Windows Vista 中的使用者帳戶控制和遠端限制的描述

本文說明 (UAC) 和遠端限制的使用者帳戶控制。

原始產品版本:   Windows Vista
原始 KB 編號:   951016

簡介

使用者帳戶控制 (UAC) 是 Windows Vista 的新安全性元件。 UAC 可讓使用者以非管理員的身分日常工作執行。 這些使用者在 Windows Vista 中稱為 標準使用者 。 屬於本機 Administrators 群組成員的使用者帳戶,將會使用 最低許可權的原則執行大多數的應用程式。 在此案例中,最小特權使用者的許可權與標準使用者帳戶的許可權類似。 不過,當本機 Administrators 群組的成員必須執行需要系統管理員許可權的任務時,Windows Vista 會自動提示使用者進行核准。

UAC 遠端限制的運作方式

為了更好地保護屬於本機 Administrators 群組成員的使用者,我們會在網路上實施 UAC 限制。 這種機制可協助防範 環回 攻擊。 這種機制也可協助防止本機惡意軟體使用系統管理許可權以遠端方式執行。

本機使用者帳戶 (的安全性帳戶管理員使用者帳戶)

例如,當目標遠端電腦上的本機系統管理員群組成員使用 net use 命令建立遠端系統管理連線時 *\\remotecomputer\Share$ ,使用者將不會以完整系統管理員的身分連線。 使用者在遠端電腦上沒有任何提升潛力,而且使用者無法執行管理工作。 如果使用者想要使用安全帳戶管理員管理工作站 (SAM) 帳戶,則使用者必須以遠端協助或遠端桌面的身分方式登入要管理的電腦(如果這些服務可供使用)。

網域使用者帳戶 (Active Directory 使用者帳戶)

具有網域使用者帳戶的使用者,會從遠端登入 Windows Vista 電腦。 而且,網域使用者是管理員群組的成員。 在此情況下,域使用者將會在遠端電腦上以完整的系統管理員存取權杖來執行,而且 UAC 將不會生效。

注意

這種行為與 Windows XP 中的行為不同。

如何停用 UAC 遠端限制

重要

這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需如何備份及還原登錄的詳細資訊,請參閱 how to 備份及還原 Windows 中的登錄

若要停用 UAC 遠端限制,請遵循下列步驟:

  1. 按一下 [ 開始],按一下 [ 執行],輸入 regedit,然後按 enter。

  2. 找到並按一下下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. 如果 LocalAccountTokenFilterPolicy 登錄專案不存在,請執行下列步驟:

    1. 指向 [編輯]**** 功能表上的 [新增],然後按一下 [Dword 值]
    2. 輸入 LocalAccountTokenFilterPolicy,然後按 enter。
  4. 以滑鼠右鍵按一下 [ LocalAccountTokenFilterPolicy],然後按一下 [ 修改]。

  5. 在 [ 數值資料 ] 方塊中,輸入 1,然後按一下 [確定]

  6. 結束 [登錄編輯程式]。

這是否修正問題

檢查該問題是否已修正。 如果問題已修正,您已完成本文。 如果問題尚未修正,則可連絡技術支援服務

UAC 遠端設定

登錄中的 LocalAccountTokenFilterPolicy 登錄專案的值可為0或1。 這些值會將登錄專案的行為變更為下表所述的行為。

描述
0 此值會建立篩選的標記。 這是預設值。 系統管理員認證已移除。
1 此值會建立提升的權杖。