Как отключить контроль учетных записей в Windows Server 2012 r2

Обновлено: 03.07.2024

Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows Server 2012 R2 Standard Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2012 Foundation Windows Server 2012 Standard Windows Server 2012 Стандартная Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 Datacenter Windows Server 2008 Datacenter без Hyper-V Windows Server 2008 Enterprise Windows Server 2008 Enterprise без Hyper-V Windows Server 2008 Standard Windows Server 2008 Standard без Hyper-V -V Больше. Меньше

Обзор

При определенных обстоятельствах отключение контроля учетных записей (UAC) в Windows Server может быть приемлемой и рекомендуемой практикой. Эти обстоятельства возникают только при соблюдении всех следующих условий:

Только администраторы могут входить на сервер под управлением Windows в интерактивном режиме через консоль или с помощью служб удаленных рабочих столов.

Администраторы входят на сервер под управлением Windows только для выполнения законных функций системного администрирования на сервере.

Если какое-либо из этих условий не выполняется, контроль учетных записей должен оставаться включенным. Например, если сервер включает роль служб удаленных рабочих столов, чтобы пользователи без прав администратора могли входить на сервер для запуска приложений, UAC должен оставаться включенным. Точно так же UAC должен оставаться включенным, если администраторы запускают на сервере опасные приложения, такие как веб-браузеры, почтовые клиенты или клиенты обмена мгновенными сообщениями, или если администраторы выполняют другие операции, которые должны выполняться из клиентской операционной системы, такой как Windows 7.

Это руководство применимо только к операционным системам Windows Server, таким как Windows Server 2008 и Windows Server 2008 R2.

UAC всегда отключен в выпусках Server Core Windows Server 2008 R2 и более поздних версиях, и его всегда следует отключать в Windows Server 2008 Server Core. Для Windows Server 2008 Server Core доступно исправление (KB 969371), предотвращающее случайное включение UAC.

Дополнительная информация

UAC был разработан, чтобы помочь пользователям Windows перейти к использованию стандартных прав пользователя по умолчанию. UAC включает в себя несколько технологий для достижения этой цели. Эти технологии включают следующее::

Виртуализация файлов и реестра. Когда «устаревшее» приложение пытается выполнить запись в защищенные области файловой системы или реестра, Windows незаметно и прозрачно перенаправляет доступ к той части файловой системы или реестра, которую пользователь разрешается изменять. Это позволяет многим приложениям, которым требовались права администратора в более ранних версиях Windows, успешно работать только с правами обычного пользователя в Windows Server 2008 и более поздних версиях.

Повышение прав на том же рабочем столе. Когда авторизованный пользователь запускает программу и повышает ее права, результирующий процесс получает более широкие права, чем права пользователя интерактивного рабочего стола. Комбинируя повышение прав с функцией отфильтрованных токенов UAC (см. следующий пункт), администраторы могут запускать программы со стандартными правами пользователя, а затем повышать права только тех программ, которым требуются административные права с той же учетной записью пользователя. (Эта функция повышения прав одного и того же пользователя также называется режимом одобрения администратором.) Программы также можно запускать с повышенными правами, используя другую учетную запись пользователя, чтобы администратор мог выполнять административные задачи на рабочем столе обычного пользователя.

Фильтрованный токен. Когда пользователь с административными или другими мощными привилегиями или членством в группе входит в систему, Windows создает два токена доступа для представления учетной записи пользователя. «Нефильтрованный» токен имеет все членство в группах и привилегии пользователя, тогда как «фильтрованный» токен представляет пользователя с эквивалентом прав стандартного пользователя. По умолчанию этот отфильтрованный токен используется для запуска программ пользователя. Нефильтрованный токен связан только с программами с повышенными правами. Учетная запись, входящая в группу администраторов и получающая отфильтрованный маркер при входе пользователя в систему, называется учетной записью «Защищенный администратор».

Изоляция привилегий пользовательского интерфейса (UIPI): UIPI не позволяет программе с более низким уровнем привилегий отправлять оконные сообщения, такие как синтетические события мыши или клавиатуры, окну, которое принадлежит процессу с более высоким уровнем привилегий, и тем самым контролировать процесс с более высоким уровнем привилегий. .

Защищенный режим Internet Explorer (PMIE): PMIE — это функция глубокой защиты, при которой Windows Internet Explorer работает в защищенном режиме с низким уровнем привилегий и не может выполнять запись в большинство областей файловой системы или реестра. По умолчанию защищенный режим включается, когда пользователь просматривает сайты в Интернете или в зонах с ограниченным доступом.PMIE затрудняет для вредоносных программ, которые заражают запущенный экземпляр Internet Explorer, возможность изменять настройки пользователя, например, настраивая себя на запуск каждый раз, когда пользователь входит в систему. Имейте в виду, что PMIE на самом деле не является частью UAC. Однако это зависит от функций UAC, таких как UIPI.

Обнаружение установщика: когда новый процесс должен быть запущен без прав администратора, Windows применяет эвристику, чтобы определить, может ли новый процесс быть устаревшей программой установки. Windows предполагает, что устаревшие программы установки, скорее всего, не будут работать без прав администратора. Поэтому Windows заблаговременно запрашивает у интерактивного пользователя повышение прав. Имейте в виду, что если у пользователя нет прав администратора, он не сможет запустить программу.

Если вы отключите параметр политики «Контроль учетных записей пользователей: запуск всех администраторов в режиме одобрения администратором», это отключит все функции контроля учетных записей, описанные в этом разделе. Этот параметр политики доступен через локальную политику безопасности компьютера, параметры безопасности, локальные политики и параметры безопасности. Устаревшие приложения со стандартными правами пользователя, которые ожидают записи в защищенные папки или ключи реестра, не будут работать. Отфильтрованные токены не создаются, и все программы запускаются с полными правами пользователя, вошедшего в систему на компьютере. Сюда входит Internet Explorer, поскольку защищенный режим отключен для всех зон безопасности.

Одним из распространенных заблуждений относительно контроля учетных записей и, в частности, повышения прав на тот же рабочий стол, является то, что оно предотвращает установку вредоносного ПО или получение прав администратора. Во-первых, вредоносное ПО может быть написано так, что не требует прав администратора, а вредоносное ПО может быть написано только для записи в области профиля пользователя. Что еще более важно, повышение прав на тот же рабочий стол в UAC не является границей безопасности и может быть захвачено непривилегированным программным обеспечением, работающим на том же рабочем столе. Повышение прав на тот же рабочий стол следует рассматривать как удобную функцию, а с точки зрения безопасности «Защищенный администратор» следует рассматривать как эквивалент «Администратора». Напротив, использование быстрого переключения пользователей для входа в другой сеанс с использованием учетной записи администратора включает границу безопасности между учетной записью администратора и сеансом стандартного пользователя. Дополнительные сведения о границах безопасности см. в разделе «Ссылки».

Для сервера под управлением Windows, на котором единственной целью интерактивного входа является администрирование системы, цель уменьшения количества запросов на повышение прав невозможна и нежелательна. Для инструментов системного администрирования законно требуются права администратора. Когда все задачи административного пользователя требуют прав администратора, и каждая задача может вызвать запрос на повышение прав, такие запросы только мешают производительности. В этом контексте такие подсказки не способствуют и не могут способствовать развитию приложений, требующих стандартных прав пользователя. Кроме того, такие подсказки не улучшают состояние безопасности. Вместо этого эти подсказки просто побуждают пользователей щелкать диалоговые окна, не читая их.

Учтите, что это руководство применимо только к хорошо управляемым серверам, на которых только пользователи с правами администратора могут входить в систему в интерактивном режиме или через службы удаленного рабочего стола, и только для выполнения законных административных функций. Если администраторы запускают рискованные приложения, такие как веб-браузеры, почтовые клиенты или клиенты обмена мгновенными сообщениями, или выполняют другие операции, которые должны выполняться из клиентской операционной системы, сервер следует рассматривать как эквивалент клиентской системы. В этом случае контроль учетных записей должен оставаться включенным в качестве меры глубокоэшелонированной защиты.

Кроме того, если обычные пользователи входят на сервер с консоли или через службы удаленного рабочего стола для запуска приложений, особенно веб-браузеров, UAC должен оставаться включенным для поддержки виртуализации файлов и реестра, а также защищенного режима Internet Explorer.

Еще один способ избежать запросов на повышение прав без отключения контроля учетных записей — установить для политики безопасности Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором значение Повышение без запроса. При использовании этого параметра запросы на повышение прав автоматически утверждаются, если пользователь является членом группы администраторов. Этот параметр также оставляет включенными PMIE и другие функции UAC. Однако не все операции, требующие прав администратора, требуют повышения прав. Использование этого параметра может привести к повышению прав некоторых пользовательских программ, а другим — нет, без какой-либо возможности их различить. Например, большинство консольных утилит, требующих прав администратора, должны быть запущены из командной строки или другой программы, которая уже имеет повышенные привилегии. Такие утилиты просто терпят неудачу, когда они запускаются из командной строки без повышенных привилегий.

Дополнительные эффекты отключения UAC

Если вы попытаетесь использовать проводник Windows для просмотра каталога, в котором у вас нет разрешений на чтение, проводник предложит изменить разрешения каталога, чтобы предоставить вашей учетной записи пользователя доступ к нему на постоянной основе. Результаты зависят от того, включен ли UAC. Для получения дополнительной информации щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

950934 Когда вы нажимаете «Продолжить» для доступа к папке в проводнике Windows, ваша учетная запись пользователя добавляется в ACL для папки

Если UAC отключен, проводник Windows продолжает отображать значки «щита» UAC для элементов, требующих повышения прав, и включать «Запуск от имени администратора» в контекстных меню приложений и ярлыков приложений. Поскольку механизм повышения прав UAC отключен, эти команды не действуют, и приложения работают в том же контексте безопасности, что и вошедший в систему пользователь.

Если контроль учетных записей включен, при использовании консольной утилиты Runas.exe для запуска программы с использованием учетной записи пользователя, которая подвергается фильтрации токенов, программа запускается с отфильтрованным токеном пользователя. Если контроль учетных записей отключен, запускаемая программа выполняется с полным токеном пользователя.

Если UAC включен, локальные учетные записи, подлежащие фильтрации токенов, нельзя использовать для удаленного администрирования через сетевые интерфейсы, отличные от удаленного рабочего стола (например, через NET USE или WinRM). Локальная учетная запись, которая проходит проверку подлинности через такой интерфейс, получает только те привилегии, которые предоставляются отфильтрованному токену учетной записи. Если UAC отключен, это ограничение снимается. (Ограничение также можно снять с помощью параметра LocalAccountTokenFilterPolicy, описанного в статье 951016 базы знаний Майкрософт.) Удаление этого ограничения может увеличить риск компрометации системы в среде, где многие системы имеют локальную учетную запись администратора с тем же именем пользователя. и пароль. Мы рекомендуем вам убедиться, что другие меры по снижению этого риска используются. Чтобы получить дополнительные сведения о рекомендуемых мерах по снижению риска, перейдите по следующей ссылке:

В фермах SharePoint 2013 в Windows Server 2012 раздражает то, что нам приходится выбирать «Запуск от имени администратора» при каждом открытии центра администрирования, командной строки, командной консоли SharePoint, Windows PowerShell и т. д. такие проблемы, как отсутствие кнопок и ссылок на ленте SharePoint Central Admin, отказ в доступе для администраторов фермы и т. д.

stsadm ошибка отказа в доступе

PowerShell тоже! При запуске SharePoint Management Shell ругается: «Локальная ферма недоступна. Командлеты с featuredependencyId не зарегистрированы». При запуске любых командлетов SharePoint «Не удается получить доступ к локальной ферме. Перед повторной попыткой убедитесь, что локальная ферма правильно настроена, доступна в настоящее время и что у вас есть соответствующие разрешения для доступа к базе данных».

Не удается получить доступ к локальной ферме. Перед повторной попыткой убедитесь, что локальная ферма правильно настроена, доступна и что у вас есть соответствующие разрешения для доступа к базе данных

Несмотря на то, что я являюсь администратором домена и администратором локального сервера, я должен выбрать «Запуск от имени администратора», чтобы избавиться от этих проблем. Я ненавижу щелкать правой кнопкой мыши и каждый раз выбирать «Запуск от имени администратора» в этих программах.

Отключить UAC в Windows Server 2012

Итак, давайте отключим UAC в Windows Server 2012 в два этапа. Вот как:

Но подождите! Мы еще не закончили. Внесите это изменение в реестр!
В отличие от Windows Server 2008 R2, нажатие кнопки UAC на «Никогда не уведомлять» НЕ отключит UAC в Windows Server 2012. Вам нужно внести еще одно исправление в реестр Windows:

  • Откройте редактор реестра Windows (ярлык: Regedit)
  • Перейдите к следующему разделу реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
  • На правой панели найдите значение DWORD «EnableLUA». Дважды щелкните и установите его значение «0» (ноль)
  • Выйдите из редактора реестра и перезапустите сервер.

Исправить реестр можно с помощью PowerShell. Просто запустите эти команды в Windows PowerShell.

Как отключить контроль доступа пользователей Microsoft в Windows 2012

В этом руководстве я проведу вас через несколько шагов, необходимых для отключения контроля доступа пользователей в Windows 2012 Server.

Настройки контроля учетных записей пользователей Microsoft

<р>1. Первый шаг — перейти в панель управления и нажать «Учетные записи пользователей».

Microsoft Windows 2012 Отключить контроль доступа пользователей


2. Нажмите «Изменить настройки контроля учетных записей».

Microsoft Windows 2012 Отключить контроль доступа пользователей


3. Перетащите ползунок до упора вниз, где он показывает Никогда не уведомлять. Нажмите "ОК".


Microsoft Windows 2012 Отключить контроль доступа пользователей

Редактировать

<р>4. Запустите Редакт. Просмотрите папки до:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem. Дважды щелкните EnableLUA справа.

Microsoft Windows 2012 Отключить контроль доступа пользователей


5. Значение 1 означает, что контроль доступа пользователей включен. Значение 0 означает, что контроль доступа пользователей отключен. Введите 0 и нажмите "ОК".

В качестве альтернативы вы можете скопировать и вставить эту команду powershell:
Set-ItemProperty -Path ‘HKLM:SOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem’ -Name EnableLUA -Value 0

Microsoft Windows 2012 Отключить контроль доступа пользователей


6. Как только вы нажмете «ОК» в нижней правой части экрана рядом с часами, вам будет предложено перезагрузить сервер. После перезагрузки контроль доступа пользователей будет отключен.

Microsoft Windows 2012 Отключить контроль доступа пользователей


Заявление об отказе от ответственности:
Все учебные пособия, представленные на этом сайте, выполняются в лабораторных условиях для имитации реального производственного сценария. Поскольку все делается для обеспечения наиболее точных шагов на сегодняшний день, мы не несем ответственности, если вы реализуете какой-либо из этих шагов в производственной среде.

(Контроль учетных записей пользователей) — важный компонент безопасности Windows. Когда вы запускаете какое-либо приложение или процесс, требующий прав администратора, пытаетесь изменить системные настройки, защищенные ключи реестра или системные файлы, компонент UAC переводит рабочий стол в защищенный режим (Secure Desktop) и запрашивает у администратора подтверждение этих действий. Таким образом, UAC помогает предотвратить запуск процессов и вредоносных программ, которые могут нанести вред вашему компьютеру.

На снимке экрана ниже показано, что при попытке запустить редактор реестра ( regedit.exe ) в Windows 10 появляется окно подтверждения UAC:

запрос подтверждения uac на безопасном рабочий стол в Windows 10

UAC не включен для встроенной учетной записи администратора, которая по умолчанию отключена в Windows 10.

В этой статье мы рассмотрим, как управлять настройками UAC на одном компьютере или нескольких компьютерах в домене с помощью групповых политик.

Уровни ползунка управления учетными записями пользователей в Windows 10

В Windows 7 (и новее) настройками UAC на компьютере управляет специальный ползунок (вызывается через панель управления или файл UserAccountControlSettings.exe). С помощью ползунка вы можете выбрать один из четырех предопределенных уровней защиты контроля учетных записей.

  • Уровень 4 — всегда уведомлять — самый высокий уровень защиты UAC;
  • Уровень 3 — уведомлять только тогда, когда программы пытаются внести изменения в мой компьютер (по умолчанию) — уровень защиты по умолчанию;
  • Уровень 2 — уведомлять только тогда, когда программы пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол) — почти так же, как и предыдущий уровень, но без переключения на безопасный рабочий стол с блокировкой рабочего стола;
  • Уровень 1 — Никогда не уведомлять — UAC отключен.

Ползунок UAC в Windows

По умолчанию в Windows 10 используется уровень защиты UAC 3, который отображает уведомление только при попытке изменить системные файлы или настройки.

Как отключить контроль учетных записей пользователей в Windows с помощью GPO?

В большинстве случаев полностью отключать UAC не рекомендуется. Контроль учетных записей пользователей — это простой, но эффективный инструмент безопасности Windows. В своей практике я никогда не отключаю UAC на компьютерах пользователей, не убедившись, что UAC блокирует определенные функции. Даже в этих случаях существуют простые обходные пути, позволяющие отключить UAC для определенного приложения или запускать приложения без прав администратора и подавлять запрос UAC.

Вы можете отключить UAC с помощью групповой политики. На отдельном компьютере можно использовать редактор локальной групповой политики gpedit.msc. Если вам нужно развернуть политику на компьютеры домена, вам нужно использовать Консоль управления групповыми политиками — gpmc.msc (рассмотрим этот вариант).

  1. В консоли управления GPO домена щелкните OU с компьютерами, на которых вы хотите отключить UAC, и создайте новый объект политики;
  2. Редактировать политику и перейти в раздел Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности;
  3. В этом разделе есть несколько параметров, управляющих настройками UAC. Имена этих параметров начинаются с контроля учетных записей пользователей;
  4. Чтобы полностью отключить UAC, установите следующие значения параметров:
    • Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором = повышение без запроса;
    • Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав = отключено;
    • Контроль учетных записей пользователей: запустить всех администраторов в режиме одобрения администратором = Отключено;
    • Контроль учетных записей пользователей: повышать права только приложений UIAccess, установленных в безопасных местах = отключено .
  5. Вам необходимо перезагрузить клиентский компьютер, чтобы обновить параметры групповой политики и отключить контроль учетных записей. После перезагрузки UAC переключится в режим «Никогда не уведомлять».

    6. Вы также можете отключить UAC только для некоторых пользователей/компьютеров через реестр и применить настройки через настройки групповой политики.

    Создайте новый параметр реестра в разделе «Конфигурация компьютера» -> «Настройки» -> «Настройки Windows» -> «Реестр» со следующими параметрами:

    • Действие: заменить
    • Hive: HKEY_LOCAL_MACHINE
    • Путь к ключу: ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Microsoft\Windows\CurrentVersion\Policies\System
    • Имя значения: EnableLUA
    • Тип значения: REG_DWORD
    • Значение данных: 0

    Включить параметр реестра для отключения управления учетными записями пользователей в Windows 10

    Затем перейдите на вкладку "Общие" и включите параметры:

    • Удалить этот элемент, если он больше не применяется.
    • Таргетинг на уровне элемента

    Нажмите кнопку "Нацеливание" и укажите компьютеры или группы безопасности домена, к которым вы хотите применить политику отключения UAC.

    Даже если контроль учетных записей отключен, запуск некоторых приложений может быть заблокирован с сообщением Это приложение заблокировано в целях безопасности.

    Настройки ключа реестра UAC

    Вы можете управлять настройками UAC через реестр. Параметры, отвечающие за поведение контроля учетных записей, находятся в разделе реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System .

    При изменении значения ползунка UAC в Панели управления Windows изменяет значение параметров реестра из этого reg-ключа следующим образом (ниже готовы REG-файлы для разных уровней ползунка контроля учетных записей):

    UAC уровня 4 (Всегда уведомлять):

    UAC уровня 3 (уведомлять только тогда, когда программы пытаются внести изменения в мой компьютер):

    UAC уровня 2:

    Уровень UAC 1 (Никогда не уведомлять — полностью отключить UAC):

    параметры реестра uac

    Вы можете изменить значение любого параметра с помощью графического интерфейса редактора реестра или из командной строки. Например, чтобы отключить UAC на компьютере (требуется перезагрузка), можно выполнить команду:

    reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.

    Или аналогичная команда PowerShell:

    New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force

    В этом потоке есть еще один параметр реестра, LocalAccountTokenFilterPolicy, который часто называют Remote UAC. Этот параметр ограничивает удаленные подключения к административным общим ресурсам по умолчанию под локальными учетными записями пользователей с правами администратора.

    Контроль учетных записей пользователей в Windows Server

    Контроль учетных записей пользователей в Windows Server работает и управляется так же, как и в настольных версиях Windows.

    В Windows Server 2016/2019 можно полностью отключить UAC, если выполняются следующие условия:

    • Только администраторы имеют удаленный доступ к рабочему столу сервера (доступ RDP к серверу для пользователей без прав администратора должен быть отключен). На хостах RDS оставьте UAC включенным;
    • Администраторы должны использовать Windows Server только для задач административного управления. Администратор должен работать с офисными документами, мессенджерами, веб-браузерами только на рабочей станции под учетной записью непривилегированного пользователя с включенным UAC, а не на серверах (см. статью о лучших практиках защиты учетных записей администраторов).

    Когда UAC включен, Windows Server не позволяет удаленно подключаться под учетными записями локального компьютера (через использование сети, winrm, удаленное взаимодействие Powershell). Токен пользователя будет отфильтрован с помощью включенного параметра UAC LocalAccountTokenFilterPolicy (описанного в предыдущем разделе).

    Ползунок UAC и настройки групповой политики

    Вы можете управлять настройками UAC как с помощью ползунка, так и с помощью объекта групповой политики. Но единого параметра групповой политики, позволяющего выбрать один из четырех уровней защиты UAC (соответствующий положению ползунка UAC), не существует. Вместо этого предлагается управлять настройками UAC, используя 10 различных параметров GPO. Эти политики находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности. Параметры групповой политики, связанные с контролем учетных записей, начинаются с контроля учетных записей.

    Политика контроля учетных записей

    В следующей таблице показан список параметров групповой политики UAC и соответствующих им регистрационных ключей.

    < td width="215">EnableLUA
    Имя политики Параметр реестра, установленный политикой
    Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора FilterAdministratorToken
    Контроль учетных записей пользователей: разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола EnableUIADesktopToggle
    Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором ConsentPromptBehaviorAdmin
    Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей ConsentPromptBehaviorUser
    Контроль учетных записей: обнаружение приложения установки и запрос на повышение прав EnableInstallerDetection
    Контроль учетных записей пользователей: только повышение подписанные и проверенные исполняемые файлы ValidateAdminCodeSignatures
    Контроль учетных записей пользователей: повышать права только приложений UIAccess, установленных в безопасные местоположения EnableSecureUIAPaths
    Контроль учетных записей пользователей: запускайте всех администраторов в режиме одобрения администратором
    Контроль учетных записей: переключение на безопасный рабочий стол при запросе повышения прав PromptOnSecureDesktop
    Контроль учетных записей пользователей: виртуализация ошибок записи файлов и реестра в местоположения для каждого пользователя EnableVirtualization

    По умолчанию UAC уровня 3 использует следующие параметры групповой политики:

    Уровень 3 контроля учетных записей (по умолчанию)

    Режим одобрения администратором для встроенной учетной записи администратора = Отключено
    Разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола = Отключено
    Поведение запроса на повышение прав для администраторов в режиме одобрения администратором = Подсказка для получения согласия на двоичные файлы, отличные от Windows
    Поведение запроса на повышение прав для обычных пользователей = Запрос учетных данных на безопасном рабочем столе
    Обнаружение установки приложений и запрос на повышение прав = Включено (для рабочей группы), Отключено (для домена) подключенное устройство Windows)
    Повышать права только подписанных и проверенных исполняемых файлов = Отключено
    Повышать права только приложений UIAccess, установленных в безопасных местах = Включено
    Запускать всех администраторов в режиме одобрения администратором = Включено
    >Переключиться на безопасный рабочий стол при запросе на повышение прав = Включено
    Виртуализировать ошибки записи файлов и реестра в расположения для каждого пользователя = Включено

    Читайте также: