在Windows Vista中,我们对用户帐号模型做了大量的变化。标准用户现在作为初始安装后的默认帐户,强大的用户组权限被有效的降低了。另外,我们让作为标准用户、受限管理员运行更加容易。但是,人们经常问我们:“内建的管理员帐号呢?难道对于没有密码的管理员帐号会安全吗?”是的,在某种情况下,这个管理员帐号可以被巧取而绕过安全机制。例如,如果孩子能够使用内建的管理员帐号登陆并任意妄为的话,父母控制就不能奏效了。
在Windows Vista RC1中,我们已经完成一系列的变化,包括在大多数环境中禁止内建的管理员帐号。这些变化被应用到默认的被命名为Administrator的管理员帐号,也就是在安装过程中创建的超级管理员帐号。
• 内建的管理员帐号在新安装时被默认禁止。
• 如果Windows Vista在从拥有内建管理员帐号的Windows XP升级时探测到只有一个活动得本地管理员帐号,Windows Vista会保留开启的帐号并将其放置在管理员批准模式中。内建的管理员帐号默认时不能在安全模式登陆到计算机。
• 在未加入域的计算机上,当至少一个本地管理员帐号被开启时,安全模式将不允许使用禁止的内建管理员帐号登陆。相反,本地管理员帐号可以用于登陆。如果最后的本地管理员帐号因疏忽被降级、禁止或删除的话,在灾难恢复时安全模式将允许禁止的内建管理员帐号登陆。
• 在加入域的计算机上,禁止的内建管理员帐号不能在安全模式中登陆。作为域管理员组的成员默认用户帐号则不能登陆计算机创建本地管理员(如果它不存在的话)。如果域管理员帐号从未登陆过,那么计算机必须使用网络在安全模式中开始,因为凭证不会被缓存。一旦机器分离,它将返回到非加入域状态。
注意,禁止内建管理员帐号意味着你不要忘记计算机上其他管理员帐号的用户名和密码。否则,就不能对计算机进行管理员级的改变了,或者根本不能登陆。要记住下列针对家庭用户的建议:
• 通过UAC面板使用忘记密码向导创建密码重设磁盘,将其保存到安全的磁盘或USB设备上。
• 创建一个能暗示你的帐号的密码。
• 写下你的用户名和密码并安全保存。
注意:我们已经逼近RTM了,我将会贴出其他相关blog进行企业中内建管理员的管理论述。