Windows Vista 中用戶帳戶控制和遠端限制的描述
本文說明用戶帳戶控制 (UAC) 和遠端限制。
適用於: Windows Vista
原始 KB 編號: 951016
簡介
用戶帳戶控制 (UAC) 是 Windows Vista 的新安全性元件。 UAC 可讓使用者以非系統管理員身分執行一般日常工作。 這些用戶稱為 Windows Vista 中的標準使用者 。 屬於本機 Administrators 群組成員的用戶帳戶會使用最低許可權原則來執行大部分的應用程式。 在此案例中,最低許可權的使用者具有與標準用戶帳戶許可權類似的許可權。 不過,當本機 Administrators 群組的成員必須執行需要系統管理員許可權的工作時,Windows Vista 會自動提示使用者核准。
UAC 遠端限制的運作方式
為了更妥善地保護屬於本機 Administrators 群組成員的使用者,我們會在網路上實作 UAC 限制。 此機制有助於防止 回送 攻擊。 此機制也有助於防止本機惡意軟體使用系統管理許可權從遠端執行。
本機使用者帳戶 (安全性帳戶管理員用戶帳戶)
例如,當使用者是目標遠端計算機上本機 Administrators 群組的成員時,會使用 net use *\\remotecomputer\Share$ 命令建立遠端系統管理連線,例如,他們不會以完整系統管理員身分連線。 用戶無法在遠端電腦上提高許可權,而且使用者無法執行系統管理工作。 如果使用者想要使用安全性帳戶管理員 (SAM) 帳戶管理工作站,如果用戶必須以互動方式登入要透過遠端協助或遠端桌面管理的電腦,如果這些服務可供使用。
網域用戶帳戶 (Active Directory 用戶帳戶)
具有網域用戶帳戶的使用者,會從遠端登入 Windows Vista 計算機。 而且,網域使用者是Administrators群組的成員。 在此情況下,網域使用者將會在遠端計算機上以完整系統管理員存取令牌執行,且 UAC 不會生效。
注意
此行為與 Windows XP 中的行為不同。
如何停用UAC遠端限制
重要
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需備份和還原登錄的詳細資訊,請參閱如何在 Windows 中備份及還原登錄。
若要停用 UAC 遠端限制,請遵循下列步驟:
按一下 [開始],選取 [執行],輸入 regedit,然後按下 [Enter]。
找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemLocalAccountTokenFilterPolicy如果登錄專案不存在,請遵循下列步驟:- 在 [ 編輯 ] 功能表上,指向 [ 新增],然後選取 [DWORD 值]。
- 輸入 LocalAccountTokenFilterPolicy,然後按 ENTER。
以滑鼠右鍵按兩下 LocalAccountTokenFilterPolicy,然後選取[ 修改]。
在 [ 值數據 ] 方塊中,輸入 1,然後選取 [ 確定]。
結束登錄編輯程式。
是否已修正問題
檢查該問題是否已修正。 如果問題未修正, 請連絡支持人員。
UAC 遠端設定
LocalAccountTokenFilterPolicy 登錄專案可以有 0 或 1 的值。 這些值會將登錄項目的行為變更為下表中所述的行為。
| 值 | 描述 |
|---|---|
| 0 | 此值會建置篩選的令牌。 這是預設值。 系統會移除系統管理員認證。 |
| 1 | 此值會建置提升許可權的令牌。 |