Отключить UAC Windows Server 2019
Обновлено: 21.11.2024
Это решение требует глубоких знаний операционной системы вашего компьютера. Обратитесь за помощью к системному администратору. Неправильное изменение реестра Windows может серьезно повлиять на работу системы. Sage не несет ответственности за проблемы в работе, вызванные неправильным изменением реестра Windows. Всегда создавайте резервную копию своих данных, прежде чем приступать к расширенным решениям.
Разрешение
Раздел I. Изменение настроек Windows
- Нажмите кнопку "Пуск" в Windows и в поле поиска введите UAC.
- Выберите «Изменить настройки контроля учетных записей».
- Переместите ползунок вниз, чтобы выбрать "Никогда не уведомлять", и нажмите "ОК".
- При появлении запроса "Разрешить этому приложению вносить изменения на вашем устройстве?" нажмите "Да".
- Перезагрузите компьютер, чтобы изменения вступили в силу.
Примечание. В Windows 8, 10, Server 2012, Server 2016 и Server 2019 это не отключает UAC полностью, а только снижает его функциональность; полное отключение UAC осуществляется через реестр Windows или редактор групповой политики. Это не рекомендуется. После завершения необходимой задачи вам потребуется снова включить UAC, чтобы это не повлияло на использование приложений Metro, таких как Calc — приложение-калькулятор. Любое приложение Metro будет повреждено, если ключ реестра будет изменен.
Раздел II. Отключите UAC в реестре. Сначала создайте резервную копию реестра; см. статью ID 13061: Как создать резервную копию или восстановить ключи реестра в редакторе реестра Windows?
ВНИМАНИЕ: не рекомендуется постоянно отключать UAC в Windows 8, 10 и Server 2012/2016/2019. После завершения необходимой задачи вам следует снова включить UAC, чтобы это не повлияло на использование приложений Metro, таких как Calc — приложение-калькулятор. Любое приложение Metro будет отключено, если ключ реестра останется в измененном состоянии.
- Нажмите кнопку "Пуск" в Windows.
- В поле поиска введите regedit и нажмите Enter.
- Нажмите «Да», если будет предложено.
- Выберите «Файл», «Экспорт», а затем сохраните резервную копию в удобном для вас месте.
- Перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- На правой панели дважды щелкните EnableLUA.
- Изменить значение данных на 0
- Нажмите "ОК".
- Закрыть редактор реестра
- Перезагрузите компьютер
Примечание. Чтобы снова включить UAC, повторите эти шаги, но на шаге 7 измените значение данных на 1
Самый простой способ отключить UAC (контроль учетных записей) в Windows Server 2019 — изменить раздел реестра на сервере. Вы можете использовать этот reg-файл для отключения UAC. Просто дважды щелкните файл реестра, и настройки будут импортированы на машину. Этот сценарий также можно использовать в Windows Server 2012 R2 и Windows Server 2016. При определенных ограниченных обстоятельствах отключение контроля учетных записей (UAC) в Windows Server может быть приемлемой и рекомендуемой практикой (пример: согласованное резервное копирование). Эти обстоятельства возникают только при соблюдении всех следующих условий: только администраторам разрешено входить на сервер под управлением Windows в интерактивном режиме с консоли или с помощью служб удаленных рабочих столов, а администраторы могут входить на сервер под управлением Windows только для административные функции на сервере.
Ручная процедура отключения UAC приведена ниже:
Скачать скрипт: здесь
Затем запустите скрипт и напишите «Да» для подтверждения:
Вы можете проверить данные значения, открыв интерфейс «regedit»:
Служба теневого копирования томов Microsoft (VSS) — это встроенная инфраструктура Windows для резервного копирования приложений. Являясь родной службой Windows, VSS упрощает создание согласованного представления данных приложения во время резервного копирования. VSS опирается на координацию между запрашивающими, записывающими и поставщиками VSS для приостановки или «замалчивания» дискового тома, чтобы можно было успешно получить резервную копию без повреждения данных. Собственный VSS используется для резервного копирования виртуальных машин VMware и Hyper-V, а также для их восстановления на определенный момент времени… Например, для программного обеспечения Veeam Backup and Replication необходимо включить опцию «обработка с учетом приложений» (VSS), чтобы обеспечить согласованность приложений. резервного копирования для приложений с поддержкой VSS (SQL, AD, Exchange, SharePoint, Oracle Windows), а также согласованность «файловой системы» для виртуальных машин Windows.
(Контроль учетных записей пользователей) — важный компонент безопасности Windows.Когда вы запускаете какое-либо приложение или процесс, требующий прав администратора, пытаетесь изменить системные настройки, защищенные ключи реестра или системные файлы, компонент UAC переводит рабочий стол в защищенный режим (Secure Desktop) и запрашивает у администратора подтверждение этих действий. Таким образом, UAC помогает предотвратить запуск процессов и вредоносных программ, которые могут нанести вред вашему компьютеру.
На снимке экрана ниже показано, что при попытке запустить редактор реестра ( regedit.exe ) в Windows 10 появляется окно подтверждения UAC:
UAC не включен для встроенной учетной записи администратора, которая по умолчанию отключена в Windows 10.
В этой статье мы рассмотрим, как управлять настройками UAC на одном компьютере или нескольких компьютерах в домене с помощью групповых политик.
Уровни ползунка управления учетными записями пользователей в Windows 10
В Windows 7 (и новее) настройками UAC на компьютере управляет специальный ползунок (вызывается через панель управления или файл UserAccountControlSettings.exe). С помощью ползунка вы можете выбрать один из четырех предопределенных уровней защиты контроля учетных записей.
- Уровень 4 — всегда уведомлять — самый высокий уровень защиты UAC;
- Уровень 3 — уведомлять только тогда, когда программы пытаются внести изменения в мой компьютер (по умолчанию) — уровень защиты по умолчанию;
- Уровень 2 — уведомлять только тогда, когда программы пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол) — почти так же, как и предыдущий уровень, но без переключения на безопасный рабочий стол с блокировкой рабочего стола;
- Уровень 1 — Никогда не уведомлять — UAC отключен.
По умолчанию в Windows 10 используется уровень защиты UAC 3, который отображает уведомление только при попытке изменить системные файлы или настройки.
Как отключить контроль учетных записей пользователей в Windows с помощью GPO?
В большинстве случаев полностью отключать UAC не рекомендуется. Контроль учетных записей пользователей — это простой, но эффективный инструмент безопасности Windows. В своей практике я никогда не отключаю UAC на компьютерах пользователей, не убедившись, что UAC блокирует определенные функции. Даже в этих случаях существуют простые обходные пути, позволяющие отключить UAC для определенного приложения или запускать приложения без прав администратора и подавлять запрос UAC.
Вы можете отключить UAC с помощью групповой политики. На отдельном компьютере можно использовать редактор локальной групповой политики gpedit.msc. Если вам нужно развернуть политику на компьютеры домена, вам нужно использовать Консоль управления групповыми политиками — gpmc.msc (рассмотрим этот вариант).
- В консоли управления GPO домена щелкните OU с компьютерами, на которых вы хотите отключить UAC, и создайте новый объект политики;
- Редактировать политику и перейти в раздел Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности;
- В этом разделе есть несколько параметров, управляющих настройками UAC. Имена этих параметров начинаются с контроля учетных записей пользователей;
- Чтобы полностью отключить UAC, установите следующие значения параметров:
- Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором = повышение без запроса;
- Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав = отключено;
- Контроль учетных записей пользователей: запустить всех администраторов в режиме одобрения администратором = Отключено;
- Контроль учетных записей пользователей: повышать права только приложений UIAccess, установленных в безопасных местах = отключено .
- Вам необходимо перезагрузить клиентский компьютер, чтобы обновить параметры групповой политики и отключить контроль учетных записей. После перезагрузки UAC переключится в режим «Никогда не уведомлять». ол>р>
- Действие: заменить
- Hive: HKEY_LOCAL_MACHINE
- Путь к ключу: ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Microsoft\Windows\CurrentVersion\Policies\System
- Имя значения: EnableLUA
- Тип значения: REG_DWORD
- Значение данных: 0
- Удалить этот элемент, если он больше не применяется.
- Таргетинг на уровне элемента
- Только администраторы имеют удаленный доступ к рабочему столу сервера (доступ RDP к серверу для пользователей без прав администратора должен быть отключен). На хостах RDS оставьте UAC включенным;
- Администраторы должны использовать Windows Server только для задач административного управления. Администратор должен работать с офисными документами, мессенджерами, веб-браузерами только на рабочей станции под учетной записью непривилегированного пользователя с включенным UAC, а не на серверах (ознакомьтесь со статьей о лучших практиках защиты учетных записей администраторов).
Вы также можете отключить UAC только для некоторых пользователей/компьютеров через реестр и применить настройки через настройки групповой политики.
Создайте новый параметр реестра в разделе «Конфигурация компьютера» -> «Настройки» -> «Настройки Windows» -> «Реестр» со следующими параметрами:
Затем перейдите на вкладку "Общие" и включите параметры:
Нажмите кнопку "Нацеливание" и укажите компьютеры или группы безопасности домена, к которым вы хотите применить политику отключения UAC.
Даже если контроль учетных записей отключен, запуск некоторых приложений может быть заблокирован с сообщением Это приложение заблокировано в целях безопасности.
Настройки ключа реестра UAC
Вы можете управлять настройками UAC через реестр. Параметры, отвечающие за поведение контроля учетных записей, находятся в разделе реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System .
При изменении значения ползунка UAC в Панели управления Windows изменяет значение параметров реестра из этого reg-ключа следующим образом (ниже готовы REG-файлы для разных уровней ползунка контроля учетных записей): р>
UAC уровня 4 (Всегда уведомлять):
UAC уровня 3 (уведомлять только тогда, когда программы пытаются внести изменения в мой компьютер):
UAC уровня 2:
Уровень UAC 1 (Никогда не уведомлять — полностью отключить UAC):
Вы можете изменить значение любого параметра с помощью графического интерфейса редактора реестра или из командной строки. Например, чтобы отключить UAC на компьютере (требуется перезагрузка), можно выполнить команду:
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.
Или аналогичная команда PowerShell:
New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force
В этом потоке есть еще один параметр реестра, LocalAccountTokenFilterPolicy, который часто называют Remote UAC. Этот параметр ограничивает удаленные подключения к административным общим ресурсам по умолчанию под локальными учетными записями пользователей с правами администратора.
Контроль учетных записей пользователей в Windows Server
Контроль учетных записей пользователей в Windows Server работает и управляется так же, как и в настольных версиях Windows.
В Windows Server 2016/2019 можно полностью отключить UAC, если выполняются следующие условия:
Когда UAC включен, Windows Server не позволяет удаленно подключаться под учетными записями локального компьютера (через использование сети, winrm, удаленное взаимодействие Powershell). Токен пользователя будет отфильтрован с помощью включенного параметра UAC LocalAccountTokenFilterPolicy (описанного в предыдущем разделе).
Ползунок UAC и настройки групповой политики
Вы можете управлять настройками UAC как с помощью ползунка, так и с помощью объекта групповой политики. Но единого параметра групповой политики, позволяющего выбрать один из четырех уровней защиты UAC (соответствующий положению ползунка UAC), не существует. Вместо этого предлагается управлять настройками UAC, используя 10 различных параметров GPO. Эти политики находятся в следующем разделе редактора GPO: Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности. Параметры групповой политики, связанные с контролем учетных записей, начинаются с контроля учетных записей.
В следующей таблице показан список параметров групповой политики UAC и соответствующие им регистровые ключи.
Имя политики | Параметр реестра, установленный политикой |
Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора | FilterAdministratorToken |
Контроль учетных записей пользователей: разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола | EnableUIADesktopToggle |
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором | ConsentPromptBehaviorAdmin |
Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей | ConsentPromptBehaviorUser |
Контроль учетных записей: обнаружение приложения установки и запрос на повышение прав | EnableInstallerDetection |
Контроль учетных записей пользователей: только повышение подписанные и проверенные исполняемые файлы | ValidateAdminCodeSignatures |
Контроль учетных записей пользователей: повышать права только приложений UIAccess, установленных в безопасные местоположения | EnableSecureUIAPaths |
Контроль учетных записей пользователей: запускайте всех администраторов в режиме одобрения администратором | < td width="215">EnableLUA|
Контроль учетных записей: переключение на безопасный рабочий стол при запросе повышения прав | PromptOnSecureDesktop |
Контроль учетных записей пользователей: виртуализация ошибок записи файлов и реестра в местоположения для каждого пользователя | EnableVirtualization |
По умолчанию UAC уровня 3 использует следующие параметры групповой политики:
Уровень 3 контроля учетных записей (по умолчанию)
Режим одобрения администратором для встроенной учетной записи администратора = Отключено
Разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола = Отключено
Поведение запроса на повышение прав для администраторов в режиме одобрения администратором = Подсказка для получения согласия на двоичные файлы, отличные от Windows
Поведение запроса на повышение прав для обычных пользователей = Запрос учетных данных на безопасном рабочем столе
Обнаружение установки приложений и запрос на повышение прав = Включено (для рабочей группы), Отключено (для домена) подключенное устройство Windows)
Повышать права только подписанных и проверенных исполняемых файлов = Отключено
Повышать права только приложений UIAccess, установленных в безопасных местах = Включено
Запускать всех администраторов в режиме одобрения администратором = Включено
>Переключиться на безопасный рабочий стол при запросе на повышение прав = Включено
Виртуализировать ошибки записи файлов и реестра в расположения для каждого пользователя = Включено
Отключение контроля учетных записей с помощью групповой политики Функция контроля учетных записей пользователей в основном направлена на повышение безопасности Microsoft Windows путем ограничения прикладного программного обеспечения стандартными привилегиями пользователя до тех пор, пока администратор не авторизует увеличение или повышение прав. Таким образом, только приложения, которым доверяет пользователь, могут получить административные привилегии, а вредоносное ПО должно быть защищено от компрометации операционной системы. Другими словами, учетной записи пользователя могут быть назначены привилегии администратора, но приложения, которые запускает пользователь, не наследуют эти привилегии, если только они не утверждены заранее или пользователь явно не авторизует их. Если у вас есть права администратора на вашем ПК, вы также можете точно настроить параметры уведомлений UAC в панели управления.
Когда на вашем компьютере будут внесены изменения, требующие разрешения на уровне администратора, UAC уведомит вас. Если вы являетесь администратором, вы можете нажать Да, чтобы продолжить. Если вы не являетесь администратором, кто-то с учетной записью администратора на компьютере должен будет ввести свой пароль, чтобы вы могли продолжить. Если вы даете разрешение, вам временно предоставляются права администратора для выполнения задачи, а затем ваши права возвращаются обратно к правам обычного пользователя. Это делает так, что даже если вы используете учетную запись администратора, изменения на вашем компьютере не могут быть внесены без вашего ведома, что может помочь предотвратить установку вредоносного программного обеспечения (вредоносных программ) и шпионских программ или внесение изменений в ваш компьютер.
Отключить контроль учетных записей пользователей с помощью групповой политики
Мы создадим групповую политику и определим параметры для отключения UAC.
Сначала откройте консоль диспетчера серверов и щелкните Инструменты. Теперь нажмите «Управление групповой политикой» в раскрывающемся списке. Щелкните правой кнопкой мыши домен и выберите «Создать объект групповой политики в этом домене» и свяжите его здесь. Укажите подходящее имя для объекта групповой политики, щелкните правой кнопкой мыши политику и выберите «Изменить».
В редакторе GPMC щелкните Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности. На правой панели есть много настроек, которые вы видите, поэтому вам нужно изменить следующие политики.
1) Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором = щелкните правой кнопкой мыши параметр политики, выберите «Свойства». Установите флажок Определить этот параметр политики и выберите Повышение уровня без запроса.
2) Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав = щелкните параметр политики правой кнопкой мыши, выберите «Свойства». Установите флажок Определить этот параметр политики и выберите Отключено.
3) Контроль учетных записей пользователей: запустите всех администраторов в режиме одобрения администратором = щелкните правой кнопкой мыши параметр политики, выберите «Свойства». Установите флажок Определить этот параметр политики и выберите Отключено.
Запустите gpupdate /force на клиентском компьютере Windows. Вошедшие в систему пользователи могут увидеть уведомление о том, что для отключения контроля учетных записей требуется перезагрузка. После перезагрузки клиентского компьютера вы увидите, что для UAC установлено значение Никогда не уведомлять на клиентском компьютере.
Праджвал Десаи
Праджвал Десаи — Microsoft MVP в области корпоративной мобильности. Имея за плечами более 10 лет опыта написания контента, это одно из его любимых занятий. Его цель — писать исчерпывающие посты и руководства, всегда стремясь помочь людям важной информацией.
Читайте также: