bga68comp: (Default)
bga68comp ([personal profile] bga68comp) wrote2022-01-26 04:49 pm
  • Add Memory
  • Share This Entry
Entry tags:

Управление учетной записью пользователя и удаленных ограничений - Windows Server | Microsoft Docs

Источник:
https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/windows-security/user-account-control-and-remote-restriction

Описание управления учетной записью пользователя и удаленных ограничений в Windows Vista

  • Статья

Введение

Управление учетной записью пользователя (UAC) — это новый компонент безопасности Windows Vista. UAC позволяет пользователям выполнять обычные задачи в качестве не администраторов. Эти пользователи называются стандартными пользователями в Windows Vista. Учетные записи пользователей, которые являются членами локальной группы администраторов, будут запускать большинство приложений с помощью принципа наименьших привилегий. В этом сценарии пользователи с наименее привилегированным доступом имеют права, похожие на права стандартной учетной записи пользователя. Однако, если члену локальной группы администраторов необходимо выполнить задачу, требуемую правами администратора, Windows Vista автоматически подскакиет пользователю для утверждения.
 

Работа удаленных ограничений UAC

Чтобы лучше защитить пользователей, которые являются членами локальной группы администраторов, мы реализуем ограничения UAC в сети. Этот механизм помогает предотвратить атаки loopback . Этот механизм также помогает предотвратить удаленное управление локальным вредоносным программным обеспечением с административными правами.
 

Учетные записи локальных пользователей (учетная запись диспетчера безопасности)

*\\remotecomputer\Share$ 

Если пользователь, который входит в группу локальных администраторов на целевом удаленном компьютере, устанавливает удаленное административное подключение с помощью команды сетевого использования, например, он не будет подключаться в качестве полного администратора. У пользователя нет возможности возвышения на удаленном компьютере, и он не может выполнять административные задачи. Если пользователь хочет управлять рабочей станции с учетной записью Диспетчер учетной записи безопасности (SAM), пользователь должен интерактивно войти на компьютер, который будет управляться с помощью удаленной помощи или удаленного рабочего стола, если эти службы доступны.
 

Учетные записи пользователей домена (учетная запись пользователя Active Directory)

Пользователь, у которого есть учетная запись пользователя домена, удаленно входит в Windows Vista. Пользователь домена входит в группу Администраторы. В этом случае пользователь домена будет работать с полным маркером доступа администратора на удаленном компьютере, и UAC не будет действовать.
 

 Примечание

Это поведение не отличается от поведения в Windows XP. 

Отключение удаленных ограничений UAC

 Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.


Чтобы отключить удаленные ограничения UAC, выполните следующие действия:

  1. Нажмите кнопку Начните, нажмите кнопку Выполнить, введите regedit и нажмите кнопку ENTER.

  2. Найдите и откройте следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. Если записи LocalAccountTokenFilterPolicy реестра не существует, выполните следующие действия:

    1. В меню Изменить указать значение New, а затем выбрать значение DWORD.
    2. Введите LocalAccountTokenFilterPolicy и нажмите кнопку ENTER.

  4. Щелкните правой кнопкой мыши LocalAccountTokenFilterPolicy и выберите Изменение.

  5. В поле Значение данных введите 1 и выберите ОК.

  6. Закройте редактор реестра. 

Удаленные параметры UAC

Запись реестра LocalAccountTokenFilterPolicy может иметь значение 0 или 1. Эти значения изменяют поведение записи реестра на описанное в следующей таблице.

ЗначениеОписание
0Это значение создает фильтрованный маркер. Это значение по умолчанию. Учетные данные администратора удаляются.
1Это значение создает повышенный маркер.

 

Рекомендуемое содержимое