MS2008用户帐户控制中的新增功能

用户帐户控制中的新增功能更新时间:2009年6月应用到:Windows7,WindowsServer2008R2用户帐户控制的新增功能有哪些？在引入用户帐户控制(UAC)之前，如果用户以管理员身份登录，则会自动授予用户对所有系统资源的完全访问权限。而当用户作为管理员运行时，可以安装合法软件，也可以有意或无意地安装恶意程序。管理员安装的恶意软件可以严重危害计算机并影响所有用户。随着UAC的引入，访问控制模型已经更改，以便减少恶意程序的影响。当用户试图启动管理员任务或服务时，“用户帐户控制”对话框会要求用户单击“是”或“否”，然后才允许使用用户的完全管理员访问令牌。如果用户不是管理员，则用户必须提供管理员凭据才能运行该程序。因为UAC要求管理员审核应用程序的安装，所以未授权的应用程序或没有得到管理员明确许可的应用程序无法自动安装。在Windows®7和WindowsServer®2008R2中，已改进UAC功能，从而：增加了标准用户可以执行的任务（不提示管理员审批）数量。允许具有管理员权限的用户在控制面板中配置UAC体验。提供其他本地安全策略，使本地管理员能够为管理员批准模式下的本地管理员更改UAC消息的行为。提供其他本地安全策略，使本地管理员能够为标准用户更改UAC消息的行为。哪些人会希望使用UAC？通过禁止可能具有恶意的程序运行，UAC帮助标准用户和管理员保护其计算机。改进的用户体验使用户能够在保护其计算机的同时轻松执行日常任务。通过禁止用户运行恶意软件，UAC帮助企业管理员保护其网络。新增功能和更改功能有哪些优点？默认情况下，标准用户和管理员在标准用户的安全上下文中访问资源并运行应用程序。当用户登录到计算机时，系统会为该用户创建一个访问令牌。该访问令牌包含有关授予该用户的访问权限级别的信息，其中包括特定的安全标识符(SID)和Windows权限。当管理员登录时，将为该用户创建两个单独的访问令牌：标准用户访问令牌和管理员访问令牌。标准用户访问令牌包含的用户特定信息与管理员访问令牌包含的信息相同，但是已经删除管理Windows权限和SID。标准用户访问令牌用于启动不执行管理任务的应用程序（标准用户应用程序）。当用户运行执行管理任务的应用程序（管理员应用程序）时，会提示该用户将安全上下文从标准用户更改或“提升”为管理员，称为管理员批准模式。在此模式下，管理员必须对使用管理权限在安全桌面上运行的应用程序进行审批。在配置计算机以及对计算机进行故障排除时，Windows7和WindowsServer2008R2中对UAC的改进会为您带来更好的用户体验。减少的UAC提示数Windows7和WindowsServer2008R2减少了本地管理员和标准用户必须响应的UAC提示数。减少本地管理员必须响应的提示数：已合并文件操作提示。已合并用于运行应用程序安装程序的InternetExplorer提示。已合并用于安装ActiveX(R)控件的InternetExplorer提示。默认UAC设置允许标准用户执行以下任务而不会收到UAC提示：从WindowsUpdate安装更新。安装从WindowsUpdate下载的驱动程序或操作系统附带的驱动程序。查看Windows设置。（但是，当更改Windows设置时，会提示标准用户提供提升的权限。）将Bluetooth设备与计算机配对。重置网络适配器并执行其他网络诊断和修复任务。在控制面板中配置UAC体验WindowsVista(R)为用户提供两个级别的UAC保护：启用或禁用。Windows7和WindowsServer2008R2引入了与InternetExplorer安全区域模型类似的其他提示级别。如果以本地管理员身份登录，则可以启用或禁用UAC提示，或者选择在何种情况下向您发送有关对计算机所做更改的通知。有四种通知级别可供选择：“始终不要通知我”。对Windows设置进行任何更改时，或安装软件时，都不会通知您。“仅在程序尝试对我的计算机进行更改时通知我”。对Windows设置进行更改时不会通知您，但您会在程序尝试对计算机进行更改时收到通知。“始终通知我”。对Windows设置进行更改时以及程序尝试对计算机进行更改时都会通知您。“始终通知我并等待响应”。会针对安全桌面上的所有管理员任务向您发出提示。此选项类似于当前的WindowsVista行为。下表将Windows7和WindowsServer2008R2中的用户操作的UAC提示数与WindowsVistaServicePack1中UAC提示数进行了比较。操作仅在程序尝试对我的计算机进行更改时通知我始终通知我更改个性化设置无提示提示较少管理桌面无提示提示较少设置网络并进行网络疑难解答无提示提示较少使用Windows轻松传送提示较少提示数相同通过InternetExplorer安装ActiveX控件提示较少提示较少连接设备无提示如果驱动程序在WindowsUpdate上，则无提示；如果驱动程序不在WindowsUpdate上，则提示数相似使用WindowsUpdate无提示无提示设置备份无提示提示数相同安装或删除软件无提示提示较少为本地管理员更改UAC消息的行为如果以本地管理员身份登录，则可以为管理员批准模式下的本地管理员更改本地安全策略中UAC提示的行为。“不提示，直接提升”。已标记为管理员应用程序的应用程序以及被检测为安装应用程序的应用程序，都将使用完全管理员访问令牌自动运行。所有其他应用程序都将使用标准用户令牌自动运行。“在安全桌面上提示凭据”。安全桌面上将显示“用户帐户控制”对话框。若要允许应用程序使用完全管理员访问令牌运行，用户必须输入管理凭据。该设置符合一般准则或企业策略。“在安全桌面上同意提示”。安全桌面上将显示“用户帐户控制”对话框。若要允许应用程序使用完全管理员访问令牌运行，用户必须单击“用户帐户控制”对话框上的“是”或“否”。如果用户不是本地Administrators组的成员，则会提示用户提供管理凭据。该设置符合一般准则或企业策略。“提示凭据”。此设置与“在安全桌面上提示凭据”相似，但“用户帐户控制”对话框将显示在桌面上。“同意提示”。此设置与“在安全桌面上同意提示”相似，但“用户帐户控制”对话框将显示在桌面上。“非Windows二进制文件的同意提示”。对于未使用Windows数字证书进行数字签名的所有文件，“用户帐户控制”对话框都将显示在桌面上。为标准用户更改UAC消息的行为如果以本地管理员身份登录，则可以为标准用户更改本地安全策略中UAC提示的行为。“自动拒绝提升请求”。管理员应用程序无法运行。用户会收到一条错误消息，指示某个策略在禁止运行该应用程序。“提示凭据”。这是默认设置。对于使用完全管理员访问令牌运行的应用程序，用户必须在桌面上显示的“用户帐户控制”对话框中输入管理凭据。“在安全桌面上提示凭据”。对于使用完全管理员访问令牌运行的应用程序，用户必须在安全桌面上显示的“用户帐户控制”对话框中输入管理凭据。这些更改对UAC有哪些影响？根据客户的要求，改进的UAC使用户能够在显示较少提示的情况下执行其日常任务，并为管理员提供了更多对UAC提示用户方式的控制权。