Параметры и конфигурация контроля учетных записей

Применяется к: ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Список параметров контроля учетных записей пользователей

В следующем списке показаны доступные параметры для настройки поведения UAC и их значения по умолчанию.

Администратор режим утверждения для встроенной учетной записи администратора. Управляет поведением режима утверждения Администратор для встроенной учетной записи администратора.
- Включено: встроенная учетная запись администратора использует режим утверждения Администратор. По умолчанию любая операция, требующая повышения привилегий, запрашивает у пользователя подтверждение операции.
- Отключено (по умолчанию): встроенная учетная запись администратора запускает все приложения с полными правами администратора.
Разрешить приложениям UIAccess запрашивать повышение прав без использования защищенного рабочего стола. Определяет, могут ли программы специальных возможностей пользовательского интерфейса (UIAccess или UIA) автоматически отключать защищенный рабочий стол для запросов на повышение прав, используемых обычным пользователем.
- Включено: программы UIA, включая удаленный помощник, автоматически отключают защищенный рабочий стол для запросов на повышение прав. Если не отключить параметр политики Переключение на безопасный рабочий стол при запросе повышения прав , запросы отображаются на интерактивном рабочем столе пользователя, а не на защищенном рабочем столе. Этот параметр позволяет удаленному администратору предоставить соответствующие учетные данные для повышения прав. Этот параметр политики не изменяет поведение запроса на повышение прав учетных записей учетных записей для администраторов. Если вы планируете включить этот параметр политики, следует также проверить влияние параметра политики Поведение запроса на повышение прав для стандартных пользователей . Если задано значение Автоматическое запретить запросы на повышение прав, запросы на повышение прав не будут представлены пользователю.
- Отключено (по умолчанию): безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики Переключение на безопасный рабочий стол при запросе на повышение прав .
Поведение запроса на повышение прав для администраторов в режиме утверждения Администратор. Управляет поведением запроса на повышение прав для администраторов.
- Повышение уровня без запроса. Позволяет привилегированным учетным записям выполнять операцию, требующую повышения прав, не требуя согласия или учетных данных. Используйте этот параметр только в средах с самыми ограниченными ограничениями.
- Запрос учетных данных на защищенном рабочем столе. Если для операции требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено ввести привилегированное имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с наивысшими доступными привилегиями пользователя.
- Запрос согласия на безопасном рабочем столе. Если для операции требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или запретить. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
- Запрос учетных данных. Если операция требует повышения привилегий, пользователю будет предложено ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
- Запрос на согласие. Если для операции требуется повышение привилегий, пользователю предлагается выбрать разрешить или запретить. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
- Запрос согласия для двоичных файлов, отличных от Windows (по умолчанию): если для операции для приложения, отличного от Майкрософт, требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или Запрет. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
Поведение запроса на повышение прав для стандартных пользователей. Управляет поведением запроса на повышение прав для стандартных пользователей.
- Запрос учетных данных (по умолчанию): если для операции требуется повышение привилегий, пользователю будет предложено ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
- Автоматическое отклонение запросов на повышение прав. Если для операции требуется повышение привилегий, отображается сообщение об ошибке с настраиваемым доступом об отказе. Предприятие, использующее настольные компьютеры в качестве стандартного пользователя, может выбрать этот параметр, чтобы сократить количество обращений в службу поддержки.
- Запрос учетных данных на защищенном рабочем столе. Если для операции требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено ввести другое имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
Обнаружение установок приложений и запрос на повышение прав. Управляет поведением обнаружения установки приложений для компьютера.
- Включено (по умолчанию): при обнаружении пакета установки приложения, требующего повышения привилегий, пользователю предлагается ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
- Отключено: пакеты установки приложений не обнаруживаются и не запрашиваются повышение прав. Предприятия, использующие стандартные рабочие столы пользователей и использующие делегированные технологии установки, такие как Microsoft Intune, должны отключить этот параметр политики. В этом случае обнаружение установщика не требуется.
Повышение уровня только для подписанных и проверенных исполняемых файлов: принудительно проверяет сигнатуры для всех интерактивных приложений, которые запрашивают повышение привилегий. ИТ-администраторы могут контролировать, какие приложения разрешено запускать, добавляя сертификаты в хранилище сертификатов доверенных издателей на локальных устройствах.
- Включено: принудительно проверяет путь сертификации сертификата для заданного исполняемого файла, прежде чем он будет разрешен к запуску.
- Отключено (по умолчанию): не применяет проверку пути сертификации сертификата перед запуском данного исполняемого файла.
Повышение уровня прав только для приложений UIAccess, установленных в безопасных расположениях. Определяет, должны ли приложения, запрашивающие выполнение с уровнем целостности пользовательского интерфейса (UIAccess), находиться в безопасном расположении в файловой системе.
- Включено (по умолчанию): если приложение находится в безопасном расположении в файловой системе, оно выполняется только с целостностью UIAccess.
- Отключено: приложение выполняется с целостностью UIAccess, даже если оно не находится в безопасном расположении в файловой системе.
Безопасные расположения ограничены следующими папками:
- %ProgramFiles%, включая вложенные папки
- %SystemRoot%\system32\
- %ProgramFiles(x86)%, включая вложенные папки
Примечание.

Windows применяет цифровую подпись проверка для всех интерактивных приложений, которые запрашивают выполнение с уровнем целостности UIAccess независимо от состояния этого параметра.
Запуск всех администраторов в режиме утверждения Администратор. Управляет поведением всех параметров политики UAC.
- Включено (по умолчанию): режим утверждения Администратор включен. Эта политика должна быть включена и настроены соответствующие параметры контроля учетных записей. Политика позволяет встроенной учетной записи администратора и членам группы администраторов работать в режиме утверждения Администратор.
- Отключено: Администратор режим утверждения и все связанные параметры политики контроля учетных записей отключены. Заметка: Если этот параметр политики отключен, Безопасность Windows уведомляет вас о снижении общей безопасности операционной системы.
Переключение на защищенный рабочий стол при запросе повышения прав. Этот параметр политики определяет, будет ли запрос на повышение прав отображаться на рабочем столе интерактивного пользователя или на защищенном рабочем столе.
- Включено (по умолчанию): все запросы на повышение прав отправляются на безопасный рабочий стол независимо от параметров политики поведения запроса для администраторов и стандартных пользователей.
- Отключено: все запросы на повышение прав переходят на рабочий стол интерактивного пользователя. Используются параметры политики поведения запроса для администраторов и обычных пользователей.
Виртуализация ошибок записи файлов и реестра в расположениях для каждого пользователя. Определяет, перенаправляются ли сбои записи приложений в определенные расположения реестра и файловой системы. Этот параметр устраняет проблемы с приложениями, которые выполняются от имени администратора и записывают данные приложения во время выполнения в %ProgramFiles%, %Windir%, %Windir%\system32или HKLM\Software.
- Включено (по умолчанию): ошибки записи приложений перенаправляются во время выполнения в определенные расположения пользователей для файловой системы и реестра.
- Отключено. Приложения, записывющие данные в защищенные расположения, завершаются сбоем.

Настройка контроля учетных записей пользователей

Чтобы настроить контроль учетных записей, можно использовать:

Microsoft Intune
CSP
Групповая политика
Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте параметры, перечисленные в категории Local Policies Security Options:

Назначьте политику группе безопасности, содержащей в качестве участников устройства или пользователей, которые требуется настроить.

Устройства можно настроить с помощью CSP политики LocalPoliciesSecurityOptions.

Параметр	Имя поставщика служб CSP
Администратор режим утверждения для встроенной учетной записи администратора	`UserAccountControl_UseAdminApprovalMode`
Разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола	`UserAccountControl_AllowUIAccessApplicationsToPromptForElevation`
Поведение запроса повышения прав для администраторов в режиме утверждения Администратор	`UserAccountControl_BehaviorOfTheElevationPromptForAdministrators`
Поведение запроса на повышение прав для обычных пользователей	`UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers`
Обнаружение установок приложений и запрос на повышение прав	`UserAccountControl_DetectApplicationInstallationsAndPromptForElevation`
Повышение прав только для подписанных и проверенных исполняемых файлов	`UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated`
Повышение привилегий только для приложений UIAccess, установленных в безопасных расположениях	`UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations`
Запуск всех администраторов в режиме утверждения Администратор	`UserAccountControl_RunAllAdministratorsInAdminApprovalMode`
Переключение на защищенный рабочий стол при запросе повышения прав	`UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation`
Сбои виртуализации файлов и реестра в расположениях для отдельных пользователей	`UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations`

Можно использовать политики безопасности, чтобы настроить работу контроля учетных записей в вашей организации. Политики можно настроить локально с помощью оснастки "Локальная политика безопасности" (secpol.msc) или настроить для домена, подразделения или определенных групп по групповой политике.

Параметры политики находятся в разделе . Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Параметр групповой политики	Значение по умолчанию
Контроль учетных записей пользователей: режим утверждения Администратор для встроенной учетной записи администратора	Отключено
Контроль учетных записей пользователей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол	Отключено
Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором	Запрос согласия для двоичных файлов, отличных от Windows
Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей	Запрос учетных данных
Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав	Включено (по умолчанию только для домашнего выпуска) Отключено (по умолчанию)
Контроль учетных записей пользователей: повышение прав только для подписанных и проверенных исполняемых файлов	Отключено
Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах	Enabled
Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором	Enabled
Контроль учетных записей пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав	Enabled
Контроль учетных записей: виртуализация сбоев записи в файл или реестр на основании расположений пользователя	Enabled

Разделы реестра находятся в разделе : HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Имя параметра	Имя раздела реестра	Значение
Администратор режим утверждения для встроенной учетной записи администратора	`FilterAdministratorToken`	0 (по умолчанию) = отключено 1 = включено
Разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола	`EnableUIADesktopToggle`	0 (по умолчанию) = отключено 1 = включено
Поведение запроса повышения прав для администраторов в режиме утверждения Администратор	`ConsentPromptBehaviorAdmin`	0 = повышение уровня без запроса 1 = запрос учетных данных на защищенном рабочем столе 2 = запрос согласия на безопасном рабочем столе 3 = запрос учетных данных 4 = запрос на согласие 5 (по умолчанию) = запрос на согласие для двоичных файлов, отличных от Windows
Поведение запроса на повышение прав для обычных пользователей	`ConsentPromptBehaviorUser`	0 = автоматически отклонять запросы на повышение прав 1 = запрос учетных данных на защищенном рабочем столе 3 (по умолчанию) = запрос учетных данных
Обнаружение установок приложений и запрос на повышение прав	`EnableInstallerDetection`	1 = включено (по умолчанию только для дома) 0 = отключено (по умолчанию)
Повышение прав только для подписанных и проверенных исполняемых файлов	`ValidateAdminCodeSignatures`	0 (по умолчанию) = отключено 1 = включено
Повышение привилегий только для приложений UIAccess, установленных в безопасных расположениях	`EnableSecureUIAPaths`	0 = отключено 1 (по умолчанию) = включено
Запуск всех администраторов в режиме утверждения Администратор	`EnableLUA`	0 = отключено 1 (по умолчанию) = включено
Переключение на защищенный рабочий стол при запросе повышения прав	`PromptOnSecureDesktop`	0 = отключено 1 (по умолчанию) = включено
Сбои виртуализации файлов и реестра в расположениях для отдельных пользователей	`EnableVirtualization`	0 = отключено 1 (по умолчанию) = включено
Приоритет сетевых входов над кэшируемыми входами	`InteractiveLogonFirst`	0 (по умолчанию) = отключено 1 = включено

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-05-16

Параметры и конфигурация контроля учетных записей

Список параметров контроля учетных записей пользователей

Настройка контроля учетных записей пользователей

Обратная связь

Дополнительные ресурсы