Setările politicii de grup pentru controlul contului de utilizator în Windows 7

Setări pentru setările politicii de grup pentru controlul contului de utilizator:

Setarea politicii de grup

Valoare implicită

Control cont utilizator: Activarea modului de aprobare a administratorului

Controlul contului de utilizator: Detectarea instalării aplicației și solicitarea ridicării drepturilor

Controlul contului de utilizator: Trecerea la un desktop securizat atunci când executați o solicitare de ridicare a drepturilor

Controlul contului de utilizator: comportamentul promptului de elevare pentru administratori în modul de aprobare a administratorului

Solicitați consimțământul pentru date binare non-Windows

Controlul contului de utilizator: comportamentul cererii de altitudine pentru utilizatorii obișnuiți

Solicitare de acreditare

Control cont utilizator: Creșteți drepturile numai pentru aplicațiile UIAccess instalate într-o locație sigură

Controlul contului de utilizator: creșterea drepturilor numai pentru fișierele executabile semnate și verificate

Controlul contului de utilizator: atunci când o scriere într-un fișier sau registru eșuează, virtualizarea în locația utilizatorului

Controlul contului de utilizator: Permiteți aplicațiilor UIAccess să ceară elevație fără a utiliza un desktop securizat

Controlul contului de utilizator: Utilizarea modului de aprobare a administratorului pentru contul Administrator încorporat

Setările politicii de grup care sunt relevante pentru controlul contului de utilizator (UAC) sunt discutate în detaliu mai jos:

Toți administratorii lucrează în modul de aprobare a administratorului

Această setare de politică determină caracteristicile tuturor politicilor UAC pentru computer. Această opțiune determină dacă conturile de administrator vor fi pornite în "modul de aprobare a administratorului", adică dacă sunt afișate ferestrele de dialog cu o cerere de elevație a autorității. Dezactivarea acestei setări, în general, dezactivează complet funcția de control al contului de utilizator. Dacă modificați această setare de politică, trebuie să reporniți computerul. Valoarea implicită este activată.

Valorile posibile pentru parametru sunt:

  • Activat. Modul de aprobare a administratorului este activat pentru a activa contul de administrator încorporat și toți ceilalți utilizatori care fac parte din grupul Administratori. lucrați în modul de aprobare de către administrator.
  • Pentru persoane cu handicap. Modul de aprobare a administratorului și toate setările UAC relevante vor fi dezactivate.

Setările de registry actuale care utilizează registrul:

Detectați instalarea aplicației și cererea de ridicare a drepturilor

Această setare determină caracteristicile detectării instalării aplicației pentru computer, verificând dacă programele folosite pentru implementarea aplicațiilor sunt semnate sau nu. În mod implicit, dacă utilizatorul este membru al unui grup de lucru, acesta este activat.

Valorile posibile pentru parametru sunt:

  • Activat (implicit pentru acasă). În cazul în care programul de instalare a aplicației detectează necesitatea majorării permisiunilor, utilizatorul este rugat să introducă numele de utilizator și parola contului de administrator. Dacă utilizatorul introduce acreditările corecte, operația continuă cu drepturile corespunzătoare. Tipul cererii depinde de grupul de care aparține utilizatorul.
  • Dezactivat (implicit pentru organizație). Dacă selectați această opțiune, programul de instalare a aplicației nu solicită ridicarea privilegiilor. În mod obișnuit, această setare se aplică organizațiilor ale căror computere și utilizatori fac parte din domeniu, iar pentru instalarea aplicațiilor se folosește Install Software Software Policy (GPSI). În consecință, necesitatea de a detecta instalatorul este eliminată.

Setările de registry actuale care utilizează registrul:

Treceți la un desktop securizat atunci când executați o solicitare de ridicare a drepturilor

Această setare de politică determină dacă cererile de elevație vor fi afișate pe desktopul interactiv al utilizatorului sau pe desktopul securizat atunci când cererea UAC este inițiată. Valoarea implicită este activată. Dacă modificați această setare de politică, trebuie să reporniți computerul.

Valorile posibile sunt:

  • Activat. Toate solicitările de ridicare a drepturilor sunt afișate pe desktopul securizat, indiferent de setările de politică pentru comportamentul de invitație pentru administratori și utilizatori obișnuiți.
  • Pentru persoane cu handicap. Toate solicitările de ridicare a drepturilor sunt afișate pe desktopul interactiv al utilizatorului.

Setările de registry actuale care utilizează registrul:

Comportamentul promptului de elevare pentru administratori în modul de aprobare a administratorului

Setările politicii de grup pentru controlul contului de utilizator în Windows 7
Setarea curentă vă permite să definiți acțiunile unui utilizator care este membru al grupului Administrators atunci când efectuați o operațiune care necesită ridicarea drepturilor. Valoarea implicită este "Solicitați consimțământul pentru fișiere binare terță parte (nu Windows)".

Valorile posibile pentru parametru sunt:

Setările de registry actuale care utilizează registrul:

Comportamentul cererii de drepturi sporite pentru utilizatorii obișnuiți

Această setare de politică determină acțiunile care trebuie efectuate atunci când un utilizator normal interacționează cu aplicațiile care necesită ridicarea drepturilor. Valoarea implicită este "Solicitarea acreditărilor pe desktopul sigur".

Valorile posibile pentru parametru sunt:

  • Cereri de acreditare. Folosind această opțiune, un utilizator obișnuit este rugat să selecteze un cont de administrator și să introducă o parolă pentru acțiunile ulterioare. Operația va continua numai dacă datele de identificare sunt introduse corect.
  • Deschide automat cererile de elevație. Dacă această opțiune este selectată, va fi afișat un mesaj de eroare pentru utilizatorul mediu din cauza refuzului de acces în cazul unei operații care necesită ridicarea autorității. Organizațiile ale căror computere desktop sunt folosite de utilizatorii obișnuiți pot alege această setare de politică pentru a reduce numărul de apeluri către biroul de asistență.
  • Solicitați acreditări pe desktopul securizat. Selectând această opțiune, utilizatorul normal este solicitat să selecteze un cont de administrator și să introducă o parolă pentru acțiunile ulterioare numai pe desktopul sigur. Operația va continua numai dacă datele de identificare sunt introduse corect.

Setările de registry actuale care utilizează registrul:

Creșteți permisiunile pentru aplicațiile UIAccess numai când instalați în locații sigure

Setarea politicii actuale vă permite să gestionați permisiunea de locație a aplicațiilor care solicită executarea la nivelul de integritate definit de atributul User Interface of Access (UIAccess) într-un loc sigur în sistemul de fișiere. Implicit, această setare este, de asemenea, activă pentru aplicații cu caracteristici speciale, pentru că atributul UIAccess din manifeste este setat la True pentru a controla fereastra de solicitare a accesoriilor. Dacă aplicația are o valoare falsă, adică dacă atributul este omis sau nu există niciun manifest pentru construire, aplicația nu va putea accesa interfața utilizator protejată. Doar următoarele foldere sunt considerate sigure:

... # 92; Program Files # 92 ;, inclusiv subdosarele

... # 92; Fișiere program (x86) # 92; inclusiv subdosare pentru versiunile pe 64 de biți ale Windows

Valorile posibile pentru parametru sunt:

  • Activat. Aplicația va rula cu nivelul integrității UIAccess numai dacă se află într-un dosar sigur al sistemului de fișiere.
  • Pentru persoane cu handicap. Aplicația va începe cu nivelul de integritate al UIAccess, chiar dacă nu se află în dosarul sigur al sistemului de fișiere.

Setările de registry actuale care utilizează registrul:

Crearea de drepturi numai pentru fișiere executabile semnate și verificate

Valorile posibile pentru parametru sunt:

  • Activat. Calea certificatului PKI este inițiată forțat înainte de executarea fișierului dat. Practic, această setare este utilizată în organizațiile cu un domeniu, în cazul în care administratorul a plasat certificate PKI în magazinul de editori de încredere.
  • Pentru persoane cu handicap. Dacă setați această opțiune, controlul contului de utilizator nu inițiază verificarea lanțului de verificare a certificatelor PKI înainte de a permite executarea acestui fișier executabil.

Setările de registry actuale care utilizează registrul:

Dacă scrierea în fișier sau registrul nu reușește, virtualizarea în locația utilizatorului

Această opțiune controlează redirecționarea defecțiunilor aplicațiilor la anumite locații din registry și din sistemul de fișiere. În cazul în care această setare este activată, pentru aplicațiile vechi care încearcă să citească sau să scrie informații utilizând zone protejate ale sistemului, controlul contului virtualizează registrul și sistemul de fișiere. Cu această setare, UAC poate reduce riscul aplicațiilor vechi care rulează ca administrator și în timpul rulării scriu date în folderul% ProgramFiles%,% Windir%; % Windir% # 92; System32 sau la secțiunea de registru de sistem a HKLM # 92; Software # 92; Valoarea implicită este activată.

Valorile posibile pentru parametru sunt:

  • Activat. Erorile de aplicație sunt redirecționate în timpul rulării la locațiile definite de utilizator în sistemul de fișiere și în registru.
  • Pentru persoane cu handicap. Rularea aplicațiilor care scriu date în locații securizate se termină printr-o eroare și nu va fi executată.

Setările de registry actuale care utilizează registrul:

Permiteți aplicațiilor UIAccess să ceară elevație fără a utiliza un desktop securizat

Valorile posibile pentru parametru sunt:

  • Activat. Dacă selectați această opțiune, programul UIAccess, inclusiv asistența de la distanță Windows, dezactivează automat spațiul de lucru securizat pentru solicitările de altitudine. Dacă este activată setarea de politică "Control cont utilizator: comutați la un desktop securizat atunci când setarea de politică de ridicare", propunerea apare pe desktop-ul interactiv al utilizatorului, nu pe desktop-ul sigur.
  • Pentru persoane cu handicap. Când selectați această opțiune, un desktop securizat poate fi dezactivat numai de către desktop interactiv de utilizator sau prin dezactivarea setării de politică „Control cont utilizator:. Comutați la spațiul de lucru securizat, atunci când a determinat pentru elevație“

Setările de registry actuale care utilizează registrul:

Mod de aprobare de administrator pentru contul de administrator încorporat

Valorile posibile pentru parametru sunt:

Setările de registry actuale care utilizează registrul:

concluzie

Acest articol descrie toate setările posibile pentru controlul conturilor de utilizator. Considerăm toți cei zece parametri ai politicii de securitate, care sunt responsabili pentru toate acțiunile posibile legate de UAC. În plus față de configurarea UAC prin utilizarea politicii de grup, sunt luate în considerare ajustările echivalente ale registrului.


Iluminați vă rugăm, decât diferă un desktop sigur de la interactiv, cu excepția atributelor vizuale (blackout). Dacă au o singură sarcină - confirmarea consimțământului sau a acreditărilor, de ce au fost împărțite? Care sunt avantajele și dezavantajele și când este mai bine să folosiți unul și când este celălalt. Dacă este posibil, în exemple.
Mulțumită în avans.


administratori, corectați configurația primului ecran din articol. afirmă că "controlul contului de utilizator: trecerea la un desktop securizat atunci când se execută o solicitare de drepturi este dezactivată"
trebuie să fie activată!


@sed_ats, captura de ecran nu este un ghid pentru acțiune, este doar o ilustrare

Articole similare