Поделиться через


Параметры и конфигурация контроля учетных записей

Список параметров контроля учетных записей пользователей

В следующей таблице перечислены доступные параметры для настройки поведения UAC и их значения по умолчанию.

Имя параметра Описание
Администратор режим утверждения для встроенной учетной записи администратора Управляет поведением режима утверждения Администратор для встроенной учетной записи администратора.

Включено: встроенная учетная запись администратора использует режим утверждения Администратор. По умолчанию любая операция, требующая повышения привилегий, предлагает пользователю утвердить операцию.
Отключено (по умолчанию): встроенная учетная запись администратора запускает все приложения с полными правами администратора.
Разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола Определяет, могут ли программы специальных возможностей пользовательского интерфейса (UIAccess или UIA) автоматически отключать защищенный рабочий стол для запросов на повышение прав, используемых обычным пользователем.

Включено: программы UIA, включая удаленный помощник, автоматически отключают защищенный рабочий стол для запросов на повышение прав. Если не отключить параметр политики Переключение на безопасный рабочий стол при запросе повышения прав , запросы отображаются на интерактивном рабочем столе пользователя, а не на защищенном рабочем столе. Этот параметр позволяет удаленному администратору предоставить соответствующие учетные данные для повышения прав. Этот параметр политики не изменяет поведение запроса на повышение прав учетных записей учетных записей для администраторов. Если вы планируете включить этот параметр политики, следует также проверить влияние параметра политики Поведение запроса на повышение прав для стандартных пользователей : если он настроен как Автоматически отклонять запросы на повышение прав, запросы на повышение прав не отображаются пользователю.
Отключено (по умолчанию): безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики Переключение на безопасный рабочий стол при запросе на повышение прав .
Поведение запроса повышения прав для администраторов в режиме утверждения Администратор Управляет поведением запроса на повышение прав для администраторов.

Повышение уровня без запроса. Позволяет привилегированным учетным записям выполнять операцию, требующую повышения прав, не требуя согласия или учетных данных. Используйте этот параметр только в средах с самыми ограниченными ограничениями.
Запрос учетных данных на защищенном рабочем столе. Если для операции требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено ввести привилегированное имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с наивысшими доступными привилегиями пользователя.
Запрос согласия на безопасном рабочем столе. Если для операции требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или запретить. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
Запрос учетных данных. Если операция требует повышения привилегий, пользователю будет предложено ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
Запрос на согласие. Если для операции требуется повышение привилегий, пользователю предлагается выбрать разрешить или запретить. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
Запрос согласия для двоичных файлов, отличных от Windows (по умолчанию): если для операции для приложения, отличного от Майкрософт, требуется повышение привилегий, пользователю на защищенном рабочем столе будет предложено выбрать разрешение или Запрет. Если пользователь выбирает Разрешение, операция продолжается с наивысшими доступными привилегиями пользователя.
Поведение запроса на повышение прав для обычных пользователей Управляет поведением запроса на повышение прав для обычных пользователей.

Запрос учетных данных (по умолчанию): если для операции требуется повышение привилегий, пользователю будет предложено ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
Автоматическое отклонение запросов на повышение прав. Если для операции требуется повышение привилегий, отображается сообщение об ошибке с настраиваемым доступом об отказе. Предприятие, использующее настольные компьютеры в качестве стандартного пользователя, может выбрать этот параметр, чтобы сократить количество обращений в службу поддержки.
Запрос учетных данных на безопасном рабочем столе Если для операции требуется повышение прав, пользователю на безопасном рабочем столе предлагается ввести другое имя пользователя и пароль. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
Обнаружение установок приложений и запрос на повышение прав Управляет поведением обнаружения установки приложения для компьютера.

Включено (по умолчанию): при обнаружении пакета установки приложения, требующего повышения привилегий, пользователю предлагается ввести имя пользователя и пароль администратора. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.
Отключено: пакеты установки приложений не обнаруживаются и не запрашиваются повышение прав. Предприятия, использующие стандартные рабочие столы пользователей и использующие делегированные технологии установки, такие как Microsoft Intune, должны отключить этот параметр политики. В этом случае обнаружение установщика не требуется.
Повышение прав только для подписанных и проверенных исполняемых файлов Принудительно проверяет сигнатуры для всех интерактивных приложений, которые запрашивают повышение привилегий. ИТ-администраторы могут контролировать, какие приложения разрешено запускать, добавляя сертификаты в хранилище сертификатов доверенных издателей на локальных устройствах.

Включено: принудительно проверяет путь сертификации сертификата для заданного исполняемого файла, прежде чем он будет разрешен к запуску.
Отключено (по умолчанию): не применяет проверку пути сертификации сертификата перед запуском данного исполняемого файла.
Повышение привилегий только для приложений UIAccess, установленных в безопасных расположениях Определяет, должны ли приложения, запрашивающие запуск с уровнем целостности пользовательского интерфейса (UIAccess), находиться в безопасном расположении в файловой системе. Безопасные расположения ограничены следующими папками:
- %ProgramFiles%, включая вложенные папки
- %SystemRoot%\system32\
- %ProgramFiles(x86)%, включая вложенные папки


Включено (по умолчанию): если приложение находится в безопасном расположении в файловой системе, оно выполняется только с целостностью UIAccess.
Отключено: приложение выполняется с целостностью UIAccess, даже если оно не находится в безопасном расположении в файловой системе.

Заметка: Windows применяет цифровую подпись проверка во всех интерактивных приложениях, которые запрашивают выполнение с уровнем целостности UIAccess независимо от состояния этого параметра.
Запуск всех администраторов в режиме утверждения Администратор Управляет поведением всех параметров политики контроля учетных записей.

Включено (по умолчанию): режим утверждения Администратор включен. Эта политика должна быть включена и настроены соответствующие параметры контроля учетных записей. Политика позволяет встроенной учетной записи администратора и членам группы администраторов работать в режиме утверждения Администратор.
Отключено: Администратор режим утверждения и все связанные параметры политики контроля учетных записей отключены. Примечание. Если этот параметр политики отключен, Безопасность Windows уведомляет вас о снижении общей безопасности операционной системы.
Переключение на защищенный рабочий стол при запросе повышения прав Этот параметр политики определяет, будет ли запрос на повышение прав отображаться на рабочем столе интерактивного пользователя или на защищенном рабочем столе.

Включено (по умолчанию): все запросы на повышение прав отправляются на безопасный рабочий стол независимо от параметров политики поведения запроса для администраторов и стандартных пользователей.
Отключено: все запросы на повышение прав переходят на рабочий стол интерактивного пользователя. Используются параметры политики поведения запроса для администраторов и обычных пользователей.
Сбои виртуализации файлов и реестра для каждого пользователя Определяет, перенаправляются ли сбои записи приложений в определенные расположения реестра и файловой системы. Этот параметр устраняет проблемы с приложениями, которые выполняются от имени администратора и записывают данные приложения во время выполнения в %ProgramFiles%, %Windir%, %Windir%\system32или HKLM\Software.

Включено (по умолчанию): ошибки записи приложений перенаправляются во время выполнения в определенные расположения пользователей для файловой системы и реестра.
Отключено. Приложения, записывющие данные в защищенные расположения, завершаются сбоем.

Настройка контроля учетных записей пользователей

Чтобы настроить контроль учетных записей, можно использовать:

  • Microsoft Intune/MDM
  • Групповая политика
  • Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Настройка UAC с помощью политики каталога параметров

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте параметры, перечисленные в категории Local Policies Security Options:

Снимок экрана: политики контроля учетных записей в каталоге параметров Intune.

Назначьте политику группе безопасности, содержащей в качестве участников устройства или пользователей, которые требуется настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью CSP политики LocalPoliciesSecurityOptions.
Параметры политики находятся в разделе . ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions

Параметр
Имя параметра: Администратор режим утверждения для встроенной учетной записи администратора
Имя поставщика служб CSP политики: UserAccountControl_UseAdminApprovalMode
Имя параметра: разрешить приложениям UIAccess запрашивать повышение прав без использования безопасного рабочего стола
Имя поставщика служб CSP политики: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Имя параметра: поведение запроса на повышение прав для администраторов в режиме утверждения Администратор
Имя поставщика служб CSP политики: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
Имя параметра: поведение запроса на повышение прав для обычных пользователей
Имя поставщика служб CSP политики: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
Имя параметра: Обнаружение установок приложений и запрос на повышение прав
Имя поставщика служб CSP политики: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
Имя параметра: повышение прав только для подписанных и проверенных исполняемых файлов
Имя поставщика служб CSP политики: UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
Имя параметра: повышение привилегий только для приложений UIAccess, установленных в безопасных расположениях
Имя поставщика служб CSP политики: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
Имя параметра: запуск всех администраторов в режиме утверждения Администратор
Имя поставщика служб CSP политики: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
Имя параметра: переключение на защищенный рабочий стол при запросе повышения прав
Имя поставщика служб CSP политики: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
Имя параметра: Сбои при записи файлов и реестра в виртуализировать в расположениях для каждого пользователя
Имя поставщика служб CSP политики: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations