式运行所有管理员

用户帐户 控制:运行所有管理员管理员审批模式 策略设置控制计算机的所有 UAC 策略设置的行为。 如果更改此策略设置,则必须重新启动计算机。

这些选项有:

  • 已启用。 (启用) 审批模式的默认权限。 必须启用此策略,并且还必须相应设置相关的 UAC 策略设置,以允许内置管理员帐户和作为 Administrators 组的成员的所有其他用户在管理员审批模式下运行。
  • 已禁用。 管理员审批模式和相关的 UAC 策略设置已禁用。

注意如果禁用此策略设置,Windows 安全中心应用将通知你操作系统的整体安全性已降低。

用户帐户控制: 提示提升权限时切换到安全桌面

用户帐户 控制:提示 提升策略设置时切换到安全桌面控制提升请求提示是否显示在交互式用户的桌面或安全桌面上。

这些选项有:

  • 已启用。 (默认) 无论管理员和标准用户的提示行为策略设置如何,所有提升请求都将转到安全桌面。
  • 已禁用。 所有提升请求都转到交互式用户的桌面。 使用管理员和标准用户的提示行为策略设置。

启用此策略设置后,它将覆盖用户帐户控制:管理员批准模式策略设置中管理员 的提升权限 提示行为。 下表介绍启用或禁用"用户帐户控制: 当提示提升策略设置时切换到安全桌面****"时,每个管理员策略设置的提升权限提示行为。

用户帐户控制: 提示提升权限时切换到安全桌面
管理员策略设置已启用禁用
在安全桌面上提示输入凭据提示将显示在安全桌面上。提示将显示在安全桌面上。
在安全桌面上提示同意提示将显示在安全桌面上。提示将显示在安全桌面上。
凭据提示提示将显示在安全桌面上。该提示将显示在交互用户的桌面上。
提示同意提示将显示在安全桌面上。该提示将显示在交互用户的桌面上。
提示同意非二Windows二进制文件提示将显示在安全桌面上。该提示将显示在交互用户的桌面上。

启用此策略设置后,它将覆盖用户帐户控制:标准用户策略设置的提升 提示 行为。 下表介绍了启用或禁用"用户帐户控制: 当提示提升策略设置时切换到安全桌面"**** 时,每个标准用户策略设置的提升权限提示行为。

表 3
标准策略设置已启用禁用
自动拒绝提升请求无提示。 请求将自动被拒绝。无提示。 请求将自动被拒绝。
在安全桌面上提示输入凭据提示将显示在安全桌面上。提示将显示在安全桌面上。
凭据提示提示将显示在安全桌面上。该提示将显示在交互用户的桌面上。

用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置

用户帐户 控制:虚拟化 文件和注册表写入每用户位置失败策略设置控制是否将应用程序写入失败重定向到定义的注册表和文件系统位置。 此策略设置可缓解以管理员角色运行的应用程序,并可将运行时应用程序数据写入 %ProgramFiles、%Windir、%Windir%\system32 或 HKLM\Software。

这些选项有:

  • 已启用。 (默认) 应用程序写入失败会运行时重定向到文件系统和注册表的已定义用户位置。
  • 已禁用。 将数据写入受保护位置的应用程序失败。

注册表项设置

注册表项位于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 中。 有关每个注册表项的信息,请参阅关联的组策略说明。

注册表项设置
注册表项组策略设置注册表设置
FilterAdministratorToken用户帐户控制:内置管理员帐户的管理员审批模式0 (默认值) = 已禁用
1 = 已启用
EnableUIADesktopToggle用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限0 (默认值) = 已禁用
1 = 已启用
ConsentPromptBehaviorAdmin用户帐户控制: 管理员批准模式中管理员的提升权限提示行为0 = 提升而不提示
1 = 提示在安全桌面上输入凭据
2 = 在安全桌面上提示同意
3 = 提示输入凭据
4 = 提示同意
5 (默认) = 提示同意非二Windows二进制文件
ConsentPromptBehaviorUser用户帐户控制: 标准用户的提升权限提示行为0 = 自动拒绝提升请求
1 = 提示在安全桌面上输入凭据
3 (默认值) = 提示输入凭据
EnableInstallerDetection用户帐户控制: 检测应用程序安装并提示提升权限1 = (家庭用户默认启用)
0 = 禁用 (企业版默认设置)
ValidateAdminCodeSignatures用户帐户控制: 只提升签名并验证的可执行文件0 (默认值) = 已禁用
1 = 已启用
EnableSecureUIAPaths用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序0 = 禁用
1 (默认值) = 已启用
EnableLUA用户帐户控制: 以管理员批准模式运行所有管理员0 = 禁用
1 (默认值) = 已启用
PromptOnSecureDesktop用户帐户控制: 提示提升权限时切换到安全桌面0 = 禁用
1 (默认值) = 已启用
EnableVirtualization用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置0 = 禁用
1 (默认值) = 已启用

建议的内容

allway2
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
组策略 计算机 用户账户控制,Win10系统总是弹出用户账户控制提示"是否允许程序修改计算机"的解决方法...
weixin_39949506的博客
06-19 1858
Win10系统总是弹出用户账户控制提示"是否允许程序修改计算机"的解决方法不少使用Win10系统的用户都会遇到这样一个问题:当我们打开程序时,系统总会弹出“你要允许以下程序对此计算机进行更改吗?”的提示窗口。即使这个程序根本不是我们所熟悉的程序,依然会有这个弹窗提示,这让不少用户都不厌其烦。下面我们的小编就向大家分享解决Win10系统总是弹出“是否允许程序修改计算机”提示问题的方法。故障原因分析:...
Windows注册表中修改UAC(用户账号控制)及批处理脚本
08-26
今天小编就为大家分享一篇关于Windows注册表中修改UAC(用户账号控制)及批处理脚本,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
window10彻底关闭系统管理员控制(所有软件以管理员身份运行
weixin_53370274的博客
10-24 840
gpedit.msc》计算机配置》windows设置》安全设置》安全选》window10彻底关闭系统管理员控制(所有软件以管理员身份运行)2.用户账户控制:用于内置管理员账户的管理员批准模式。1.用户账户控制:以管理员批准模式运行所有管理员
通过组策略用户电脑的UAC通知设置为3级
最新发布
weixin_42494218的博客
03-25 206
通过组策略用户电脑的UAC通知设置为3级
用户账户控制
weixin_43319035的博客
03-29 415
用户账户控制 在使用电脑时,用户账户对话框的弹出有时会影响电脑运行的流畅度。本文主要介绍如何关闭用户账户控制弹出对话框。 操作步骤 打开Regedit注册表编辑器; 在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers位置新建字符串值; 将新建字符串值重命名,名称改为软件的启动位置; 数值数据设置为RunAsInvoker,到这里就完成啦,赶快试试吧! ...
如何将Win7系统注册表直接锁定以便防止被篡改.docx
09-27
2. 在组策略编辑器左边的目录窗口中,找到并按以下路径依次选择"用户配置"-"管理模板"-"系统"。 3. 单击"系统",在右边窗口找到"阻止访问注册表编辑工具",然后双击打开它。 4. 它的默认状态是"未配置",我们将...
Windows 2000 安全配置
03-11
Service Pack 3 注册表 移除默认的 IPSec 免除 更改 DLL 搜索顺序 防止应用程序生成的输入干扰会话锁 当审核日志满到一定百分比阈值时生成审核事件 强化 TCP/IP 堆栈以防止拒绝服务攻击 检查...
Windows Server 2003系统安全管理
07-02
4.3.1 设置NTFS权限基本策略和原则 4.3.2 取消“Everyone”完全控制权限 4.4 特殊访问权限 4.4.1 指定特殊访问权限 4.4.2 复制和移动文件夹对权限的影响 4.5 文件审核设置 4.5.1 设置审核对象 4.5.2 审核的应用...
微软活动目录管理管理简明手册
12-08
组织单元是可以指派组策略设置或委派管理权限的最小作用域或单位。使用组织单元,用户可在组织单元中代表逻辑层次结构的域中创建容器。这样用户就可以根据用户的组织模型管理账户和资源的配置和使用。 1 e+ }# `! n6...
您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。拒绝访问解决方法
07-13
解决:在WIN2000/XP系统中:控制面板 -> 管理工具 -> 计算机管理 -> 本地用户和组 -> 用户,在Guest帐户上点击鼠标右键,选择属性,在常规里取消“账户已停用” (注:另外在WIN98系统中也有可能禁止了"文件及...
WIN10命令control userpasswords2显示取消开机选
liuyuan8886的博客
07-26 6933
WIN10命令control userpasswords2显示取消开机选
审计策略开启脚本
huike008的博客
11-26 515
保存为BAT格式 @echo ===审计策略开启脚本 for win2008 === @ auditpol /set /category:”DS 访问” /success:enable /failure:enable @ auditpol /set /category:”特权使用” /success:enable /failure:enable @ auditpol /set /cat...
计算机提示策略阻止安装,win7安装软件提示"此程序被组策略阻止"怎么办
weixin_31582099的博客
08-01 1万+
在win7系统中,一打开exe安装程序就会提示“此程序被组策略阻止。有关详细信息,请与系统管理员联系”,一直无法安装软件,这是怎么回事呢?软件无法安装通常是由于被组策略限制了,另外证书未受信任也会出现这个问题,接下来小编就为大家整理win7系统中安装软件提示“此程序被组策略阻止”的相关解决方法。解决方法一:1、依次点击开始—运行,或者直接按下”Win+R”,输入gpedit.msc,单击确定;2、...
AD域普通用户打开部分软件出现 “用户账户控制提示框”,要输入管理员账户密码才可以打开软件,解决方法
TREEGLORY的博客
07-04 7920
原本用方法一也可以了,后面过几天或者是重启后,不知道怎么回事又恢复了;添加Domain Users和Domain Admins、Administrator到Administrators组下。安装的,带有管理员身份小盾牌图标,后面打开软件会出现用户账户控制提示框要输入管理员账户密码才可以打开。安装的,没带有管理员身份小盾牌图标,后面打开软件就不会出现用户账户控制提示框,直接可以打开软件。打开部分软件出现用户账户控制提示框,要输入管理员账户密码才可以打开。安装好后,如下图,快捷方式没有小盾牌。
计算机无法使用标准账号,win10标准账户为何打不开其他应用
weixin_39520880的博客
07-07 1271
首先,按住键盘,Windows+R,Windows键就是有是个方块的图形按键,Alt旁边。按下之后,在里头输入:secpol.msc,输入完毕,回车(确认),来到“本地安全策略编辑器”如图所示,然后,按照图片上的,依次打开:安全设置本地策略安全选用户帐户控制:用于内置管理员帐户的管理审批模式,然后,双击它,将改为:已启用,点击应用,再点确定。如图所示:确定完了,一定要重启你的电脑。重启完了,看看...
Windows 10 让所有程序默认为“以管理员身份运行”并且取消“确认”按钮
福波斯_阿波罗
01-03 2530
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System。4、进入之后,点击本地策略,然后点击安全选,在右边的框框中我们找到,以管理员批准模式运行所有管理员。我们双击EnableLUA,并把数值修改为0,确认即可。3、按照步骤一中的搜索方法搜索“本地安全策略”1、按Windows键后搜索“注册表”;2、然后在注册表编辑器中查找到以下的路径。
[Windows10]Win10如何获取最高管理员权限
热门推荐
yanhanhui1的博客
09-17 27万+
使用Windows10的时候常常发现我们没有管理员权限,这对我们使用造成了巨大麻烦。今天我来分享一下 win10里面怎么获取最高管理员权限。 (一)Windows10专业版/企业版/教育版方法 1,按下win+R键唤出“运行”窗口,输入gpedit.msc。 2,这时打开了组策略编辑器,在左边找到“计算机配置-Windows 设置”,再进入右边“安全设置”,如图。 3,进入...
windows 组策略对应注册表
08-02
Windows 组策略注册表是紧密相关的,通过组策略可以对注册表进行管理和配置。注册表是Windows操作系统存储配置信息的数据库,包含了系统和应用程序的设置组策略是Windows提供的一种集中管理计算机和用户设置的机制,通过组策略管理员可以对组织中的计算机进行统一的配置和管理操作。组策略中的各种设置可以映射到注册表中的相应,以在操作系统中生效。 组策略编辑器提供了一个用户友好的界面,管理员可以通过它来配置组策略设置。当管理员进行相关设置时,组策略编辑器实际上在背后操作的是系统注册表。例如,管理员可以通过组策略禁用或启用某个功能,编辑注册表相应的来实现。在编辑器中可以设置组策略分为计算机配置和用户配置两部分,对应的注册表分别是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER。 组策略编辑器中的不同设置对应注册表中的不同路径、键和值。通过组策略可以修改注册表中的许多设置,如禁用控制面板、阻止软件安装、控制用户访问权限等等。在组策略生效后,相关的注册表会被相应地修改,从而实现管理员所需的配置。 总而言之,Windows 组策略注册表密切相关,组策略可以通过编辑器对注册表进行配置和管理。组策略中的设置会映射到注册表中的相应路径、键和值,从而实现系统的统一配置和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值