使用者帳戶控制

適用對象

  • Windows 10
  • Windows 11
  • Windows Server 2016 及更新版本

「使用者帳戶控制」(UAC) 可協助防止惡意程式碼損壞電腦,並可協助組織部署更好管理的桌面環境。 使用 UAC 時,應用程式和工作一律會在非系統管理員帳戶的安全性內容中執行,除非系統管理員明確授與系統管理員層級的系統存取權限。 UAC 可以封鎖未經授權之應用程式的自動安裝,並防止不小心變更系統設定。

UAC 可讓所有使用者使用標準使用者帳戶來登入他們的電腦。 使用標準使用者權杖啟動的程序可以使用授與標準使用者的存取權限來執行工作。 例如,「Windows 檔案總管」會自動繼承標準使用者層級權限。 此外,任何使用「Windows 檔案總管」來啟動的應用程式 (例如,透過按兩下捷徑) 也會使用一組標準使用者權限來執行。 許多應用程式 (包括作業系統本身隨附的應用程式) 便是設計成以這種方式正常運作。

其他應用程式 (尤其是在設計上未特別考量安全性的應用程式) 則通常需要額外的權限才能順利執行。 這些類型的應用程式稱為傳統應用程式。 此外,安裝新軟體和變更「Windows 防火牆」設定之類的動作所需的權限超出標準使用者帳戶可用的權限。

當應用程式需要以超過標準使用者許可權執行時,UAC 可讓使用者使用系統管理員權杖 (以系統管理群組和許可權) 而非預設的標準使用者存取權杖執行應用程式。 使用者會繼續在標準使用者安全性環境中操作,並根據需要讓特定應用程式以較高的權限執行。

實際應用

UAC 中的「系統管理員核准」模式可協助防止惡意程式碼在系統管理員不知情的情況下偷偷進行安裝。 它也可以協助防止不小心進行全系統變更的行為。 最後,它可以用來強制執行較高層級的規範,規定每個系統管理程序都必須由系統管理員主動同意或提供認證才能執行。

本節內容

主題 說明
使用者帳戶控制運作方式 「使用者帳戶控制」(UAC) 是 Microsoft 整體安全性願景的基本元件。 UAC 有助於減輕惡意程式碼造成的影響。
使用者帳戶控制安全性原則設定 您可以使用安全性原則來設定「使用者帳戶控制」在您組織中的運作方式。 您可以使用「本機安全性原則」嵌入式管理單元 (secpol.msc) 在本機設定它們,或透過「群組原則」針對網域、OU 或特定的群組設定它們。
使用者帳戶控制群組原則和登錄機碼設定 這裡提供一份可供您組織用來管理 UAC 的 UAC 群組原則及登錄機碼設定清單。