资讯

历史

科技

环境与自然

成长

游戏

财经

文学与艺术

美食

健康

家居

文化

情感

汽车

三农

军事

旅行

运动

教育

生活

星座命理

用户帐户控制设置和配置

创作时间:

作者:

@小白创作中心

用户帐户控制设置和配置

引用

来源

https://learn.microsoft.com/zh-cn/windows/security/application-security/application-control/user-account-control/settings-and-configuration

用户帐户控制（UAC）是Windows系统中一项重要的安全功能，用于防止未经授权的程序更改系统设置。本文详细介绍了UAC的各种设置选项及其配置方法，包括通过Microsoft Intune/MDM、组策略和注册表三种方式。对于IT管理员和技术人员来说，本文提供了全面且实用的技术指导。

用户帐户控制设置列表

下表列出了用于配置 UAC 行为的可用设置及其默认值。

设置名称	描述
内置管理员帐户的管理员审批模式	控制内置管理员帐户管理员审批模式的行为。已启用：内置管理员帐户使用管理员审批模式。默认情况下，任何需要特权提升的操作都提示用户批准该操作。禁用 (默认)：内置管理员帐户以完全管理权限运行所有应用程序。
允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升	控制用户界面辅助功能 (UIAccess 或 UIA) 程序是否可以自动禁用标准用户使用的提升提示的安全桌面。已启用：UIA 程序（包括远程协助）会自动禁用安全桌面以提示提升。如果未禁用“提示提升时切换到安全桌面”策略设置，则会在交互式用户的桌面上而不是安全桌面上显示提示。此设置允许远程管理员提供适当的提升凭据。此策略设置不会更改管理员的 UAC 提升提示的行为。如果计划启用此策略设置，还应查看标准用户的提升提示行为策略设置的效果：如果将其配置为自动拒绝提升请求，则不会向用户显示提升请求。禁用 (默认)：只有交互式桌面的用户或禁用“提示提升时切换到安全桌面”策略设置，才能禁用安全桌面。
管理员审批模式下管理员的提升提示行为	控制管理员的提升提示的行为。提升而不提示：允许特权帐户执行需要提升的操作，而无需同意或凭据。仅在受约束最严重的环境中使用此选项。在安全桌面上提示输入凭据：当操作需要特权提升时，系统会在安全桌面上提示用户输入特权用户名和密码。如果用户输入了有效的凭据，则操作会以用户的最高可用权限继续执行。安全桌面上的同意提示：当操作需要特权提升时，系统会提示用户在安全桌面上选择“允许”或“拒绝”。如果用户选择“允许”，则操作会以用户的最高可用权限继续执行。提示输入凭据：当操作需要特权提升时，系统会提示用户输入管理用户名和密码。如果用户输入了有效的凭据，则操作将继续具有适用的权限。同意提示：当操作需要特权提升时，系统会提示用户选择“允许”或“拒绝”。如果用户选择“允许”，则操作会以用户的最高可用权限继续执行。非 Windows 二进制文件的同意提示 (默认)：当非Microsoft应用程序的操作需要特权提升时，系统会在安全桌面上提示用户选择“允许”或“拒绝”。如果用户选择“允许”，则操作会以用户的最高可用权限继续执行。
标准用户的提升提示行为	控制标准用户的提升提示的行为。提示输入凭据 (默认)：当操作需要特权提升时，系统会提示用户输入管理用户名和密码。如果用户输入了有效的凭据，则操作将继续具有适用的权限。自动拒绝提升请求：当操作需要特权提升时，将显示可配置的访问被拒绝错误消息。以标准用户身份运行桌面的企业可以选择此设置来减少技术支持呼叫。在安全桌面上提示输入凭据当操作需要特权提升时，系统会在安全桌面上提示用户输入不同的用户名和密码。如果用户输入了有效的凭据，则操作将继续具有适用的权限。
检测应用程序安装并提示提升	控制计算机的应用程序安装检测行为。启用 (默认)：检测到需要特权提升的应用安装包时，系统会提示用户输入管理用户名和密码。如果用户输入了有效的凭据，则操作将继续具有适用的权限。已禁用：不会检测到应用安装包，并提示提升。运行标准用户桌面并使用委派安装技术（例如Microsoft Intune）的企业应禁用此策略设置。在这种情况下，安装程序检测是不必要的。
仅提升已签名和验证的可执行文件	对请求特权提升的任何交互式应用程序强制实施签名检查。 IT 管理员可以通过将证书添加到本地设备上的受信任发布者证书存储，来控制允许哪些应用程序运行。已启用：在允许运行给定可执行文件之前，对其强制实施证书认证路径验证。禁用 (默认)：在允许运行给定可执行文件之前，不强制实施证书认证路径验证。
仅提升安装在安全位置中的 UIAccess 应用程序	控制请求使用用户界面辅助功能 (UIAccess) 完整性级别运行的应用程序是否必须驻留在文件系统中的安全位置。安全位置仅限于以下文件夹：-%ProgramFiles%，包括子文件夹-%SystemRoot%\system32-%ProgramFiles(x86)%，包括子文件夹启用 (默认)：如果应用驻留在文件系统中的安全位置，则它仅以 UIAccess 完整性运行。已禁用：即使应用不驻留在文件系统中的安全位置，应用也会使用 UIAccess 完整性运行。注意：无论此设置的状态如何，Windows 都会在请求使用 UIAccess 完整性级别运行的任何交互式应用上强制实施数字签名检查。
在管理员审批模式下运行所有管理员	控制所有 UAC 策略设置的行为。已启用 (默认)：已启用管理员审批模式。必须启用此策略并配置相关的 UAC 设置。该策略允许内置管理员帐户和管理员组的成员在管理员审批模式下运行。已禁用：禁用管理员审批模式和所有相关 UAC 策略设置。注意：如果禁用此策略设置，Windows 安全中心会通知你操作系统的整体安全性已降低。
提示提升时切换到安全桌面	此策略设置控制是在交互式用户的桌面上还是安全桌面上显示提升请求提示。启用 (默认)：无论管理员和标准用户的提示行为策略设置如何，所有提升请求都会转到安全桌面。禁用：所有提升请求都转到交互式用户的桌面。使用管理员和标准用户的提示行为策略设置。
将文件和注册表写入失败虚拟化到每个用户位置	控制是否将应用程序写入失败重定向到定义的注册表和文件系统位置。此设置可缓解以管理员身份运行的应用程序，并将运行时应用程序数据%ProgramFiles%写入、%Windir%、%Windir%\system32或HKLM\Software。启用 (默认)：应用写入失败在运行时重定向到文件系统和注册表的已定义用户位置。禁用：将数据写入受保护位置的应用失败。

用户帐户控制配置

若要配置 UAC，可以使用：

Microsoft Intune/MDM
组策略
注册表

以下说明提供有关如何配置设备的详细信息。选择最适合需要的选项。

使用设置目录策略配置 UAC

若要使用 Microsoft Intune 配置设备，，并使用类别

Local Policies Security Options

下列出的设置：

将策略分配给安全组，该安全组包含要配置的设备或用户作为成员。

或者，可以通过LocalPoliciesSecurityOptions 策略 CSP使用自定义策略配置设备。
策略设置位于：下。
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions

设置名称	策略 CSP 名称
管理员内置管理员帐户的审批模式	UserAccountControl_UseAdminApprovalMode
允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升	UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
管理员审批模式下管理员的提升提示行为	UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
标准用户的提升提示行为	UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
检测应用程序安装并提示提升	UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
仅提升已签名和验证的可执行文件	UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
仅提升安装在安全位置中的 UIAccess 应用程序	UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
在管理员审批模式下运行所有管理员	UserAccountControl_RunAllAdministratorsInAdminApprovalMode
在提示提升时切换到安全桌面	UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
将文件和注册表写入失败虚拟化到每用户位置	UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

你可以使用安全策略配置用户帐户控制在组织中的工作方式。可以使用本地安全策略管理单元 (
secpol.msc
) 本地配置策略，或者按组策略为域、OU 或特定组配置策略。
策略设置位于：下。
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

组策略设置	默认值
用户帐户控制：内置管理员帐户的管理员审批模式	禁用
用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限	禁用
用户帐户控制: 管理员批准模式中管理员的提升权限提示行为	非 Windows 二进制文件的同意提示
用户帐户控制: 标准用户的提升权限提示行为	提示输入凭据
用户帐户控制: 检测应用程序安装并提示提升权限	仅对家庭版启用 (默认)禁用 (默认)
用户帐户控制: 只提升签名并验证的可执行文件	禁用
用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序	已启用
用户帐户控制: 以管理员批准模式运行所有管理员	已启用
用户帐户控制: 提示提升权限时切换到安全桌面	已启用
用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置	已启用

注册表项位于项下：
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
。

设置名称	注册表项名称	值
内置管理员帐户的管理员审批模式	FilterAdministratorToken	0 (默认) = 禁用1 = 已启用
允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升	EnableUIADesktopToggle	0 (默认) = 禁用1 = 已启用
管理员审批模式下管理员的提升提示行为	ConsentPromptBehaviorAdmin	0 = 提升而不提示1 = 在安全桌面上提示输入凭据2 = 在安全桌面上提示同意3 = 提示输入凭据4 = 同意提示5 (默认) = 提示同意非 Windows 二进制文件
标准用户的提升提示行为	ConsentPromptBehaviorUser	0 = 自动拒绝提升请求1 = 在安全桌面上提示输入凭据3 (默认) = 提示输入凭据
检测应用程序安装并提示提升	EnableInstallerDetection	1 = 启用 (默认仅家庭)0 = 禁用 (默认)
仅提升已签名和验证的可执行文件	ValidateAdminCodeSignatures	0 (默认) = 禁用1 = 已启用
仅提升安装在安全位置中的 UIAccess 应用程序	EnableSecureUIAPaths	0 = 禁用1 (默认) = 已启用
在管理员审批模式下运行所有管理员	EnableLUA	0 = 禁用1 (默认) = 已启用
提示提升时切换到安全桌面	PromptOnSecureDesktop	0 = 禁用1 (默认) = 已启用
将文件和注册表写入失败虚拟化到每个用户位置	EnableVirtualization	0 = 禁用1 (默认) = 已启用
将网络登录优先于缓存登录	InteractiveLogonFirst	0 (默认) = 禁用1 = 已启用

本文原文来自微软官方文档