用户帐户控制组策略和注册表项设置

适用范围

  • Windows 10
  • Windows 11
  • Windows Server 2016 和更高版本

组策略设置

UAC 管理中心可以配置 10 个组策略 (用户帐户) 。 该表列出了每个策略设置的默认值,以下各节介绍了不同的 UAC 策略设置并提供建议。 这些策略设置位于本地安全策略管理单元中的 Security设置\Local Policies\Security Options 中。 有关每个组策略设置详细信息,请参阅组策略说明。 有关注册表项设置的信息,请参阅 注册表项设置

组策略设置 注册表项 默认值
用户帐户控制:内置管理员帐户的管理员审批模式 FilterAdministratorToken 禁用
用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限 EnableUIADesktopToggle 禁用
用户帐户控制: 管理员批准模式中管理员的提升权限提示行为 ConsentPromptBehaviorAdmin 提示同意非二Windows二进制文件
用户帐户控制: 标准用户的提升权限提示行为 ConsentPromptBehaviorUser 凭据提示
用户帐户控制: 检测应用程序安装并提示提升权限 EnableInstallerDetection 已启用 (家庭用户的默认)
企业 (禁用默认)
用户帐户控制: 只提升签名并验证的可执行文件 ValidateAdminCodeSignatures 禁用
用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序 EnableSecureUIAPaths 已启用
用户帐户控制: 以管理员批准模式运行所有管理员 EnableLUA 启用
用户帐户控制: 提示提升权限时切换到安全桌面 PromptOnSecureDesktop 启用
用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置 EnableVirtualization 启用

用户帐户控制:内置管理员帐户的管理员审批模式

The User Account Control: Admin Approval Mode for the built-in Administrator account policy setting controls the behavior of Admin Approval Mode for the built-in Administrator account.

这些选项有:

  • 已启用。 内置管理员帐户使用管理员审批模式。 默认情况下,任何需要提升特权的操作都将提示用户批准该操作。
  • 已禁用。 (默认) 内置管理员帐户使用完全管理权限运行所有应用程序。

用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限

用户帐户控制:允许 UIAccess 应用程序提示提升,而不使用安全桌面策略设置控制用户界面辅助功能 (UIAccess 或 UIA) 程序是否可以针对标准用户使用的提升提示自动禁用安全桌面。

这些选项有:

  • 已启用。 UIA 计划(Windows远程协助)将自动禁用提升提示的安全桌面。 如果未禁用用户帐户控制 提示提升策略设置时切换到安全桌面,则提示将显示在交互式用户的桌面上,而不是安全桌面上。
  • 已禁用。 (默认) 只有交互式桌面的用户或禁用用户帐户控制 提示提升策略设置时切换到安全桌面,才能禁用安全桌面。

UIA 程序旨在代表Windows应用程序和应用程序应用程序进行交互。 此策略设置允许 UIA 程序绕过安全桌面以提高在某些情况下的可用性;但是,允许提升请求显示在交互式桌面(而不是安全桌面)可能会增加安全风险。

UIA 计划必须进行数字签名,因为它们必须能够响应有关安全问题的提示,如 UAC 提升提示。 默认情况下,UIA 程序仅从以下受保护的路径运行:

  • ...\Program 文件,包括子文件夹
  • ...\Program Files (x86) ,包括 64 位版本的 Windows
  • ...\Windows\System32

用户帐户控制:仅提升安装在安全位置中的 UIAccess 应用程序策略设置会禁用从受保护的路径运行的要求。

尽管此策略设置适用于任何 UIA 计划,但它主要用于某些远程协助方案,包括 Windows 7 中的远程协助Windows计划。

如果用户向管理员请求远程协助并建立了远程协助会话,则任何提升提示都将显示在交互式用户的安全桌面上,并且管理员的远程会话将暂停。 为避免在提升请求期间暂停远程管理员会话,用户在设置远程协助会话时可能会选中"允许 IT 专家 响应用户帐户控制提示"复选框。 但是,选中此复选框要求交互式用户响应安全桌面上的提升提示。 如果交互用户是标准用户,则用户没有允许提升所需的凭据。

如果启用此策略设置,提升请求会自动发送到交互式桌面 (而不是安全桌面) 还会在远程协助会话期间显示在远程管理员的桌面视图中。 这允许远程管理员提供适当的凭据进行提升。

此策略设置不会更改管理员的 UAC 提升提示行为。

如果计划启用此策略设置,则还应查看用户帐户控制:标准用户策略设置的提升 提示 行为的效果。 如果配置为"自动 拒绝提升请求", 则提升请求不会呈现给用户。

用户帐户控制: 管理员批准模式中管理员的提升权限提示行为

用户帐户 控制:管理员 批准模式策略设置中管理员的提升权限提示行为控制管理员提升权限提示的行为。

这些选项有:

  • 提升而不提示。 允许特权帐户执行需要提升的操作,而无需征得同意或凭据。

    注意 仅在最受限制的环境中使用此选项。

  • 提示在安全桌面上输入凭据。 当操作需要提升特权时,系统会在安全桌面上提示用户输入特权用户名和密码。 如果用户输入了有效的凭据,操作将继续具有用户的最高可用权限。

  • 提示在安全桌面上征得同意。 当操作需要提升特权时,系统会在安全桌面上提示用户选择"允许"或"拒绝 "。 如果用户选择" 允许", 操作将继续使用用户的最高可用权限。

  • 提示输入凭据。 当操作需要提升特权时,系统将提示用户输入管理用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。

  • 提示同意。 当操作需要提升特权时,系统将提示用户选择"允许"或"拒绝 "。 如果用户选择" 允许", 操作将继续使用用户的最高可用权限。

  • 提示同意非Windows二进制文件。 (默认) 当非 Microsoft 应用程序的操作需要提升特权时,系统会在安全桌面上提示用户选择"允许"或"拒绝"。 **** 如果用户选择" 允许", 操作将继续使用用户的最高可用权限。

用户帐户控制: 标准用户的提升权限提示行为

用户帐户 控制:标准 用户提升提示行为策略设置控制标准用户的提升权限提示行为。

这些选项有:

  • 自动拒绝提升请求。 当操作需要提升特权时,将显示可配置的拒绝访问错误消息。 作为标准用户运行桌面的企业可以选择此设置以减少技术支持呼叫。
  • 提示在安全桌面上输入凭据。 当操作需要提升特权时,系统会在安全桌面上提示用户输入不同的用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。
  • 提示输入凭据。 (默认) 当操作需要提升特权时,系统将提示用户输入管理用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。

用户帐户控制: 检测应用程序安装并提示提升权限

用户帐户 控制:检测应用程序安装并提示 提升策略设置控制计算机的应用程序安装检测行为。

这些选项有:

  • 已启用。 (家庭) 默认设置 当检测到需要提升特权的应用程序安装程序包时,系统将提示用户输入管理用户名和密码。 如果用户输入有效的凭据,则操作将继续具有适用的权限。
  • 已禁用。 ("企业) 应用程序安装包的默认值,并提示进行提升。 运行标准用户桌面并使用委派安装技术(如组策略软件安装或 Systems Management Server (SMS) )的企业应禁用此策略设置。 在这种情况下,不需要安装程序检测。

用户帐户控制: 只提升签名并验证的可执行文件

用户帐户 控制:仅 提升经过签名和验证的策略设置的可执行文件会强制执行公钥基础结构 (PKI) 签名检查以检查请求提升特权的任何交互式应用程序。 Enterprise管理员可通过将证书添加到本地计算机上的"受信任的发布者"证书存储来控制允许运行的应用程序。

这些选项有:

  • 已启用。 在允许运行给定可执行文件之前,对该文件强制执行 PKI 证书路径验证。
  • 已禁用。 (默认) 在允许运行给定可执行文件之前,不强制执行 PKI 证书路径验证。

用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序

用户帐户控制:仅提升安装在安全位置中的 UIAccess 应用程序策略设置控制请求使用用户界面辅助功能 (UIAccess) 完整性级别运行的应用程序是否必须驻留在文件系统中的安全位置。 安全位置仅限于以下位置:

  • ...\Program 文件,包括子文件夹
  • ...\Windows\system32
  • ...\Program Files (x86) ,包括 64 位版本的 Windows

请注意Windows请求使用 UIAccess 完整性级别运行的任何交互式应用程序强制执行 PKI 签名检查,而不管此安全性设置的状态如何。

这些选项有:

  • 已启用。 (默认值) 如果应用程序位于文件系统中的安全位置,则它仅使用 UIAccess 完整性运行。
  • 已禁用。 应用程序使用 UIAccess 完整性运行,即使它不驻留在文件系统中的安全位置。

用户帐户控制: 以管理员批准模式运行所有管理员

用户帐户 控制:运行所有管理员管理员审批模式 策略设置控制计算机的所有 UAC 策略设置的行为。 如果更改此策略设置,则必须重新启动计算机。

这些选项有:

  • 已启用。 (启用) 审批模式的默认权限。 必须启用此策略,并且还必须相应设置相关的 UAC 策略设置,以允许内置管理员帐户和作为 Administrators 组的成员的所有其他用户在管理员审批模式下运行。
  • 已禁用。 管理员审批模式和相关的 UAC 策略设置已禁用。

注意如果禁用此策略设置,Windows 安全中心应用将通知你操作系统的整体安全性已降低。

用户帐户控制: 提示提升权限时切换到安全桌面

用户帐户 控制:提示 提升策略设置时切换到安全桌面控制提升请求提示是否显示在交互式用户的桌面或安全桌面上。

这些选项有:

  • 已启用。 (默认) 无论管理员和标准用户的提示行为策略设置如何,所有提升请求都将转到安全桌面。
  • 已禁用。 所有提升请求都转到交互式用户的桌面。 使用管理员和标准用户的提示行为策略设置。

启用此策略设置后,它将覆盖用户帐户控制:管理员批准模式策略设置中管理员 的提升权限 提示行为。 下表介绍启用或禁用"用户帐户控制: 当提示提升策略设置时切换到安全桌面****"时,每个管理员策略设置的提升权限提示行为。

管理员策略设置 已启用 禁用
在安全桌面上提示输入凭据 提示将显示在安全桌面上。 提示将显示在安全桌面上。
在安全桌面上提示同意 提示将显示在安全桌面上。 提示将显示在安全桌面上。
凭据提示 提示将显示在安全桌面上。 该提示将显示在交互用户的桌面上。
提示同意 提示将显示在安全桌面上。 该提示将显示在交互用户的桌面上。
提示同意非二Windows二进制文件 提示将显示在安全桌面上。 该提示将显示在交互用户的桌面上。

启用此策略设置后,它将覆盖用户帐户控制:标准用户策略设置的提升 提示 行为。 下表介绍了启用或禁用"用户帐户控制: 当提示提升策略设置时切换到安全桌面"**** 时,每个标准用户策略设置的提升权限提示行为。

标准策略设置 已启用 禁用
自动拒绝提升请求 无提示。 请求将自动被拒绝。 无提示。 请求将自动被拒绝。
在安全桌面上提示输入凭据 提示将显示在安全桌面上。 提示将显示在安全桌面上。
凭据提示 提示将显示在安全桌面上。 该提示将显示在交互用户的桌面上。

用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置

用户帐户 控制:虚拟化 文件和注册表写入每用户位置失败策略设置控制是否将应用程序写入失败重定向到定义的注册表和文件系统位置。 此策略设置可缓解以管理员角色运行的应用程序,并可将运行时应用程序数据写入 %ProgramFiles、%Windir、%Windir%\system32 或 HKLM\Software。

这些选项有:

  • 已启用。 (默认) 应用程序写入失败会运行时重定向到文件系统和注册表的已定义用户位置。
  • 已禁用。 将数据写入受保护位置的应用程序失败。

注册表项设置

注册表项位于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 中。 有关每个注册表项的信息,请参阅关联的组策略说明。

注册表项 组策略设置 注册表设置
FilterAdministratorToken 用户帐户控制:内置管理员帐户的管理员审批模式 0 (默认值) = 已禁用
1 = 已启用
EnableUIADesktopToggle 用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限 0 (默认值) = 已禁用
1 = 已启用
ConsentPromptBehaviorAdmin 用户帐户控制: 管理员批准模式中管理员的提升权限提示行为 0 = 提升而不提示
1 = 提示在安全桌面上输入凭据
2 = 在安全桌面上提示同意
3 = 提示输入凭据
4 = 提示同意
5 (默认) = 提示同意非二Windows二进制文件
ConsentPromptBehaviorUser 用户帐户控制: 标准用户的提升权限提示行为 0 = 自动拒绝提升请求
1 = 提示在安全桌面上输入凭据
3 (默认值) = 提示输入凭据
EnableInstallerDetection 用户帐户控制: 检测应用程序安装并提示提升权限 1 = (家庭用户默认启用)
0 = 禁用 (企业版默认设置)
ValidateAdminCodeSignatures 用户帐户控制: 只提升签名并验证的可执行文件 0 (默认值) = 已禁用
1 = 已启用
EnableSecureUIAPaths 用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序 0 = 禁用
1 (默认值) = 已启用
EnableLUA 用户帐户控制: 以管理员批准模式运行所有管理员 0 = 禁用
1 (默认值) = 已启用
PromptOnSecureDesktop 用户帐户控制: 提示提升权限时切换到安全桌面 0 = 禁用
1 (默认值) = 已启用
EnableVirtualization 用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置 0 = 禁用
1 (默认值) = 已启用