Windows Vista 中用戶帳戶控制和遠端限制的描述

本文說明用戶帳戶控制 (UAC) 和遠端限制。

適用於： Windows Vista
原始 KB 編號： 951016

簡介

用戶帳戶控制 (UAC) 是 Windows Vista 的新安全性元件。 UAC 可讓使用者以非系統管理員身分執行一般日常工作。 這些使用者在 Windows Vista 中稱為 標準使用者 。 身為本機 Administrators 群組成員的用戶帳戶會使用 最低許可權原則來執行大部分的應用程式。 在此案例中，最低許可權的使用者具有類似標準用戶帳戶許可權的許可權。 不過，當本機 Administrators 群組的成員必須執行需要系統管理員許可權的工作時，Windows Vista 會自動提示使用者核准。

UAC 遠端限制的運作方式

為了更妥善地保護身為本機 Administrators 群組成員的使用者，我們會在網路上實作 UAC 限制。 此機制有助於防止 回送 攻擊。 此機制也有助於防止本機惡意軟體以系統管理許可權從遠端執行。

安全性帳戶管理員用戶帳戶 (本機用戶帳戶)

例如，當身為目標遠端電腦上本機 Administrators 群組成員的使用者使用 net use *\\remotecomputer\Share$ 命令建立遠端系統管理連線時，他們將不會以完整系統管理員身分連線。 用戶在遠端電腦上沒有提高許可權的可能性，而且使用者無法執行系統管理工作。 如果使用者想要使用安全性帳戶管理員 (SAM) 帳戶來管理工作站，如果這些服務可用，用戶必須以互動方式登入要使用遠端協助或遠端桌面管理的計算機。

Active Directory 用戶帳戶 (網域用戶帳戶)

具有網域用戶帳戶的使用者從遠端登入 Windows Vista 計算機。 而且，網域使用者是Administrators群組的成員。 在此情況下，網域使用者會在遠端計算機上以完整的系統管理員存取令牌執行，而 UAC 將不會生效。

注意事項

此行為與 Windows XP 中的行為並無不同。

如何停用UAC遠端限制

重要事項

這個章節、方法或工作包含修改登錄的步驟。 然而，不當修改登錄可能會發生嚴重的問題。 因此，請務必謹慎地依照這些步驟執行。 為了有多一層保護，請先備份登錄再進行修改。 如此一來，您就可以在發生問題時還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊，請參閱如何在 Windows 中備份及還原登錄。

若要停用 UAC 遠端限制，請遵循下列步驟：

1. 按一下 [開始]，選取 [執行]，輸入 regedit，然後按下 [Enter]。

2. 找出並按一下下列登錄子機碼：

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

3. LocalAccountTokenFilterPolicy如果登錄專案不存在，請遵循下列步驟：

   1. 在 [ 編輯] 功能表上，指向 [ 新增]，然後選取 [DWORD 值]。
   2. 輸入 LocalAccountTokenFilterPolicy，然後按 ENTER。

4. 以滑鼠右鍵按兩下 [LocalAccountTokenFilterPolicy]，然後選取 [ 修改]。

5. 在 [ 值數據] 方塊中，輸入 1，然後選取 [ 確定]。

6. 結束 [登錄編輯程式]。

此問題是否已修正

檢查該問題是否已修正。 如果問題未修正，請 連絡支持人員。

UAC 遠端設定

LocalAccountTokenFilterPolicy 登錄專案可以有 0 或 1 的值。 這些值會將登錄項目的行為變更為下表所述的行為。

值	描述
0	此值會建置已篩選的令牌。 這是預設值。 系統會移除系統管理員認證。
1	此值會建置提升許可權的令牌。