一直以來，應(yīng)用程序開發(fā)人員所創(chuàng)建的 Microsoft Windows 應(yīng)用程序都需要過多的用戶權(quán)限和 Windows 特權(quán)，這就經(jīng)常要求執(zhí)行用戶是管理員身份 。結(jié)果，幾乎沒有幾個(gè) Windows 用戶是在要求的用戶最小權(quán)限和 Windows 最小特權(quán)下運(yùn)行 。由于標(biāo)準(zhǔn)用戶應(yīng)用程序兼容性問題，許多力求在易部署性、易用性與安全性之間取得均衡的企業(yè)通常都采取作為管理員部署其桌面的方法 。
為什么需要用戶帳戶控制?為何在 Microsoft Windows Vista 之前的計(jì)算機(jī)上難以作為標(biāo)準(zhǔn)用戶運(yùn)行?以下內(nèi)容詳述了另外的原因：
許多 Windows 應(yīng)用程序都要求登錄用戶是管理員，但實(shí)際上并不要求管理員級的訪問 。這些應(yīng)用程序會在允許運(yùn)行之前執(zhí)行多種管理員訪問檢查，其中包括：
管理員訪問令牌檢查 。
系統(tǒng)受保護(hù)位置中的“完全訪問訪問請求 。
將數(shù)據(jù)寫入到受保護(hù)位置，例如，%ProgramFiles%、%WinDir% 和 HKLMSoftware 。
許多 Windows 應(yīng)用程序在設(shè)計(jì)時(shí)都沒有采用最小特權(quán)這個(gè)概念，并且沒有將用戶和管理員功能分為兩個(gè)不同的進(jìn)程 。
默認(rèn)情況下，Windows 2000 和 Windows XP 將每個(gè)新用戶帳戶都創(chuàng)建為管理員;因此，關(guān)鍵的 Windows 組件(如“日期和時(shí)間、“電源管理控制面板)對于標(biāo)準(zhǔn)用戶就不能正常工作 。
Windows 2000 和 Windows XP 管理員必須創(chuàng)建兩個(gè)不同的用戶帳戶 - 一個(gè)帳戶用于管理任務(wù)，另一個(gè)是標(biāo)準(zhǔn)用戶帳戶，用于執(zhí)行日常任務(wù) 。這樣，用戶必須退出其標(biāo)準(zhǔn)用戶帳戶，并作為管理員重新登錄或使用“運(yùn)行方式才能執(zhí)行任何管理任務(wù) 。
借助“用戶帳戶控制(UAC)，Microsoft 將提供一種可以簡化企業(yè)和家庭標(biāo)準(zhǔn)用戶桌面部署的技術(shù) 。
按照最初在 Microsoft Windows NT 3.1 操作系統(tǒng)中的設(shè)計(jì)構(gòu)建 Windows 安全體系結(jié)構(gòu)后，UAC 小組力求實(shí)現(xiàn)一種兼有靈活性和更多安全性的標(biāo)準(zhǔn)用戶模型 。對于 Windows 先前版本，在登錄過程中會為管理員創(chuàng)建一個(gè)訪問令牌 。該管理員訪問令牌包含了多數(shù) Windows 特權(quán)和管理安全標(biāo)識符 (SID) 。它保證了管理員可以安裝應(yīng)用程序、配置操作系統(tǒng)和訪問任何資源 。
在 Windows Vista 中，UAC 小組采用了一種截然不同的方法來創(chuàng)建訪問令牌 。當(dāng)管理員用戶登錄到 Windows Vista 計(jì)算機(jī)時(shí)，將創(chuàng)建兩個(gè)訪問令牌：一個(gè)是篩選后的標(biāo)準(zhǔn)用戶訪問令牌，一個(gè)是完整的管理員訪問令牌 。此時(shí)，使用標(biāo)準(zhǔn)用戶訪問令牌而不是管理員訪問令牌來啟動桌面 (Explorer.exe) 。所有子進(jìn)程都從桌面的這個(gè)初始啟動(explorer.exe 進(jìn)程)繼承而來，從而有助于限制 Windows Vista 的攻擊面 。默認(rèn)情況下，所有用戶(包括管理員)都作為標(biāo)準(zhǔn)用戶登錄到 Windows Vista 計(jì)算機(jī) 。
注意 對于以上綜述存在一種例外情況：訪客登錄計(jì)算機(jī)時(shí)所具備的用戶權(quán)限和特權(quán)要低于標(biāo)準(zhǔn)用戶 。
當(dāng)管理員嘗試執(zhí)行管理任務(wù)(例如，安裝應(yīng)用程序)時(shí)，UAC 會提示用戶批準(zhǔn)該操作 。當(dāng)用戶批準(zhǔn)該操作時(shí)，任務(wù)將通過管理員的完整管理員訪問令牌啟動 。這是默認(rèn)的管理員提示行為，可在本地安全策略管理器單元 (secpol.msc) 中使用組策略 (gpedit.msc) 進(jìn)行配置 。
注意 啟用了 UAC 的 Windows Vista 計(jì)算機(jī)上的管理員帳戶也稱為“管理批準(zhǔn)模式下的管理員帳戶 。管理批準(zhǔn)模式標(biāo)識了管理員的默認(rèn)用戶體驗(yàn) 。
每次管理提升也是特定于進(jìn)程的，這可防止其他進(jìn)程未提示用戶進(jìn)行批準(zhǔn)就使用訪問令牌 。這樣，管理員用戶可以對安裝哪些應(yīng)用程序進(jìn)行更精確的控制，同時(shí)又極大沖擊了期望登錄用戶使用完整管理員訪問令牌運(yùn)行的惡意軟件 。
通過使用 UAC 基礎(chǔ)結(jié)構(gòu)，標(biāo)準(zhǔn)用戶也有機(jī)會按流程提升并執(zhí)行管理任務(wù) 。當(dāng)標(biāo)準(zhǔn)用戶嘗試執(zhí)行管理任務(wù)時(shí)，UAC 會提示用戶輸入有效的管理員帳戶憑據(jù) 。這是默認(rèn)的標(biāo)準(zhǔn)用戶提示行為，可在本地安全策略管理器單元 (secpol.msc) 中使用組策略 (gpedit.msc) 進(jìn)行配置 。

推薦閱讀

• 

  如何區(qū)分食用薄荷
• 

  顏淵死,顏路請子之車以為之槨的之的意思 顏淵死顏路請子之車以為之槨翻譯
• 

  曾鞏簡介?
• 

  ppt如何設(shè)置動畫窗格
• 

  底字是什么結(jié)構(gòu)的字
• 

  地平線零之曙光擔(dān)心的原因任務(wù)怎么做 擔(dān)心的原因支線攻略
• 

  鄂州天氣預(yù)報(bào)怎么查
• 

  肉為什么要排酸
• 

  電視柜旁邊擺什么旺財(cái) 電視柜適合擺放的植物好
• 

  榴蓮沒有開口可以吃嗎
• 

  齊齊哈爾工學(xué)院，齊齊哈爾工程學(xué)院是個(gè)什么樣的學(xué)校
• 

  臘肉不能和什么一起吃
• 

  火影兜怎么死的,兜最后怎么死的
• 

  家里 1 臺T2 和 2 臺 堅(jiān)果，均未收到更新
• 

  機(jī)場對周邊房價(jià)的影響,對周邊房價(jià)有多大拉動作用
• 

  羅漢果花的功效,羅漢果花的功效與作用及禁忌

• 用Vista系統(tǒng)自帶功能破解登錄密碼
• 微軟官方稱Vista SP1比XP SP2更安全
• 微軟開始調(diào)查Vista更新造成USB失效問題
• 分享微軟透漏的很多關(guān)于Vista SP1的細(xì)節(jié)
• Windows 2008操作系統(tǒng)性能比Vista高原因
• 強(qiáng)人強(qiáng)招 繞過Vista正版驗(yàn)證限制
• 有趣：任務(wù)欄拉高可提升Vista性能
• 快手怎么開直播 快手怎么開直播教程
• XP SP3性能提升約10% 速度是Vista兩倍
• 有趣：任務(wù)欄拉高可提升Windows Vista性能