Главная » Редактор локальной групповой политики

Настройка UAC(User Account Control)

настройка user account control

Настройка UAC с помощью локальных политик

Как я уже говорил, настроить работу User Account Control можно с помощью двух инструментов. Первый из них — Панель управления, второй — Редактор локальной групповой политики. Настройку UAC через Панель управления, который грубо говоря позволяет только включить или отключить UAC мы уже рассматривали. В данной статье мы рассмотрим настройку работы UAC с помощью локальных политик. Политики, по сравнению с Панелью управления, предоставляют бо́льшие возможности по настройке данного компонента.

Политики для User Account Control

К локальным политикам, с помощью которых можно настроить работу UAC, можно добраться двумя путями:

  • Через Редактор локальной групповой политики. Для этого откройте данный инструмент(используйте команду меню Выполнить gpedit.msc) и перейдите последовательно в узел
    • Конфигурация компьютера
    • Конфигурация Windows
    • Параметры безопасности
    • Локальные политики
    • Параметры безопасности
  • Через Локальную политику безопасности, которая на деле содержит в себе только определенный узел с политиками из первого инструмента. Чтобы открыть данный инструмент необходимо пройти по пути:
    • Панель управления
    • Администрирование
    • Локальная политика безопасности

    В открывшемся инструменте необходимо перейти в узел:

    • Параметры безопасности
    • Локальные политики
    • Параметры безопасности

И в том, и в другом случае перед Вами появятся несколько политик. Политики, которые нам нужны, начинаются со слов Контроль учётных записей. Всего их 10. Ниже мы познакомимся со всеми.

Политики UAC для всех пользователей

  1. Обнаружение установки приложений и запрос на повышение прав. Данная политики либо разрешает, либо запрещает UAC выдавать уведомления, когда устанавливается новое ПО.
  2. Переключение к безопасному рабочему столу при выполнении запроса на повышение прав. Если данная политика включена, то все уведомления будут выдаваться в безопасном рабочем столе. Если же политика выключена, то уведомления будут показаны на обычном рабочем столе.
  3. Поведение запроса на повышение прав для обычных пользователей. Данная политика настраивает вывод уведомления UAC для обычных пользователей, которые попытались выполнить действия требующие административных прав. Иными словами, если пользователь с обычными правами захочет установить приложение или внестикакое-либо изменение в систему, то действие UAC в таком случае будет регулироваться данной политикой. Есть 3 варианта поведения UAC:
    1. Запрос учётных записей пользователей. В таком случае UAC запросит учётные данные пользователя, у которого есть административные права. Если эти данные будут введены, то вызванное действие будет продолжено.
    2. Запрос учётных записей на безопасном рабочем столе. Единственное отличие данного пункта от предыдущего состоит в том, что уведомление будет выведено на безопасном рабочем столе.
    3. Автоматически отклонять запросы на повышение прав. В таком случае пользователь просто-напросто увидит сообщение, что у него недостаточно прав для данной операции.

Политика UAC для администраторов

  1. Все администраторы работают в режиме одобрения администратором. Если включить данную политику, то все администраторы компьютера будут получать уведомления UAC при установке ПО или при внесении изменений в систему.
  2. Поведение запроса на повышение прав для администраторов в режиме одобрения администратором. Данную политику имеет смысл настраивать тогда, когда Вы включили предыдущую политику, так как она настраивает вид данного уведомления. Есть несколько доступных вариантов:
    1. Повышение без запроса. Данная политика может отменить действие первой политики. Зачем она здесь нужна, не знаю.
    2. Запрос учётных данных на безопасном рабочем столе. При выборе данного пункта, администратору придется вводить свои учётные данные в окно UAC, которое будет окружено безопасным рабочим столом.
    3. Запрос согласия на безопасном рабочем столе. Окно уведомления на безопасном рабочем столе будет просить нажать либо Да, либо Нет.
    4. Запрос учетных данных. Уведомление на обычном рабочем столе.
    5. Запрос согласия. Уведомление на обычном рабочем столе.
    6. Запрос согласия для исполняемых файлов не из Windows. При выборе данного пункта UAC будет запрашивать согласие у администратора только тогда, когда он запускает стороннее программное обеспечение.

Политики UAC для администратора компьютера по умолчанию

  1. Режим одобрения администратором для встроенной учётной записи администратора. Данная политика по умолчанию выключена, что говорит о том, что UAC изначально не работает на учётной записи администратора по умолчанию. И это еще один пункт, почему многие не рекомендует постоянно работать за учётной записью администратора по умолчанию.

Политики UAC для приложений

  1. Повышение прав только для подписанных и проверенных исполняемых файлов.
  2. Повышать права для UIAccess-приложений только при установке в безопасных местах.
  3. Разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
  4. При сбоях в записи в файл или реестр виртуализация в место размещения пользователя.

Я не буду описывать данные политики, так как они применяются очень редко. Если же они Вас заинтересовали, воспользуйтесь справкой, которая приведена в самой политике.

Вывод

Как видите, с помощью локальных политик работу User Account Control можно настроить более гибко, нежели при помощи Панели управления. Но за всё приходится платить, ведь Редактор локальной групповой политики есть не во всех изданиях Windows.

Добавить комментарий

Ваш комментарий появится после модерации.