Tuesday, July 25th, 2017

Пошаговое руководство по функции контроля учетных записей ОС Windows Vista

Published on Март 13, 2009 by   ·   Комментариев нет

Это пошаговое руководство содержит инструкции, необходимые для использования функции UAC (User Account Control — контроль учетных записей) в тестовой лабораторной среде.

Настоящий документ не предназначен для использования в качестве исчерпывающего, подробного описания функции UAC. Планируется публикация дополнительной документации по функции UAC до выпуска операционных систем Microsoft® Windows Vista™ и Windows Server «Longhorn». К дополнительным источникам относятся:

Что такое функция контроля учетных записей?

Функция UAC (User Account Control — контроль учетных записей) — это новый компонент системы безопасности ОС Windows Vista. Функция UAC позволяет пользователям выполнять стандартные задачи как в качестве пользователей, не являющихся администраторами, которые в ОС Windows Vista называются обычными пользователями, так и в качестве администраторов, при этом нет необходимости переключать пользователей, выходить из системы или использовать функцию «Запуск от имени». Учетная запись обычного пользователя является синонимом учетной записи пользователя в ОС Windows XP. Учетные записи пользователей, являющихся членами локальной группы «Администраторы», позволяют выполнять большинство приложений в качестве обычного пользователя. Разделяя функции пользователя и администратора и позволяя при этом эффективно работать, функция UAC является важным улучшением, внесенным в ОС Windows Vista.

Когда администратор выполняет вход в компьютер под управлением ОС Windows Vista бета-версии 2, пользователю присваивается два независимых маркера доступа. Маркеры доступа, содержащие данные о членстве пользователя в группах, предоставленных ему правах и об управлении доступом, используются ОС Windows® для управления тем, к каким ресурсам и задачам пользователь может осуществлять доступ. До появления ОС Windows Vista учетная запись администратора получала только один маркер доступа, включавший данные, предоставляющие пользователю доступ ко всем ресурсам ОС Windows. Эта модель управления доступом не включала каких-либо надежных проверок, позволяющих убедиться, что пользователь действительно хочет выполнить задачу, требующую наличия маркера административного доступа. В результате вредоносные программы могли устанавливаться на компьютеры пользователей без их уведомления. (Это иногда называют автоматической установкой.)

Причиняя еще больший ущерб, так как пользователь является администратором, вредоносные программы могли использовать данные управления доступом администратора, чтобы заразить основные файлы операционной системы и, в некоторых случаях, чтобы стать практически неподлежащими удалению.

В ОС Windows Vista основное различие между обычным пользователем и администратором заключается в уровне доступа, которым располагает пользователь в отношении основных, защищенных областей компьютера. Администраторы могут изменять состояние системы, выключать брандмауэр, настраивать политику безопасности, установить службы или драйверы, влияющие на каждого пользователя компьютера, а также устанавливать программное обеспечение для всего компьютера. Обычные пользователи не могут выполнять эти задачи, а могут только устанавливать программное обеспечение, предназначенное для одного пользователя.

Чтобы способствовать предотвращению автоматической установки вредоносных программ и заражения всего компьютера корпорация Майкрософт разработала для ОС Windows Vista функцию UAC. В отличие от предыдущих версий ОС Windows, когда администратор входит в компьютер под управлением ОС Windows Vista, предоставляемый этому пользователю полый маркер доступа администратора делится на два маркера доступа: маркер доступа полного администратора и маркер доступа обычного пользователя. Во время выполнения процедуры входа в систему осуществляющие авторизацию и управление доступом компоненты, которые идентифицируют администратора, удаляются, в результате чего пользователь получает маркер доступа обычного пользователя. Затем маркер доступа обычного пользователя используется для запуска рабочего стола — процесса Explorer.exe. Так как все приложения наследуют свои данные управления доступом от исходного запуска рабочего стола, то они все также выполняются с правами обычного пользователя.

После того как администратор входит в систему, маркер доступа полного администратора не вызывается до тех пор, пока пользователь не попытается выполнить административное задание.

В отличие от этого процесса, при входе в систему обычного пользователя создается только маркер доступа обычного пользователя. Затем этот маркер доступа обычного пользователя используется для запуска рабочего стола.

Важно!

Так как уровень взаимодействия с пользователем можно настраивать с помощью оснастки «Диспетчер политики безопасности» (secpol.msc) и групповой политики, существует не единственный уровень взаимодействия функции UAC с пользователем. Выбранные в среде параметры настоек повлияют на запросы и диалоговые окна, которые будут видеть обычные пользователи, администраторы или оба типа пользователей.

Кому следует пользоваться этим руководством?

Это руководство предназначено для следующих категорий читателей:

  • оценивающих продукт планировщиков и аналитиков, работающих в области информационных технологий;
  • лиц, которые раньше других внедряют у себя новые продукты;
  • архитекторов систем безопасности, отвечающих за внедрение надежных компьютерных систем.

Почему следует использовать это руководство?

Перечисленным выше группам лиц следует использовать это руководство для тестирования работы своих бизнес-приложений на компьютерах под управлением ОС Windows Vista. Так как функция UAC делает четкое различие между процессами администратора и процессами обычных пользователей, для некоторых существующих бизнес-приложений может потребоваться, чтобы или независимый поставщик ПО, или внутренняя группа разработки программных средств выполнили их доработку, либо чтобы их пометили как всегда запускаемые с повышенными правами.

В этом руководстве

  • Требования для функции контроля учетных записей
  • Основные варианты использования функции контроля учетных записей
  • Вариант 1: запрос запуска приложения с повышенными правами один раз.
  • Вариант 2: пометка приложения в качестве всегда запускаемого с повышенными правами.
  • Вариант 3: настройка функции контроля учетных записей.
  • Регистрация ошибок, замечания и предложения
  • Дополнительные источники

Требования для функции контроля учетных записей

Мы рекомендуем сначала использовать приведенные в этом руководстве шаги в тестовой среде. Пошаговые руководства не обязательно предназначены для использования с целью развертывания функций ОС Windows Vista без сопроводительной документации (перечисленной в разделе «Дополнительные источники») и должны применяться как отдельный документ с осторожностью.

Настройка тестовой лаборатории

Конфигурация лаборатории, необходимая для тестирования функции UAC, включает контролер домена под управлением ОС Microsoft Windows Server® Longhorn (или Microsoft Windows Server™ 2003), рядовой сервер под управлением ОС Windows Server Longhorn (или Windows Server 2003) и клиентский компьютер под управлением ОС Windows Vista. Контроллер домена, рядовой сервер и клиентский компьютер должны быть в изолированной сети и должны быть соединены через обычный концентратор или коммутатор 2 уровня. Во всей конфигурации тестовой лаборатории должны использоваться частные адреса.

Основные варианты использования функции контроля учетных записей

В настоящем руководстве рассматриваются следующие варианты использования функции UAC:

  • Вариант 1: запрос запуска приложения с повышенными правами один раз.
  • Вариант 2: пометка приложения в качестве всегда запускаемого с повышенными правами.
  • Вариант 3: настройка функции контроля учетных записей.

Примечание.

Эти три включенных в данное руководство варианта предназначены для того, чтобы помочь администраторам ознакомиться с функцией UAC ОС Windows Vista. Они включают основную информацию и процедуры, необходимые администраторам для того, чтобы начать использовать функцию UAC. Информация и процедуры, касающиеся расширенных и индивидуализированных конфигураций функции UAC, в это руководство не включены.

Вариант 1: запрос запуска приложения с повышенными правами один раз.

В ОС Windows Vista функция UAC и ее режим одобрения администратором включены по умолчанию. Когда функция UAC включена, локальные учетные записи администраторов работают как учетные записи обычных пользователей. Это означает, что после входа в систему члены локальной группы «Администраторы» работают с отключенными привилегиями администратора. Это продолжается до тех пор, пока такой пользователь не попытается запустить приложение или задачу, имеющую маркер администратора. Когда член локальной группы «Администраторы» пытается запустить такое приложение или задачу, у него запрашивается согласие на запуск этого приложения с повышенными правами. В варианте 1 подробно описывается процедура однократного запуска приложения или задачи с повышенными правами.

Примечание.

ong>

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера как член локальной группы «Администраторы». Вы не можете войти в систему под учетной записью администратора компьютера (или встроенной учетной записью администратора), потому что режим одобрения администратором не применяется к этой учетной записи. (Встроенная учетная запись администратора в новых установках ОС Windows Vista отключена.)

Чтобы запросить однократное выполнение приложения с повышенными правами

  1. Запустите приложение, которому, вероятно, присвоен маркер администратора, например «Очистка диска» Microsoft Windows. На экране появится запрос функции контроля учетных записей.
  2. Проверьте соответствие представленных сведений инициированному запросу.
  3. В диалоговом окне «Контроль учетных записей» нажмите кнопку «Продолжить», чтобы запустить приложение.

Вариант 2: обозначение приложения в качестве всегда запускаемого с повышенными правами.

Вариант 2 аналогичен предыдущему варианту в том, что предполагается запуск приложения или процесса с повышенными правами при наличии маркера доступа администратора. Однако в этом варианте предполагается запуск приложения, которое не было помечено разработчиком или определено операционной системой как административное приложение. Некоторые приложения, например внутренние бизнес-приложения или приложения, не являющиеся продуктами корпорации Майкрософт, могут требовать административных прав, но не быть определенными в качестве таковых. В этом случае нужно пометить приложение как требующее запроса согласия пользователя и, в случае его получения, запускаемое как административное. В следующей процедуре пошагово описывается этот процесс.

Примечание.

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера как член локальной группы «Администраторы». Вы не можете войти в систему под учетной записью администратора компьютера (или встроенной учетной записью администратора), потому что режим одобрения администратором не применяется к этой учетной записи.

Важно!

Эта процедура не может использоваться для исключения запроса согласия на запуск административного приложения со стороны функции контроля учетных записей.

Чтобы пометить приложение как всегда запускаемое с повышенными правами

  1. Щелкните правой кнопкой мыши приложение, которому, вероятно, не присвоен маркер администратора, например, приложение для редактирования текста.
  2. Нажмите Свойства, и затем выберите вкладку Совместимость.
  3. В разделе Уровень привилегий выберите настройку Запускать эту программу в качестве администратора и затем нажмите ОК.

    Примечание.

    Если настройка Запускать эту программу в качестве администратора недоступна, это означает, что данное приложение заблокировано от того, чтобы всегда запускаться с повышенными правами, данное приложение не требует наличия административных учетных данных для запуска, данное приложение является частью текущей версии ОС Windows Vista или что вы не вошли в систему этого компьютера в качестве администратора.

Вариант 3: настройка функции контроля учетных записей.

В варианте 3 описываются три распространенные задачи, которые выполняются локальными администраторами во время настройки и конфигурирования клиентских компьютеров под управлением ОС Windows Vista. В следующих процедурах пошагово разбираются задачи отключения режима одобрения администратором, отключения запроса функцией UAC учетных данных для установки приложений и изменение поведения при запросе повышения прав.

Отключение режима одобрения администратором

Для отключения режима одобрения администратором воспользуйтесь следующей процедурой.

Примечание.

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера в качестве локального администратора.

Чтобы отключить режим одобрения администратором

  1. Нажмите Пуск, нажмите Все программы, нажмите Стандартные, нажмите Выполнить…, введите secpol.msc в текстовое поле Открыть и затем нажмите ОК.
  2. Если в данный момент функция UAC активна, то на экране появится диалоговое окно Контроль учетных записей. Если это так, проверьте соответствие приведенных данных инициированному запросу и нажмите Продолжить.
  3. В дереве консоли «Локальные параметры безопасности» нажмите Локальные политики и затем нажмите Параметры безопасности.
  4. Прокрутите список вниз и двойным щелчком кнопки мыши выберите настройку Контроль учетных записей: запускать всех администраторов в режиме одобрения администратором.
  5. В диалоговом окне Свойства параметра «Контроль учетных записей: запускать всех администраторов в режиме одобрения администратором» нажмите Отключено и затем нажмите ОК.
  6. Закройте окно Локальные параметры безопасности.

Отключение запроса учетных данных функцией контроля учетных записей для установки приложений

Используйте следующую процедуру для отключения запроса функцией UAC учетных данных для установки приложений.

Примечание.

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера в качестве локального администратора.

Для отключение запроса функцией UAC учетных данных для установки приложений

  1. Нажмите Пуск, нажмите Все программы, нажмите Стандартные, нажмите Выполнить…, введите secpol.msc в текстовое поле Открыть и затем нажмите ОК.
  2. В дереве консоли «Локальные параметры безопасности» нажмите Локальные политики и затем нажмите Параметры безопасности.
  3. Прокрутите список вниз и двойным щелчком кнопки мыши выберите настройку Контроль учетных записей: обнаружение установки приложений и запрос повышения прав.
  4. В диалоговом окне Свойства параметра «Контроль учетных записей: обнаружение установки приложений и запрос повышения прав» нажмите Отключено и затем нажмите ОК.
  5. Закройте окно Локальные параметры безопасности.

Изменение поведения запроса повышения прав

Для изменения поведения запроса повышения прав функции UAC воспользуйтесь следующей процедурой.

Примечание.

Для выполнения приведенной ниже процедуры вы должны войти в систему клиентского компьютера в качестве локального администратора.

Чтобы изменить поведение запроса повышения прав

  1. Нажмите Пуск, нажмите Стандартные, нажмите Выполнить…, введите secpol.msc в текстовое поле Открыть и затем нажмите ОК.
  2. В дереве консоли «Локальные параметры безопасности» нажмите Локальные политики и затем нажмите Параметры безопасности.
  3. Прокрутите список вниз и двойным щелчком кнопки мыши выберите настройку Контроль учетных записей: поведение запроса повышения прав для администраторов или Контроль учетных записей: поведение запроса повышения прав для обычных пользователей.
  4. В выпадающем меню выберите одну из следующих настроек:
    • Не запрашивать
    • Запрашивать учетные данные (эта настройка требует ввода имени и пароля, прежде чем приложение или задача будет запущена с повышенными правами и является настройкой по умолчанию для обычных пользователей)
    • Запрашивать согласие (эта настройка является настройкой по умолчанию только для администраторов)
  5. Нажмите ОК.
  6. Закройте окно Локальные параметры безопасности.

Регистрация ошибок, замечания и предложения

Так как функция UAC является новой функцией Windows Vista, мы очень заинтересованы в ваших замечаниях и предложениях, основанных на вашем опыте пользования функцией UAC, связанных с проблемами, с которыми вы столкнулись, и касающихся полезности документации.

При регистрации ошибок следуйте приведенным на веб-узле Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779) инструкциям. Мы также заинтересованы в ваших запросах и отзывах общего характера, касающихся функции UAC.

Отзывы общего характера и запросы, касающиеся функции UAC, можно направлять по адресу uacdoc@microsoft.com.

Дополнительные источники

Дополнительные сведения о функции UAC можно получить из следующих источников:

  • Если вам необходима поддержка продукта, см. веб-узел Microsoft Connect (http://go.microsoft.com/fwlink/?LinkId=49779).
  • Для получения доступа к посвященным функции UAC группам новостей следуйте инструкциям, приведенным на веб-узле Microsoft Connect по адресу http://go.microsoft.com/fwlink/?LinkId=50067.

Дополнительную информацию для ИТ-специалистов можно получить на веб-узле TechNet:

Дополнительную информацию для независимых поставщиков программных продуктов и разработчиков можно получить на веб-узле библиотеки MSDN:

Поддержка программы внедрения технологий

Бета-тестеры и участники программы бета-тестирования в рамках программы TAP (Technology Adoption Program — программа внедрения технологий) также могут обращаться за помощью к назначенным им членам группы разработчиков корпорации Майкрософт.

Иcточник: Microsoft TechNet

zp8497586rq


Смотрите также:

Tags:

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]