問題有關UAC

Question

根據通過C <的Windows/C++>：

隨着在Windwos Vista中，如果在 用戶登錄到系統的帳戶 授予高特權，比如管理員， 除安全令牌 對應於這個特權 帳戶，一個篩選的令牌也創建，但只發給一個標準用戶的特權 。

我想知道，如果用戶使用比標準用戶權限更低的帳戶登錄到系統，系統是否仍爲其創建一些額外的過濾器令牌？我認爲這不是必要的，對於這個系統來說這沒有任何意義。

謝謝。

Answer 1

簡短的回答是，除非用戶是管理員，僅單個令牌的存在是爲了表示用戶。

當標準用戶登錄到計算機時，將創建一個新的登錄會話，並向他們顯示一個shell應用程序，例如由系統創建的Windows資源管理器，並通過一個用戶的新創建的登錄會話令牌。這有效地限制了用戶可以執行的操作，因爲Windows資源管理器只能運行這些應用程序，並根據令牌指定的權限和權限訪問用戶登錄會話允許的資源。

當管理員登錄到計算機上的東西是有點不同的，這是在Windows Vista中（和Windows 7）從以前的版本顯着不同。雖然系統會創建一個新的登錄會話，但它不會創建代表相同登錄會話的兩個不同的令牌。第一個令牌授予管理員提供的所有權限和特權，而第二個令牌是受限令牌（有時稱爲已過濾令牌），提供的權限和特權要少得多。這個受限令牌提供的功能和限制與標準用戶所享有的幾乎相同。系統然後使用受限令牌創建shell應用程序。這意味着儘管用戶以管理員身份登錄，但應用程序默認情況下運行的權限和權限有限。

當管理員需要執行需要額外的權限或不授予受限令牌特權的一些任務，他或她可以選擇運行使用無限制的令牌提供完整的安全上下文的應用程序。什麼保護管理員免受惡意代碼的影響是，只有在管理員通過系統提供的安全提示確認了使用非限制令牌的意願後，才允許對非限制令牌的提升。惡意代碼無法抑制此提示，從而在用戶不知情的情況下完全控制計算機。

當，就像它是區別對待的，屬於管理員組的一部分，因爲它不接受擡高提示其他用戶就出現在電腦內置的管理員帳戶登錄。這由組策略設置控制，標題爲「用戶帳戶控制：內置管理員帳戶的管理員批准模式」。管理員審批模式是指要求管理員批准升級到無限制令牌的提升提示。默認情況下，此組策略設置處於禁用狀態，這意味着當內置管理員登錄到計算機時，它只會收到一個不受限制的令牌。如果啓用此組策略設置，那麼內置管理員帳戶將收到一個新的登錄會話，其中包含兩個令牌，就像屬於管理員組的其他用戶一樣。