Контроль учетных записей windows 2008

Функция контроля учетных записей UAC в Windows Vista вызвала немало споров. Поэтому неудивительно, что в Windows 7 внесены улучшения, не только изменившие работу функции контроля учетных записей, но и позволяющие более гибко настроить UAC. В Windows 7 и Windows Server 2008 R2 контроль учетных записей усовершенствован за счет того, что:

• уменьшено количество запросов в различных ситуациях;
• увеличено число операций, которые обычный пользователь может выполнять без повышения прав;
• добавлены новые параметры UAC;
• введены новые политики безопасности, позволяющие настроить UAC для локальных администраторов и обычных пользователей.

Microsoft уделяет большое внимание тому, чтобы разъяснить назначение контроля учетных записей в своих новейших операционных системах, поэтому логично начать именно с этого вопроса.

Назначение контроля учетных записей

Когда контроль учетных записей был впервые представлен в Windows Vista, его позиционировали как средство повышения безопасности операционной системы, хотя прямое назначение UAC состоит не в этом. Впоследствии независимые эксперты неоднократно демонстрировали возможности обхода UAC. Когда в Microsoft пришел Марк Русинович, на него, похоже, была возложена задача реабилитации UAC, и он начал методично объяснять истинное назначение контроля учетных записей. Он ввел понятие «граница защищенной зоны» (security boundary) и всеми доступными средствами (Technet, конференции, блог) разъяснял, что UAC такой границей не является. Например, именно этой теме был посвящен один из его докладов на конференции «Платформа 2008» (http://technet.microsoft.com/ru-ru/magazine/cc138019.aspx) в Москве.

На самом деле контроль учетных записей был создан для того, чтобы в системе можно было полноценно работать без прав администратора. Эту масштабную задачу необходимо было решать потому, что в Windows 2000/XP работа с административной учетной записью стала обычной практикой. В этом случае проникновение вредоносного кода в систему ведет к плачевным последствиям. Ситуация осложнялась тем, что многие разработчики программ совершенно не заботились об ограниченных учетных записях, всецело полагаясь на то, что установка их продуктов и работа с ними будут вестись с правами администратора. Получался замкнутый круг. Создатели UAC изменили модель контроля доступа, в результате чего была не только изменена работа учетных записей, но и реализована виртуализация файловой системы и реестра.

Для пользователей же контроль учетных записей фактически свелся к столь нелюбимым запросам UAC. Основное их назначение в том, чтобы уведомить пользователя, работающего с правами администратора, о попытках приложения внести в систему изменения, требующие полного административного доступа. Обычному пользователю, не имеющему прав на совершение действия, тут же предлагается ввести учетные данные администратора. Понятно, что разработчики должны планировать приложения таким образом, чтобы для работы с программой не требовалось административных прав. А если все программное обеспечение в системе может работать в контексте обычного пользователя, то уже нет необходимости в рутинной работе с полными правами администратора. Настройку системы можно производить от имени администратора или под его учетной записью, но это не каждодневная задача. И даже если вы работаете с правами администратора, UAC контролирует выполнение задач, требующих полных административных полномочий; он уведомляет пользователя в тех случаях, когда требуется подтверждение прав.

Таким образом, контроль учетных записей призван не предотвратить проникновение вредоносного кода (для этого существует брандмауэр и антивирусное/антишпионское программное обеспечение), а снизить наносимый им ущерб — ограничить его влияние правами обычного пользователя. Строго говоря, повышается не безопасность операционной системы, а ее устойчивость к несанкционированному доступу.

Кстати, значок щита в этом разделе статьи не случаен — именно его вы видите на кнопках, рядом со ссылками и в пунктах меню операционной системы, когда требуется повышение прав. Другими словами, если контроль учетных записей включен, обращение к элементу интерфейса, обозначенному щитом, сопровождается запросом UAC. Цветовая гамма щита изменилась по сравнению с Windows Vista, но это далеко не единственное изменение в интерфейсе.

Изменения в пользовательском интерфейсе

Доступ к параметрам функции контроля учетных записей упростился — их можно открыть из элементов панели управления «Центр поддержки» и «Учетные записи пользователей», а также из командной строки, запустив UserAccountControlSettings.exe (см. экран 1).

В настройках UAC вместо двух возможностей управления (включен/выключен) появилось четыре режима работы.

• «Уведомлять при установке программ или попытке внесения ими изменений, а также при изменении параметров Windows пользователем». Это максимальный уровень контроля учетных записей.
• «Уведомлять при установке программ или попытке внесения ими изменений». Этот уровень используется по умолчанию.
• «Уведомлять при попытке установки программ или попытке внесения ими изменений, но не затемнять рабочий стол». Затемнение рабочего стола (так называемый безопасный рабочий стол, Secure Desktop) — это своего рода подтверждение подлинности окна UAC, позволяющее визуально отличить поддельные запросы UAC от настоящих.
• «Не уведомлять ни при установке программ или попытке внесения ими изменений, ни при изменении параметров Windows пользователем». Контроль учетных записей отключен.

Помимо окна настроек, преобразились и диалоговые окна управления функцией контроля учетных записей. Изменения нацелены на то, чтобы пользователям была понятна суть запроса (см. экран 2).

Теперь в основном используются только два цвета:

• синий — для компонентов, имеющих цифровую подпись;
• желтый — для компонентов, не имеющих цифровой подписи.

Красный цвет используется только в тех редких случаях, когда программа или компонент заблокированы администратором. Кроме того, в запросах жирным шрифтом выделяется издатель программы. Для пользователей, озадаченных появлением запроса, в диалоговом окне предусмотрена ссылка «Помощь в принятии решения».

Изменения в работе

Безусловно, в Windows 7 и Windows Server 2008 R2 работа целенаправленно велась с акцентом на уменьшение количества запросов UAC — именно этот аспект вызвал наибольшее недовольство пользователей Windows Vista среди всех претензий к операционной системе.

Уменьшено количество запросов

Используемый по умолчанию уровень контроля — это новая возможность Windows 7 и Windows Server 2008 R2. Такой уровень невозможно было настроить в Windows Vista с помощью пользовательского интерфейса, политики безопасности или реестра. Работа операционной системы была изменена для того, чтобы, не снижая уровень безопасности, реализовать автоматическое повышение прав для выполнения распространенных административных задач, вызывавших около половины запросов UAC. Это имело смысл сделать потому, что по статистике 9 из 10 таких запросов пользователи все равно одобряли.

Что же касается уровня, позволяющего отключить безопасный рабочий стол, то его появление в пользовательском интерфейсе обусловлено желанием продемонстрировать максимальную совместимость UAC с аппаратным обеспечением. В некоторых случаях затемнение рабочего стола приводило к задержкам в работе операционной системы, чему мог быть причиной, например, драйвер видеокарты. В Windows Vista имелась политика, позволяющая отключить безопасный рабочий стол, однако большинство пользователей о ее существовании даже не подозревали.

Если сравнивать количество запросов UAC в Windows 7 и Windows Vista, то даже при максимальном уровне контроля учетных записей количество запросов в новой версии уменьшилось. A уровень контроля, используемый теперь по умолчанию, еще больше должен способствовать достижению столь необходимого баланса между безопасностью и навязчивой заботой операционной системы. В таблице 1 сравнивается количество запросов двух верхних уровней контроля учетных записей в новых операционных системах и Windows Vista SP1.

Изменена работа компонентов

Многие компоненты новых операционных систем были переработаны, чтобы уменьшить количество запросов UAC и сделать работу пользователей более комфортной. Положительные изменения произошли в работе как обычных пользователей, так и локальных администраторов (см. таблицу 2).

Административные учетные записи

Изменения, затронувшие встроенную учетную запись «Администратор», касаются в основном работы в безопасном режиме. Однако, прежде чем перейти к ним, я бы хотел рассказать о различиях между встроенной и другими административными учетными записями.

Согласно одному из распространенных заблуждений о контроле учетных записей, встроенная учетная запись «Администратор» имеет больше прав, чем обычная. Это не так. На самом деле отличие лишь в том, что права встроенной учетной записи автоматически повышаются до максимальных при выполнении всех задач, поэтому запрос UAC для нее не выводится (см. экран 3).

Все остальные административные учетные записи работают в режиме одобрения администратором (Admin Approval Mode): контроль учетных записей запрашивает подтверждение действий, если требуется повышение прав. А если не требуется, задачи выполняются с правами обычного пользователя.

Незнание этой тонкости нередко сбивает пользователей с толку. Например, запуск командной строки администратором выполняется с правами обычного пользователя, поскольку само по себе это действие не подразумевает внесения важных изменений в систему. Для того чтобы выполнить задачу с полными правами, необходимо запустить ее от имени администратора — соответствующий пункт имеется в контекстном меню проводника. В этом случае выводится запрос UAC (см. экран 4).

Поскольку запуск осуществлен администратором, учетные данные вводить не требуется — нужно лишь подтвердить действие. Кроме того, наряду с предложением помощи в принятии решения, для администраторов в диалоговом окне имеется ссылка «Изменить при появлении этого уведомления», открывающая параметры контроля учетных записей. Продолжая пример с командной строкой, легко определить, с какими правами она была запущена (см. экран 5).

Можно настроить политику безопасности таким образом, чтобы у административных учетных записей происходило повышение прав без запроса UAC — достаточно будет лишь запустить задачу от имени администратора. Поэтому нет никакой необходимости в повседневной работе со встроенной учетной записью «Администратор».

В отличие от Windows Server 2008 R2, встроенная административная учетная запись в Windows 7 отключена. Если это единственная активная учетная запись в группе «Администраторы» при обновлении Windows XP до Windows 7, она переводится в режим одобрения.

Изменения, касающиеся работы отключенной учетной записи «Администратор» в безопасном режиме, отражены в таблице 3.

Настройка UAC с помощью политик безопасности

Имея права локального администратора, вы можете управлять параметрами контроля учетных записей с помощью локальной политики безопасности. Политики UAC можно задать как в оснастке «Локальная политика безопасности» (secpol.msc) в узле «Локальные политики», «Параметры безопасности», так и в разделе системного реестра HKLMSOFTWARE
MicrosoftWindowsCurrentVersion PoliciesSystem (см. экран 6).

Основная политика, определяющая состояние контроля учетных записей и всех остальных его политик, не изменилась, что отражено в таблице 4.

Изменения же коснулись двух политик, определяющих поведение запросов контроля учетных записей для локальных администраторов и обычных пользователей. Наряду с имевшимися ранее вариантами, теперь вы можете указать, будет ли использоваться безопасный рабочий стол, если для продолжения работы UAC требует подтвердить действие или ввести учетные данные (см. таблицы 5 и 6).

Помимо перечисленных выше политик безопасности, имеются и другие, позволяющие более гибко настроить работу контроля учетных записей. С их назначением можно ознакомиться в свойствах политики на вкладке «Объяснение», а соответствующие им параметры реестра документированы в MSDN.

Новое лицо UAC

Контроль учетных записей в Windows 7 и Windows Server 2008 R2 подвергся существенной переработке. В первую очередь, снизилось количество запросов UAC, излишняя навязчивость которых вызывала справедливую критику пользователей Windows Vista. Улучшить работу UAC удалось за счет изменений в работе новых операционных систем наряду с введением нового уровня контроля учетных записей. Этот уровень, используемый по умолчанию, осуществляет автоматическое повышение прав при выполнении наиболее распространенных административных действий. Оформление запросов контроля учетных записей также изменилось — тона смягчились, а информация подается более четко. Эти нововведения должны способствовать более благосклонному восприятию UAC конечными пользователями.

Доступ к параметрам контроля учетных записей упростился за счет размещения ссылок на него в различных элементах панели управления. Все доступные параметры UAC можно также настроить с помощью локальных политик безопасности или соответствующих им параметров системного реестра. Кроме того, политики безопасности предоставляют в распоряжение системных администраторов возможности более тонкой настройки поведения запросов UAC для административных и обычных учетных записей.

Вадим Стеркин (vadim.sterkin@gmail.com) — занимается развитием компьютерного информационного портала OSZone.net. Имеет звание Microsoft MVP в категории Windows Desktop Experience

Таблица 1. Количество запросов в Windows 7 и Windows Server 2008 R2 по сравнению с Windows Vista SP1

Таблица 2. Запросы UAC для обычного пользователя и администратора

Таблица 3. Работа в безопасном режиме при отключенной учетной записи «Администратор»

Таблица 4. Политика «Контроль учетных записей: все администраторы работают в режиме одобрения администратором»

Таблица 5. Политика «Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором»

Таблица 6. Значения политики «Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей»

Экран 6. Политики безопасности контроля учетных записей

Механизм контроля учетных записей (User Account Control, UAC), встроенный в Windows Server 2008, Windows Server 2008 R2, Windows 7 и Windows Vista, выводит интерактивные уведомления об административных запросах различных программ. Действие этого механизма распространяется и на серверные приложения. На то, что контроль учетных записей действует для той или иной программы, указывает значок в виде щита на ярлыке приложения (рис. A).

Картинка с сайта: www.winblog.ru

Рисунок A.

Контроль учетных записей — функция полезная, но не актуальная на серверных платформах общего назначения. Отключить ее для учетной записи компьютера можно с помощью объекта групповой политики, состоящего из трех параметров. Необходимые настройки расположены в разделе «Конфигурация компьютера | Политики | Конфигурация Windows | Параметры безопасности | Локальные политики | Параметры безопасности» (Computer Configuration | Policies | Windows Settings | Security Settings | Local Policies | Security Options):

• «Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором» (User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode);
• «Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав» (User Account Control: Detect application installations and prompt for elevation);
• «Контроль учетных записей: режиме одобрения администратором для встроенной учетной записи администратора» (User Account Control: Turn on Admin Approval Mode).

Чтобы отключить контроль учетных записей, для этих трех параметров нужно выставить значения «Повышение без запроса» (Elevate Without Prompting), «Отключен» (Disabled) и «Включен» (Enabled), соответственно. Образец подобного объекта групповой политики показан на рис. B.

Картинка с сайта: www.winblog.ru

Рисунок B. Нажмите на изображении для увеличения.

В этом примере объекту групповой политики присвоено имя «Filter-GPO-ServerOS» для фильтрации учетных записей компьютеров по группе безопасности. Подробнее о том, как применить объект групповой политики только к членам определенной группы безопасности, рассказывается в статье «Фильтрация объектов групповой политики по группам безопасности».

Стоит создать такие объекты групповой политики для группы безопасности, включающей учетные записи компьютеров, а также для отдельных учетных записей некоторых рабочих станций. Настройки вступают в силу после перезагрузки. Ярлыки приложений по-прежнему будут отмечены значком в виде щита, но уведомления контроля учетных записей выводиться не будут.

Некоторые администраторы любят контроль учетных записей, в то время как другие предпочитают его отключать. А вы? Поделитесь своим мнением в комментариях!

Автор: Rick Vanover
Перевод

SVET

Оцените статью: Голосов

Страница 3 из 8

Это обеспечение безопасности обладало первостепенной важностью при разработке Windows Server 2008 и Windows Vista, и не удивляйтесь, что некоторые новые настройки группового курса действий специально зависят от того, как реализуются эти различные новые устройства безопасности. Я хочу начать эту статью с рассказа об установках группового курса действий, которые относятся к новому устройству безопасности, называемому User Account Protection (Защита Аккаунта Пользователя) (на который также ссылаются в некоторых документах Микрософт как на User Account Control (Контроль Аккаунта Пользователя) или UAC).

В случае если вы не знакомы с User Account Protection, то это устройство безопасности, разработанное для защиты Windows от пользователей с чрезмерными полномочиями. В операционной среде Windows XP обычно было необходимо для пользователей иметь локальные административные полномочия для того, чтобы они могли делать свою работу. Когда разрабатывалась Vista, то Микрософта долго рассматривал те возможности, в которых на самом деле нуждались пользователи, и поместил все эти возможности в стандартный пользовательский аккаунт, поэтому пользователи не получили локальные административные полномочия. Например, в те задания, которые Windows Vista разрешает выполнять путешествующему пользователю без наличия у него административных полномочий, входят установка драйвера принтера, ввод WEP ключа, настройка VPN соединения и установка обновлений прикладной программы.

Суть User Account Protection не заключается в простой передаче пользователю дополнительных полномочий. Устройство также разработано для защиты администраторов от самих себя. Даже если кто-то зарегистрировался как администратор, Windows обработает его как обычного пользователя. Если пользователи попытается совершить некоторые действия, которые запрашивают администраторские полномочия, Windows спросит пользователя можно ли временно поднять их привилегий для выполнения задания вручную.

У администраторов также есть выбор остаться зарегистрированным как простой пользователь. Если обычный пользователь нуждается в выполнении действия, которое запрашивает администраторские полномочия, то они не должны использовать команду Run As. Напротив, Vista автоматически попросит их ввести совокупность логина и пароля, которые могут быть использованы для этого задания.

Сейчас, когда вы уже получили общие сведения о User Account Protection и о его работе, давайте взглянем на установки группового курса действий, которые принадлежат к User Account Protection. Как и многие другие установки группового метода, о которых я говорил в этой серии статей, нынешний установки являются совместимыми только с Windows Server 2008 и Windows Vista. Поэтому раз Windows Server 2008 выпущен, и у вас есть контроллер домена Windows Server 2008 в вашей сети, эти установки группового курса действий должны быть установлены в уровень локального компьютера иерархии группового метода.

Относящиеся к User Account Protection установки группового метода могут быть найдены в регистре Group Policy Object в Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options.

Первой установкой, относящейся к User Account Control, является User Account Control: Admin Approval Mode для установки встроенного аккаунта администратора. Эта опция, которая включена по умолчанию, обрабатывает встроенный аккаунт администратора как обычного пользователя. Любое действие, которое запрашивает администраторские привилегии, вынудит Windows попросить у пользователя разрешения перед выполнением действия. Если эта опция будет выключена, то Vista будет вести себя как Windows XP. Встроенный аккаунт администратора будет обрабатываться как настоящий администратор, и у пользователя никогда не попросят дать разрешение Windows на выполнение действия.

Следующей доступной опцией является User Account Control: Behavior of the Elevation Prompt для Администраторов в опции режима подтверждения админа. Как вы уже знаете, Vista разработана таким образом, что она не будет выполнять административное действие без соглашения администратора. Эта опция позволяет вам контролировать тип соглашения, которое администратор должен дать, чтобы запрашиваемое действие было выполнено.

Опция по умолчанию является простой подсказкой для принятия. Это означает, что администратора спросят хочет ли он разрешить или запретить действие. Как альтернатива, администратора могут спросить полномочия. Это заставит администратора ввести свой пароль для выполнения некоторых администраторских действий. Эта опция считается тяжелой в использовании, но ей отдается предпочтение в высоко охраняемой операционной среде.

Последняя опция используется для возвышения полномочий без запроса у администратора утверждения действия. Я не рекомендую использовать эту опцию.

Так как Windows Vista ограничивает действия, которые администратор может выполнять без полномочий, еще ограничиваются возможности обычного пользователя. Вы можете контролировать то, что происходит, когда обычный пользователь пытается выполнить действие, которое запрашивает возвышенные привилегии, используя User Account Control: Behavior of the Elevation Prompt для установок обычного пользователя.

Когда обычный пользователь пытается выполнить действие, которое запрашивает возвышение привилегий, могут произойти некоторые события. Пользователя также могут попросить ввести полномочия администратора, или запрос может быть автоматически отклонен без разрешения пользователя. По умолчанию, у обычных пользователей запрашиваются полномочия администратора, если они оперируют в домашней операционной среде, но поднятые запросы автоматически отклоняются для пользователей, оперирующих в кооперативной операционной среде.

Хотя Windows Vista разработан для запроса о поднятии привилегий для заданных типов действий, некоторые из которых могут быть настроены так, что они могут выполняться без возвышения привилегий. Одним из примеров является установка программного обеспечения. The User Account Control: Detect Application Installations и Prompt for Elevation установки позволяют прикладным программам быть установленными без запроса возвышения привилегий.

Отсутствие возвышения привилегий для установки программного обеспечения может означать, во-первых, продуктивность счетчика, но существует оправданное использование для этой установки. В управляемых операционных средах прикладные программы обычно применяются через установку группового курса действий, или через SMS сервер, или похожий механизм. В таких ситуациях будет непрактично запрашивать администратора подтвердить действие на каждом «Рабочем столе» каждый раз, когда прикладная программа устанавливается. Поэтому вы можете отключить запрос на возвышение привилегий в каждой операционной системе. Запомните, что это отнюдь не означает, что обычные пользователи смогут устанавливать прикладные программы. Это всего лишь означает, что те, у кого есть подходящие привилегии, не будут обеспокоены запросом на возвышение привилегий.

User Account Control (UAC) или контроль учетных записей – это функция безопасности Windows включенная по умолчанию и предназначенная для предотвращения нежелательных изменений в ОС. Если программа пытается выполнить действие, требующее прав администратора (например, установить программу, изменить настройки ОС, ветки реестра или системные файлы), UAC уведомляет об этом и запрашивает подтверждения этих действий у администратора. Тем самым снижается риск несанкционированных изменений и выполнения вредоносного кода с правами администратора.

В этой статье мы рассмотрим, как управлять настройками контроля учетных записей в Windows

Как выглядит окно UAC? Например, при попытке повышения привилегий процесса в сессии пользователя с правами локального администратора, появляется окно подтверждения UAC:

Контроль учетных записей
Разрешить этому приложению вносить изменения на вашем устройстве?

User Account Control
Do you want to allow this app to make changes to your device?

Картинка с сайта: winitpro.ru

Настройки контроля учётных записей (UAC) в Windows

Для управления настройками UAC в панели управления Windows доступен специальный апплет Change User Account Control settings, который можно запустить из классической панели управления или с помощью команды
UserAccountControlSettings.exe
.

С помощью ползунка можно выбрать уровень контроля учетных записей на компьютере. Доступно 4 уровня:

• Уровень 4 — Always notify — Всегда уведомлять (максимальный уровень защиты UAC);
• Уровень 3 — Notify only when programs try to make changes to my computer (default) – Уведомить только когда программа пытается внести изменения в мой компьютер (используется в Windows по умолчанию);
• Уровень 2 — Notify only when programs try to make changes to my computer (do not dim my desktop) – то же что и предыдущий уровень, но без переключения на Secure Desktop с блокировкой рабочего стола;
• Уровень 1 — Never notify – Никогда не уведомлять

Картинка с сайта: winitpro.ru

Обратите внимание, что перевод ползунка в нижнее положение Никогда не уведомлять, не отключает UAC полностью. Этот режим включает автоматическое подтверждения запросов на повышение прав, инициированных администратором, без отображения окна с запросом UAC. В сессиях пользователей запросы повышения прав автоматически откланяются.

Чтобы полностью отключить UAC, нужно отключить параметр локальной политики Контроль учетных записей: все администраторы работают в режиме одобрения администратором (User Account Control: Run all administrators in Admin Approval Mode). Об этом ниже.

Управление параметрами User Account Control через GPO

Возможно управление параметрами контроля учетных записей UAC в Windows через групповые политики. Имена политик, относящихся к UAC, начинаются с User Account Control (Контроль учетных записей) и находятся в разделе редактора GPO Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики).

Картинка с сайта: winitpro.ru

Доступно 12 параметров GPO. В следующей таблице представлен список политик UAC, и соответствующие им параметры реестра (ветка HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System) и возможные значения (в том числе значения по-умолчанию).

Ползунок User Account Control и соответствие параметров реестра (GPO)

Когда вы меняете уровень защиты UAC с помощью ползунка в панели управления, Windows изменяет значения следующих параметров реестра.

Таким образом, если вы хотите через GPO задать параметры UAC, соответствующие уровню ползунка вам достаточно настроить 3 параметра политик (указаны выше).

Например, для UAC уровень 3 (Notify only when programs try to make changes to my computer) нужно внедрить такие параметры в реестр:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"PromptOnSecureDesktop"=dword:00000001
"EnableLUA"=dword:00000001
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableVirtualization"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000


Картинка с сайта: winitpro.ru

Значения параметров ConsentPromptBehaviorUser, EnableInstallerDetection, EnableVirtualization, ValidateAdminCodeSignatures и FilterAdministratorToken будут одинаковыми для всех уровней.

Как полностью отключить UAC в Windows через GPO?

Рассмотрим, как через групповые политики отключить контроль учетных записей в Windows.

На отдельном компьютере можно использовать редактор локальный групповой политики
gpedit.msc
. Если нужно применить политику на множестве компьютерлв в домене, нужно использовать консоль Group Policy Management Console —
gpmc.msc
(рассмотрим этот вариант).

1. В консоли управления доменными GPO щелкните по OU с компьютерами, на которых вы хотите отключить UAC и создайте новую политику
2. Отредактируйте политику и перейдите в разделComputer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options;
3. Для полного отключения UAC установите следующие значения параметров:
4. User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode =
   Elevate without prompting
   ;

• User Account Control: Detect application installations and prompt for elevation =
  Disabled
  ;
• User Account Control: Run all administrators in Admin Approval Mode =
  Disabled
  ;
• User Account Control: Only elevate UIAccess applications that are installed in secure locations =
  Disabled
  .
  

  Картинка с сайта: winitpro.ru

1. Чтобы обновить настройки групповых политик на компьютерах и отключить UAC, нужно перезагрузить их.

Также можно точечно отключать UAC только для некоторых пользователей/компьютеров через реестр, а настройки распространить через Group Policy Preferences.

Создайте новый параметр реестра в ветке GPO Computer Configuration -> Preferences -> Windows Settings -> Registry со следующими настройками:

• Action: Replace
• Hive: HKEY_LOCAL_MACHINE
• Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
• Value name: EnableLUA
• Value type: REG_DWORD
• Value data: 0

Картинка с сайта: winitpro.ru

Затем перейдите на вкладку Common и включите опции:

• Remove this item when it is no longer applied
• Item-Level targeting

Нажмите на кнопку Targeting и укажите компьютеры, или доменные группы, на которые должна применяться политика отключения UAC.

Вы можете изменить значение любого параметра из редактора реестра или из командной строки. Например, чтобы отключить UAC на компьютере (потребуется перезагрузка) можно выполнить команду:

reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.

Или аналогичная команда на PowerShell:

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force

UAC – User Account Control – достала всех еще со времен Windows Vista. Это, конечно, одно из средств защиты Windows от заразы и от пользователей, но иногда вещь бесполезная и даже опасная для нервов. На рабочей лошадке с Windows 7 лучше не отключать эту функцию, а вот на сервере с Windows Server 2008 лучше отключить на время настройки и администрирования. Как это сделать? (Понадобится перезагрузка сервера)

1. Идем в Панель управления на сервере

Картинка с сайта: did5.ru

2. Выбираем пункт User Accounts

Картинка с сайта: did5.ru

3. Последнее окошко UAC перед отключением, Continue

4. Снимаем галку Use User Account Control (UAC) to help protect your computer, жмем OK

Картинка с сайта: did5.ru

5. Перезагружаем сервер

Все. Надоедливое окошко больше вылезать не будет

P.S. Этот метод подойдет для отключения UAC и на Windows 7