Server 2012 отключить uac

Windows server 2012: UAC

Server 2012 отключить uac

Установил я KpyM Telnet/SSH Server сервер Windows server 2012. Всё замечательно. Так как этот SSH сервер  для Windows является бесплатным и OpenSource, убрал запрос ключа, перекомпилировал при помощи Visual studio С++.

Всё бы ничего, но вот опечалило то, что если указать в качестве шела, Powershell 3, в конфигурации kts.ini

shell_command                =    «C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoExit -command set-location c:\»

Тогда при попытке к примеру создать новую виртуальную машину(при условии чо роль Hyper-V установлена уже)

new-vm Test_VM

Появляется ругательство, говорящее о том, что не хватает прав или hyper-v не работает и тд… обратитесь к админу.

new-vm : You do not have permission to perform the operation or the Virtual
Machine Management Service is not running on the target computer or
installation has been corrupted. Please run the cmdlet with proper privilege.

Contact your administrator if you believe you should have permission to
perform this operation, but don’t have it yet.

At line:1 char:1+ new-vm
+ ~~~~~~
+ CategoryInfo : PermissionDenied: (:) [New-VM], VirtualizationOp
erationFailedException
+ FullyQualifiedErrorId : AccessDenied,Microsoft.HyperV.PowerShell.Command
s.NewVMCommand

Так как запустить POSH с повышением привилегий у меня не вышло, решением для меня стало отключение UAC.

UAC можно отключить несколькими способами:

1) В реестре

ConsentPromptBehaviorAdmin

EnableLUA

при помощи командной строки:

%windir%\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

%windir%\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f

Что бы обратно включит:

%windir%\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

%windir%\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 2 /f

2)  При помощи групповых политик.

  1. Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security OptionsIn GPMC, browse to the required GPO which is linked to the domain or OU where the policy wants to apply.
  2. Locate the following policy in the right pane:User Account Control: Behavior of the elevation prompt for administrators in Admin Approval ModeSet its value to Elevate without prompt.
  3. Locate the following policy in the right pane:User Account Control: Detect application installations and prompt for elevationSet its value to Disabled.
  4. Locate the following policy in the right pane:User Account Control: Run all administrators in Admin Approval ModeSet its value to Disabled.
  5. Locate the following policy in the right pane:User Account Control: Only elevate UIAccess applications that are installed in secure locations Set its value to Disabled.

И перезагрузить компьютер!

Как то без отключения UAC, решить свою проблему пока не удалось.

Вот тут есть упоминание отключения запроса на повышение прав, но всё же не все операции будут работать при таком раскладе

Another option to avoid elevation prompts without disabling UAC is to set the security policy, User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode to Elevate without prompting.

By using this setting, elevation requests are silently approved if the user who is logged on is a member of the Administrators group. This option also leaves PMIE and other UAC features enabled. However, not all operations that require administrative rights request elevation.

In this case, some of the user’s programs may be elevated, and some programs may not be elevated. Typically, there is no way to distinguish between these two kinds of programs.

For example, most console utilities that require administrative rights expect to be started from an command prompt that is already elevated or from other elevated program. Such utilities merely fail when they are started from a command prompt that is not elevated.

По мотивам http://www.mydigitallife.info

Источник: http://AlexWhite.ru/2012/10/09/windows-server-2012-uac/

Отключение контроля учетных записей пользователей – Windows Server

Server 2012 отключить uac

  • 09/08/2020
  • Чтение занимает 7 мин
    • D
    • o

В этой статье рассказывается, как отключить контроль учетных записей пользователей (UAC) в Windows Server.

Исходная версия продукта:   Windows Server 2012 R2
Исходный номер статьи базы знаний:   2526083

При определенных обстоятельствах отключение контроля учетных записей в Windows Server может быть приемлемым и рекомендуемым подходом. Эти обстоятельства происходят, только если выполняются все указанные ниже условия.

  • Только администраторы могут войти на сервер под управлением Windows в интерактивном режиме на консоли или с помощью служб удаленных рабочих столов.
  • Администраторы входят в систему на сервере под управлением Windows только для того, чтобы выполнять на сервере допустимые административные функции администрирования.

Если одно из этих условий не имеет значение, UAC должен быть включен. Например, если сервер включает роль служб удаленных рабочих столов, чтобы пользователи, не являющиеся администраторами, могли входить на сервер для запуска приложений, контроль учетных записей должен быть включен.

Аналогично, контроль учетных записей должен быть включен, если администраторы запускают рискованные приложения на сервере, такие как веб-браузеры, почтовые клиенты или клиенты обмена мгновенными сообщениями, или если администраторы выполняют другие операции, которые следует выполнить из клиентской операционной системы, такой как Windows 7.

Примечание

  • Это руководство относится только к операционным системам Windows Server.
  • Контроль учетных записей всегда отключен для основных выпусков сервера Windows Server 2008 R2 и более поздних версий.

Функция UAC была разработана для того, чтобы пользователи Windows перемещались по умолчанию, используя стандартные права пользователя. UAC включает несколько технологий для достижения этой цели. К этим технологиям относятся следующие:

  • Виртуализация файлов и реестра: когда устаревшее приложение пытается выполнить запись в защищенные области файловой системы или реестра, Windows автоматически и прозрачно перенаправляет доступ к части файловой системы или реестра, которые пользователь может изменять. Это позволяет выполнять множество приложений, которые требовали административных прав для более ранних версий Windows, и только стандартные права на Windows Server 2008 и более поздних версий.
  • Повышение уровня для одного и того же рабочего стола: при выполнении авторизованного пользователя и повышении уровня программы полученный процесс получает более эффективные права, чем для интерактивного пользователя рабочего стола. Комбинируя повышение прав с помощью фильтрованного маркера контроля учетных записей (см. следующий пункт маркированного списка), администраторы могут запускать программы с правами обычного пользователя, а затем повышать только те программы, для которых требуются административные права с одной учетной записью пользователя. (Эта функция повышения уровня пользователя также называется режимом одобрения администратором.) Программы также могут быть запущены с повышенными правами с помощью другой учетной записи пользователя, чтобы администратор мог выполнять задачи администрирования на рабочем столе стандартного пользователя.
  • Фильтрованный маркер: когда пользователь с правами администратора или другими мощными правами или участием в группах войдет в систему, Windows создает два маркера доступа для представления учетной записи пользователя. Маркер без фильтра имеет все сведения о членстве в группах и привилегиях пользователя, а отфильтрованный маркер представляет пользователя эквивалентом стандартных прав пользователя. По умолчанию этот фильтрованный маркер используется для запуска программ пользователя. Нефильтрованный маркер связан только с программами с повышенными привилегиями. Учетная запись, которая является членом группы “Администраторы” и получает отфильтрованный маркер при входе пользователя в систему, называется защищенной учетной записью администратора.
  • Изоляция привилегий пользовательского интерфейса (УИПИ): УИПИ предотвращает отправку оконных сообщений, таких как искусственные мыши или клавиатуры, в окно, принадлежащее процессу с более высоким уровнем привилегий, и позволяет управлять процессом с более высоким уровнем привилегий.
  • Защищенный режим Internet Explorer (ПМИЕ): ПМИЕ — это функция глубокой защиты, в которой Windows Internet Explorer работает в защищенном режиме с низкими привилегиями и не может выполнять запись в большинство областей файловой системы или реестра. По умолчанию защищенный режим включен, когда пользователь просматривает сайты в зонах “Интернет” или “ограниченные сайты”. ПМИЕ усложняет вредоносное программное обеспечение, которое заражает запущенный экземпляр Internet Explorer, чтобы изменить параметры пользователя, например, если настроить его для запуска каждый раз, когда пользователь входит в систему. ПМИЕ на самом деле не является частью контроля учетных записей. Однако это зависит от функций контроля учетных записей, таких как УИПИ.
  • Обнаружение установщика: когда новый процесс будет запущен без прав администратора, Windows применяет эвристику, чтобы определить, является ли новый процесс устаревшей программой установки. Windows предполагает, что устаревшие программы установки, скорее всего, не будут работать без прав администратора. Таким образом, Windows будет интерактивно запрашивать повышение прав для интерактивного пользователя. Если у пользователя нет учетных данных администратора, пользователь не сможет запустить программу.

Если отключить контроль учетных записей: запуск всех администраторов в режиме одобрения администратором, будут отключены все функции UAC, описанные в этом разделе. Этот параметр политики доступен через локальную политику безопасности компьютера, параметры безопасности, локальные политики и параметры безопасности.

Устаревшие приложения с правами обычного пользователя, которые ожидают записи в защищенные папки или разделы реестра, завершатся с ошибками. Отфильтрованные маркеры не создаются, и все программы работают с полными правами пользователя, выполнившего вход на компьютер.

В том числе Internet Explorer, так как защищенный режим отключен для всех зон безопасности.

Одной из распространенных заблуждений о контроле учетных записей и повышении уровня разрешений для одного и того же рабочего стола является то, что он предотвращает установку вредоносных программ и получение прав администратора.

Во – первых, вредоносные программы можно записывать, не требуя прав администратора, а вредоносные программы можно записывать только в области профиля пользователя.

Более важное и то же повышение уровня рабочего стола в UAC не является границей безопасности и может быть захвачено непривилегированным программным обеспечением, запущенным на том же компьютере.

Такое повышение уровня настольного компьютера следует рассматривать как удобный компонент, и с точки зрения безопасности Защищенный администратор должен считаться эквивалентом администратора. Напротив, использование быстрого переключения пользователей для входа в другой сеанс с помощью учетной записи администратора включает в себя границу безопасности между учетной записью администратора и стандартным сеансом пользователя.

Для сервера под управлением Windows, в котором единственная причина для интерактивного входа заключается в администрировании системы, целью уменьшения количества запросов на повышение прав нет. Законные средства администрирования системы требуют наличия прав администратора.

Если всем задачам административного пользователя требуются права администратора, и каждой задаче удалось запустить запрос на повышение прав, то запросы будут хиндранце только для повышения производительности. В этом контексте такие приглашения не и не могут повышать уровень разработки приложений, для которых требуются стандартные права пользователя.

Кроме того, такие запросы не повышают уровень безопасности. Вместо этого они просто рекомендуйте пользователям щелкать диалоговые окна, не читая их.

Это руководство применяется только к хорошо управляемым серверам, в которых только административные пользователи могут входить в систему интерактивно или через службы удаленных рабочих столов, а также только для выполнения законных административных функций.

Если администраторы запускают рискованные приложения, такие как веб-браузеры, клиенты электронной почты или клиенты обмена мгновенными сообщениями, или выполняют другие операции, которые должны выполняться из клиентской операционной системы, сервер должен считаться эквивалентом клиентской системы.

В этом случае контроль учетных записей должен быть включен в качестве меры глубокой защиты.

Кроме того, если стандартные пользователи входят на сервер в консоли или с помощью служб удаленных рабочих столов для запуска приложений, особенно веб-браузеров, контроль учетных записей должен быть включен для поддержки виртуализации файлов и реестра, а также Internet Explorer в защищенном режиме.

Еще один вариант, позволяющий избежать запросов на повышение прав без отключения UAC — Настройка контроля учетных записей пользователей: поведение запросов на повышение прав для администраторов в политике безопасности режима одобрения администратором, чтобы повысить уровень прав без запросов.

С помощью этого параметра запросы на повышение прав утверждаются автоматически, если пользователь является членом группы администраторов. Этот параметр также оставляет ПМИЕ и другие функции контроля учетных записей. Однако не все операции, требующие повышения прав для запроса прав администратора.

Использование этого параметра может привести к тому, что некоторые из программ пользователя переносятся, а некоторые — нет, без необходимости различать их. Например, большинство служебных программ консоли, требующих административных прав, запускаются в командной или другой программной программе с повышенными привилегиями.

Такие служебные программы просто не выполняются, если они запускаются из командной строки с повышенными привилегиями.

Дополнительные эффекты отключения контроля учетных записей

  • Если вы попытаетесь использовать проводник Windows, чтобы перейти к каталогу, для которого у вас нет разрешений на чтение, Explorer предложит изменить разрешения для предоставления учетной записи пользователя на доступ к этой папке. Результаты зависят от того, включена ли функция контроля учетных записей. Для получения дополнительных сведений см. при нажатии кнопки Продолжить для доступа к папкам в проводнике учетная запись пользователя добавляется в список управления доступом для папки.
  • Если UAC отключен, проводник Windows продолжает отображать значки панели контроля учетных записей UAC для элементов, для которых требуется повышение прав, и для включения запуска от имени администратора в контекстные меню приложений и ярлыков приложений. Так как механизм повышения прав UAC отключен, эти команды не действуют, и приложения выполняются в том же контексте безопасности, что и пользователь, вошедший в систему.
  • Если функция контроля учетных записей включена, то при запуске программы с помощью учетной записи пользователя, которая подлежит фильтрации маркеров, в Runas.exe с помощью служебной программы командной строки выполняется программа с отфильтрованным маркером пользователя. Если UAC отключен, программа запускается с использованием полного маркера пользователя.
  • Если контроль учетных записей включен, локальные учетные записи, которые подлежат фильтрации маркеров, не могут использоваться для удаленного администрирования через сетевые интерфейсы, отличные от удаленного рабочего стола (например, с помощью NET USE или WinRM). Локальная учетная запись, проверяющая подлинность по такому интерфейсу, получает только те права, которые предоставляются отфильтрованному маркеру учетной записи. Если контроль учетных записей отключен, это ограничение удаляется. (Ограничение также можно удалить с помощью LocalAccountTokenFilterPolicy параметра, описанного в разделе KB951016.) Удаление этого ограничения может повысить риск нарушения безопасности системы в среде, где у многих систем есть административная локальная учетная запись с одинаковыми именем пользователя и паролем. Мы рекомендуем убедиться в том, что для этого риска используются другие факторы. Дополнительные сведения о рекомендуемых угрозах приведены в статье Устранение проблем с передачей данных из-за ПС и другой кражи учетных данных версии 1 и 2.
  • PsExec, контроль учетных записей и границы безопасности
  • При выборе параметра продолжить для доступа к папкам в проводнике Windows учетная запись пользователя добавляется в список управления доступом для папки (KB 950934).

Источник: https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/windows-security/disable-user-account-control

Настройка, отключение User Account Control (UAC) с помощью групповых политик

Server 2012 отключить uac

UAC (User Account Control или контроль учетных записей) важный компонент системы защиты Windows.

При запуске любого приложения или процесса, который требует прав администратора, пытается изменить системные настройки, ветки реестра или файлы, компонент контроля учетных записей UAC переключает рабочий стол в защищенный режим и запрашивает подтверждение этих действий у администратора.

Тем самым UAC позволяет предотвратить запуск процессов и вредоносных программ, которые потенциально могут нанести вред вашему компьютеру.

На скриншоте ниже показано, что при запуске редактора реестра (regedit.exe) в Windows 10 появляется окно подтверждения UAC:

Контроль учетных записей
Разрешить этому приложению вносить изменения на вашем устройстве? User Account Control
Do you want to allow this app to make changes to your device?

В этой статье мы рассмотрим, как управлять настройками UAC на отдельном компьютере, или на множестве компьютеров в домене с помощью групповых политик.

Ползунок User Account Control

В Windows 7 (и выше) настройки UAC на компьютере управляются с помощью специального ползунка (вызывается через панель управления или файлом UserAccountControlSettings.exe). С помощью ползунка вы можете выбрать один из четырех предопределенных уровней защиты UAC.

  • Уровень 4 — Always notify —  Всегда уведомлять (максимальный уровень защиты UAC);
  • Уровень 3 — Notify only when programs try to make changes to my computer (default) – Уведомить только когда программа пытается внести изменения в мой компьютер (стандартный уровень защиты);
  • Уровень 2 — Notify only when programs try to make changes to my computer (do not dim my desktop) – то же что и предыдущий уровень, но без переключения на Secure Desktop с блокировкой рабочего стола;
  • Уровень 1 — Never notify – Никогда не уведомлять (UAC отключен).

По умолчанию в Windows 10 выбран 3 уровень защиты UAC, который выводит уведомление только при попытке изменить системные файлы или параметры.

Как отключить User Account Control в Windows через GPO?

Вы можете отключить UAC с помощью групповой политики. На отдельном компьютере можно использовать редактор локальный групповой политики gpedit.msc. Если нужно распространить политику на компьютеры в домене, нужно использовать консоль Group Policy Management Console — gpmc.msc (рассмотрим этот вариант).

  1. В консоли управления доменными GPO щелкните по OU с компьютерами, на которых вы хотите отключить UAC и создайте новую политику;
  2. ОтредактируйтеполитикуиперейдитевразделComputer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options;
  3. В этом разделе есть несколько параметров, которые управляют настройками UAC. Имена этих параметров начинаются с User Account Control;
  4. Для полного отключения UAC установите следующие значения параметров:
  • User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode = Elevate without prompting;
  • User Account Control: Detect application installations and prompt for elevation = Disabled;
  • User Account Control: Run all administrators in Admin Approval Mode = Disabled;
  • User Account Control: Only elevate UIAccess applications that are installed in secure locations = Disabled.

Также можно точечно отключать UAC только для некоторых пользователей/компьютеров через реестр, а настройки распространить через Group Policy Preferences.

Создайте новый параметр реестра в ветке GPO Computer Configuration ->Preferences ->Windows Settings ->Registry со следующими настройками:

  • Action: Replace
  • Hive: HKEY_LOCAL_MACHINE
  • Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  • Value name: EnableLUA
  • Value type: REG_DWORD
  • Value data: 0

Затем перейдите на вкладку Common и включите опции:

  • Remove this item when it is no longer applied
  • Item-Level targeting

Нажмите на кнопку Targeting и укажите компьютеры, или доменные группы, на которые должна применяться политика отключения UAC.

Настройка параметров UAC в реестре

Вы можете управлять настройками UAC через реестр. Параметры, отвечающие за поведение контроля учетных записей, находятся в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Когда вы меняете значение ползунка UAC в панели управления, Windows меняет значение параметров реестра из этой ветки следующим образом (ниже приведены готовые REG файлы для разных уровней ползунка User Account Control:

UAC уровень 4 (Always notify):

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] “ConsentPromptBehaviorAdmin”=dword:00000002
“ConsentPromptBehaviorUser”=dword:00000003
“EnableInstallerDetection”=dword:00000001
“EnableLUA”=dword:00000001
“EnableVirtualization”=dword:00000001
“PromptOnSecureDesktop”=dword:00000001
“ValidateAdminCodeSignatures”=dword:00000000
“FilterAdministratorToken”=dword:00000000

UAC уровень 3 (Notify only when programs try to make changes to my computer):

“ConsentPromptBehaviorAdmin”=dword:00000005
“ConsentPromptBehaviorUser”=dword:00000003
“EnableInstallerDetection”=dword:00000001
“EnableLUA”=dword:00000001
“EnableVirtualization”=dword:00000001
“PromptOnSecureDesktop”=dword:00000001
“ValidateAdminCodeSignatures”=dword:00000000
“FilterAdministratorToken”=dword:00000000

UAC уровень 2:

“ConsentPromptBehaviorAdmin”=dword:00000005
“ConsentPromptBehaviorUser”=dword:00000003
“EnableInstallerDetection”=dword:00000001
“EnableLUA”=dword:00000001
“EnableVirtualization”=dword:00000001
“PromptOnSecureDesktop”=dword:00000000
“ValidateAdminCodeSignatures”=dword:00000000
“FilterAdministratorToken”=dword:00000000

UAC уровень 1 (Never notify — UAC отключен):

“ConsentPromptBehaviorAdmin”=dword:00000000
“ConsentPromptBehaviorUser”=dword:00000003
“EnableInstallerDetection”=dword:00000001
“EnableLUA”=dword:00000001
“EnableVirtualization”=dword:00000001
“PromptOnSecureDesktop”=dword:00000000
“ValidateAdminCodeSignatures”=dword:00000000
“FilterAdministratorToken”=dword:00000000

Вы можете изменить значение любого параметра из редактора реестра или из командной строки. Например, чтобы отключить UAC на компьютере (потребуется перезагрузка) можно выполнить команду:

reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.

Или аналогичная команда на PowerShell:

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force

Особенности использования UAC в Windows Server

User Account Control в Windows Server работает и управляется так же как в дектопных редакциях Windows.

Допустимо полностью отключать UAC в Windows Server 2016/209, если выполняются следующие условия.

  • Только администраторы имеют удаленный доступ к рабочему столу сервера (RDP доступ к серверу для обычных пользователей должен быть отключен). На RDS серверах нужно оставлять UAC включенным;
  • Администраторы должны использовать Windows Server только для выполнения административных задач. Работа с офисными документами, мессенджерами, веб браузером должна выполняться только на рабочей станции администратора под обычной учёткой пользователя с включенным UAC, а не на серверах (см. статью о лучших практиках по защите аккаунтов администраторов),

При включенном UAC Windows Server запрещает удаленное подключение под локальными аккаунтами (через net use, winrm, Powershell Remoting). Токен такого пользователя будет отфильтрован включенным параметром UAC LocalAccountTokenFilterPolicy (об этом рассказано в предыдущей секции).

Ползунок User Account Control и параметры GPO

Вы можете управлять настройками UAC как с помощью ползунка, так и с помощью групповых политик. Но в редакторе групповых политик отсутствует единый параметр, позволяющий выбрать один из 4 уровней защиты (соответствующий положению ползунка UAC). Вместо этого предлагается регулировать настройки UAC 10 различными политиками. Как мы уже говорили выше, эти политики находятся в разделе:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики). Имена политик, относящихся к UAC, начинаются с User Account Control (Контроль учетных записей).

В следующей таблице представлен список политик UAC, и соответствующие им параметры реестра.

Имя политикиКлюч реестра, настраиваемый политикой
User Account Control: Admin Approval Mode for the Built-in Administrator accountКонтроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратораFilterAdministratorToken
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktopКонтроль учетных записей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий столEnableUIADesktopToggle
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval ModeКонтроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администраторомConsentPromptBehaviorAdmin
User Account Control: Behavior of the elevation prompt for standard usersКонтроль учетных записей: поведение запроса на повышение прав для обычных пользователейConsentPromptBehaviorUser
User Account Control: Detect application installations and prompt for elevationКонтроль учетных записей: обнаружение установки приложений и запрос на повышение правEnableInstallerDetection
User Account Control: Only elevate executables that are signed and validatedКонтроль учетных записей: повышение прав только для подписанных и проверенных исполняемых файловValidateAdminCodeSignatures
User Account Control: Only elevate UIAccess applications that are installed in secure locationsКонтроль учетных записей: повышать права только для UIAccess-приложений, установленных в безопасном местоположенииEnableSecureUIAPaths
User Account Control: Run all administrators in Admin Approval ModeКонтроль учетных записей: включение режима одобрения администраторомEnableLUA
User Account Control: Switch to the secure desktop when prompting for elevationКонтроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение правPromptOnSecureDesktop
User Account Control: Virtualize file and registry write failures to per-user locationsКонтроль учетных записей: при сбоях записи в файл или реестр виртуализация в размещение пользователяEnableVirtualization

По умолчанию для стандартных настроек UAC (уровень 3) используются следующие настройки групповых политик:

UAC Уровень 3 (поумолчанию)

Источник: https://winitpro.ru/index.php/2016/05/16/polzunok-user-account-control-i-nastrojki-gruppovyx-politik/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.