使用者帳戶控制設定和組態

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

用戶帳戶控制設定清單

下表列出可用來設定UAC行為的設定，以及其預設值。

設定名稱	描述
管理員 內建系統管理員帳戶的核准模式	控制內建系統管理員帳戶 管理員 核准模式的行為。 已啟用：內建的系統管理員帳戶會使用 管理員 核准模式。 根據預設，任何需要提高許可權的作業會提示使用者核准作業。 停用 (預設) ：內建的系統管理員帳戶會以完整的系統管理許可權執行所有應用程式。
允許 UIAccess 應用程式在不使用安全桌面的情況下提示提高許可權	控制使用者介面輔助功能 (UIAccess 或 UIA) 程式是否可以針對標準使用者所使用的提高許可權提示自動停用安全桌面。 已啟用：UIA 程式，包括遠端協助，會自動停用安全桌面以進行提高許可權提示。 如果您在提示提高許可權原則時未停用 切換至安全桌面 原則設定，則提示會出現在互動式使用者的桌面上，而不是安全桌面上。 此設定可讓遠端管理員提供適當的認證來提高許可權。 此原則設定不會變更系統管理員的 UAC 提高許可權提示行為。 如果您打算啟用此原則設定，您也應該檢閱標準用戶原則設定之 提高許可權提示的行為 效果：如果設定為 [自動拒絕提高許可權要求]，則不會向用戶顯示提高許可權要求。 停用 (預設) ：只有互動式桌面的使用者或在提示提高許可權原則 設定時停用切換至安全桌面 ，才能停用安全桌面。
管理員 核准模式中系統管理員提高許可權提示的行為	控制系統管理員提高許可權提示的行為。 提高許可權而不提示：允許特殊許可權帳戶執行需要提高許可權的作業，而不需要同意或認證。 只有在最受限制的環境中才使用此選項。 在安全桌面上提示輸入認證：當作業需要提高許可權時，系統會在安全桌面上提示使用者輸入具特殊許可權的使用者名稱和密碼。 如果使用者輸入有效的認證，作業會以使用者的最高可用許可權繼續進行。 在安全桌面上提示要求同意：當作業需要提高許可權時，系統會在安全桌面上提示用戶選取 [允許] 或 [拒絕]。 如果使用者選取 [允許]，作業會以使用者的最高可用許可權繼續進行。 提示輸入認證：當作業需要提高許可權時，系統會提示使用者輸入系統管理使用者名稱和密碼。 如果使用者輸入有效的認證，作業會繼續使用適用的許可權。 提示要求同意：當作業需要提高許可權時，系統會提示用戶選取 [允許] 或 [拒絕]。 如果使用者選取 [允許]，作業會以使用者的最高可用許可權繼續進行。 (預設) 提示要求同意非 Windows 二進位檔 ：當非 Microsoft 應用程式的作業需要提高許可權時，系統會在安全桌面上提示用戶選取 [允許] 或 [拒絕]。 如果使用者選取 [允許]，作業會以使用者的最高可用許可權繼續進行。
標準使用者提高許可權提示的行為	控制標準使用者提高許可權提示的行為。 (預設) 提示輸入認證：當作業需要提高許可權時，系統會提示使用者輸入系統管理使用者名稱和密碼。 如果使用者輸入有效的認證，作業會繼續使用適用的許可權。 自動拒絕提高許可權要求：當作業需要提高許可權時，會顯示可設定的拒絕存取錯誤訊息。 以標準使用者身分執行桌面的企業可以選擇此設定，以減少技術支援中心通話。 在安全桌面上提示輸入認證 當作業需要提高許可權時，系統會在安全桌面上提示使用者輸入不同的使用者名稱和密碼。 如果使用者輸入有效的認證，作業會繼續使用適用的許可權。
偵測應用程式安裝並提示提高許可權	控制電腦的應用程式安裝偵測行為。 啟用 (預設) ：偵測到需要提高許可權的應用程式安裝套件時，系統會提示使用者輸入系統管理使用者名稱和密碼。 如果使用者輸入有效的認證，作業會繼續使用適用的許可權。 已停用：未偵測到應用程式安裝套件，並提示您提高許可權。 執行標準使用者桌面並使用委派安裝技術的企業，例如 Microsoft Intune，應該停用此原則設定。 在此情況下，不需要安裝程式偵測。
只提高已簽署和驗證的可執行檔	針對任何要求提高許可權的互動式應用程式，強制執行簽章檢查。 IT 系統管理員可以藉由將憑證新增至本機裝置上的受信任發行者證書存儲，來控制允許執行的應用程式。 已啟用：在允許執行之前，強制執行指定可執行檔的憑證路徑驗證。 停用 (預設) ：在允許執行指定的可執行檔之前，請勿強制執行憑證路徑驗證。
只提高安裝在安全位置的UIAccess應用程式	控制要求以使用者介面輔助功能 (UIAccess) 完整性層級執行的應用程式是否必須位於檔案系統中的安全位置。 安全位置受限於下列資料夾： - %ProgramFiles%，包括子資料夾 - %SystemRoot%\system32\ - %ProgramFiles(x86)%，包括子資料夾 啟用 (預設) ：如果應用程式位於檔案系統中的安全位置，則只會以 UIAccess 完整性執行。 已停用：即使應用程式不在文件系統中的安全位置，仍會以UIAccess完整性執行。 注意： Windows 會對任何要求以 UIAccess 完整性層級執行的互動式應用程式強制執行數位簽名檢查，而不論此設定的狀態為何。
以 管理員 核准模式執行所有系統管理員	控制所有 UAC 原則設定的行為。 啟用 (預設) ：管理員 核准模式已啟用。 必須啟用此原則並設定相關的UAC設定。 此原則可讓內建的系統管理員帳戶和 Administrators 群組的成員以 管理員 核准模式執行。 已停用：管理員 核准模式和所有相關的UAC原則設定都會停用。 注意：如果停用此原則設定，Windows 安全性 通知您操作系統的整體安全性已降低。
提示提高許可權時切換至安全桌面	此原則設定可控制提高許可權要求提示是否顯示在互動式使用者的桌面或安全桌面上。 啟用 (預設) ：不論系統管理員和標準使用者的提示行為原則設定為何，所有提高許可權要求都會移至安全桌面。 已停用：所有提高許可權要求都會移至互動式使用者的桌面。 系統會使用系統管理員和標準使用者的提示行為原則設定。
將每個使用者位置的檔案和登錄寫入失敗虛擬化	控制應用程式寫入失敗是否會重新導向至已定義的登錄和檔案系統位置。 此設定可減輕以系統管理員身分執行並將運行時間應用程式數據寫入 %ProgramFiles%、 %Windir%、 %Windir%\system32或 HKLM\Software的應用程式。 啟用 (預設) ：應用程式寫入失敗會在運行時間重新導向至檔案系統和登錄的已定義使用者位置。 已停用：將數據寫入受保護位置的應用程式會失敗。

用戶帳戶控制組態

若要設定 UAC，您可以使用：

• Microsoft Intune/MDM
• 群組原則
• 登錄

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

Intune/CSP

使用設定目錄原則設定UAC

若要使用 Microsoft Intune 來設定裝置，請建立 [設定] 目錄原則，並使用 類別Local Policies Security Options下所列的設定：

將原則指派給安全組，其中包含作為您要設定之裝置或用戶的成員。

或者，您可以使用 自定義原則 搭配 LocalPoliciesSecurityOptions 原則 CSP 來設定裝置。
原則設定位於下方： ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions。

設定
設定名稱：管理員 內建系統管理員帳戶的核准模式 原則 CSP 名稱： UserAccountControl_UseAdminApprovalMode
設定名稱：允許 UIAccess 應用程式在不使用安全桌面的情況下提示提高許可權 原則 CSP 名稱： UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
設定名稱：管理員 核准模式中系統管理員提高許可權提示的行為 原則 CSP 名稱： UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
設定名稱：標準使用者提高許可權提示的行為 原則 CSP 名稱： UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
設定名稱：偵測應用程式安裝並提示提高許可權 原則 CSP 名稱： UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
設定名稱：僅提升已簽署和驗證的可執行檔 原則 CSP 名稱： UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
設定名稱：僅提升安裝在安全位置的UIAccess應用程式 原則 CSP 名稱： UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
設定名稱：以 管理員 核准模式執行所有系統管理員 原則 CSP 名稱： UserAccountControl_RunAllAdministratorsInAdminApprovalMode
設定名稱：提示提高許可權時切換至安全桌面 原則 CSP 名稱： UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
設定名稱：虛擬化每個使用者位置的檔案和登錄寫入失敗 原則 CSP 名稱： UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Gpo

您可以使用安全性原則來設定「使用者帳戶控制」在您組織中的運作方式。 您可以使用本機安全策略嵌入式管理單元 () secpol.msc ，或依組策略針對網域、OU 或特定群組設定原則，在本機設定原則。

原則設定位於下方： Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options。

群組原則設定	預設值
用戶帳戶控制：管理員 內建系統管理員帳戶的核准模式	停用
使用者帳戶控制: 允許 UIAccess 應用程式不使用安全桌面來提示提升權限	停用
使用者帳戶控制: 在管理員核准模式，系統管理員之提升權限提示的行為	提示您同意非 Windows 二進位檔
使用者帳戶控制: 標準使用者之提高權限提示的行為	提示輸入認證
使用者帳戶控制: 偵測應用程式安裝，並提示提升權限	僅針對主版啟用 (預設) 停用 (預設)
使用者帳戶控制: 僅針對已簽章與驗證過的可執行檔，提高其權限	停用
使用者帳戶控制：僅針對在安全位置安裝的 UIAccess 應用程式，提高其權限	啟用
使用者帳戶控制: 所有系統管理員均以管理員核准模式執行	啟用
使用者帳戶控制: 提示提升權限時切換到安全桌面	啟用
使用者帳戶控制: 將檔案及登錄寫入失敗虛擬化並儲存至每一使用者位置	啟用

登錄

登錄機碼位於機碼下： HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System。

設定名稱	登錄機碼名稱	值
管理員 內建系統管理員帳戶的核准模式	FilterAdministratorToken	0 (預設) = 已停用 1 = 已啟用
允許 UIAccess 應用程式在不使用安全桌面的情況下提示提高許可權	EnableUIADesktopToggle	0 (預設) = 已停用 1 = 已啟用
管理員 核准模式中系統管理員提高許可權提示的行為	ConsentPromptBehaviorAdmin	0 = 提升而不提示 1 = 在安全桌面上提示輸入認證 2 = 在安全桌面上提示同意 3 = 提示輸入認證 4 = 提示同意 5 (預設) = 提示同意非 Windows 二進位檔
標準使用者提高許可權提示的行為	ConsentPromptBehaviorUser	0 = 自動拒絕提高許可權要求 1 = 在安全桌面上提示輸入認證 3 (預設) = 提示輸入認證
偵測應用程式安裝並提示提高許可權	EnableInstallerDetection	1 = 啟用 (僅限家用) 的預設值 0 = 停用 (預設)
只提高已簽署和驗證的可執行檔	ValidateAdminCodeSignatures	0 (預設) = 已停用 1 = 已啟用
只提高安裝在安全位置的UIAccess應用程式	EnableSecureUIAPaths	0 = 停用 1 (預設) = 已啟用
以 管理員 核准模式執行所有系統管理員	EnableLUA	0 = 停用 1 (預設) = 已啟用
提示提高許可權時切換至安全桌面	PromptOnSecureDesktop	0 = 停用 1 (預設) = 已啟用
將每個使用者位置的檔案和登錄寫入失敗虛擬化	EnableVirtualization	0 = 停用 1 (預設) = 已啟用