安全是ms现在的首要关注,所以当开发windows server 2008和vista的时候,一些新的组策略设置涉及很多方面的安全特性这不值得惊讶。首先我从这篇文章开始。这篇文章谈论一个新的关于安全方面的组策略设置User Account Protection-UAC。
如果不是对UAC了解,其实UAC就是一个用来减少用户过多特权来保护windows的安全特性。在windows xp中,用户经常需要本地管理员来完成他们的任务。
在开发vista的时候,微软花啦很长时间关注标准用户实际需要的权限而不必要赋予本地管理员权限。举例来说,在vista中一个普通用户可以执行安装打印机,输入WEP密码,配置VPN连接,安装应用更新等操作无需本地管理员权限。
User Account Protection不只是给予用户额外权限,也是用来给本地管理员保护他们自己。即使有人实用本地管理员登陆,windows也会认为他是普通用户。如果用户想某些需要本地管理员权限的操作,windows会提示用户是否临时提升他的权限来执行这项操作。
管理员也可以作为普通用户登陆。如果一个普通用户想执行需要管理员权限的奥做,不需要实用RunAs命令,vista会自动提示用户输入一个可以执行这项操作的凭证。
刚才我们讲啦一下UAC的背景,现在我来看看关于UAC的组策略设置。和大部分我在这个系列讨论的组策略设置一样,只能在2008和vista上作用。因此2008面市而且基于2008的域控在你们的网络环境,否则这些组策略只能作为本地组策略来执行。
