Заметки о Windows и других программных продуктах Microsoft...

Контроль учетных записей пользователей. Часть 2 — настройка с помощью групповых политик

Контроль учетных записей пользователей. Часть 2 — настройка с помощью групповых политик

В корпоративной среде Контроль учетных данных пользователей (UAC) управляется централизованно, при помощи групповых политик. За настройку UAC отвечает 10 политик. Все они находятся в узле Конфигурация компьютера\КонфигурацияWindows\Параметры безопасности\Локальные политики\Параметры безопасности.

Управление UAC с помощью групповых политик

Рассмотрим более подробно эти политики и их влияние на контроль учетных записей:

Режим одобрения администратором для встроенной учетной записи администратора

Определяет, как работает режим одобрения для встроенной учетной записи администратора. Стоит иметь ввиду, что в  Windows 7 встроенная учетная запись администратора по умолчанию отключена, поэтому данная политика имеет смысл только если вы активировали эту запись. Сделать это можно тут-же с помощью политики Учетные записи: Состояние учетной записи «Администратор» . Если активировать только учетную запись администратора, то одобрение будет происходить автоматически, без уведомления UAC. Если же активировать обе политики, то встроенная учетная запись также будет получать уведомления.

Поведение запроса на повышение прав для администраторов в режиме одобрения

Действует аналогично диалоговому окну «Параметры управления учетными данными пользователей». Она позволяет настроить уровень уведомлений для пользователей, вошедших в систему с административными правами, но в отличие от диалогового окна имеет выбор из шести вариантов:

Настройка UAC с помощью групповых политик

 

• Повышение без запросов — запросы подтверждаются автоматически, уведомление не выдается;
• Запрос учетных данных на безопасном рабочем столе — UAC всегда запрашивает ввод пароля, рабочий стол затемняется;
• Запрос согласия на безопасном рабочем столе — запрашивается только подтверждение без ввода пароля, рабочий стол затемняется;
• Запрос учетных данных — запрашивается ввод пароля, рабочий стол затемняется только в том случае, если включена политика Переключение к безопасному рабочему столу при выполнении запроса на повышение прав;
• Запрос подтверждения — запрашивается подтверждение, ввод пароля не требуется, рабочий стол затемняется только в том случае, если включена политика Переключение к безопасному рабочему столу при выполнении запроса на повышение прав;
• Запрос согласия для двоичных данных не из Windows — задано по умолчанию. Запрос выдается только в том случае, если повышение запрашивает программа не из состава Windows.

Поведение запроса на повышение прав для обычных пользователей

Эта политика определяет, будет ли Windows выдавать запрос на повышение полномочий пользователю, не входящему в группу администраторов, и если будет то как именно. По умолчанию запросы автоматически отклоняются без выдачи сообщений. Остальные варианты задают запрос  учетных данных пользователей на безопасном или обычном рабочем столе.

Переключение к безопасному рабочему столу при выполнении запроса на повышение прав

Задает вывод уведомления UAC на безопасном рабочем столе. Если эта политика включена, то,  независимо от того что задано в политиках поведения приглашений для администраторов и обычных пользователей, все запросы на повышение полномочий будут выдаваться на безопасный рабочий стол.

Обнаружение установки приложений и запрос на повышение прав

Определяет, может ли запрашивать повышение полномочий установщик приложений. Включение этой политики означает, что установка приложений разрешена (при условии что на это дано разрешение и предоставлены соответствующие учетные данные). По умолчанию включена.

Повышение прав только для подписанных и проверенных исполняемых файлов

 Запрос на повышение выдается только для исполняемых файлов, имеющих цифровую подпись от доверенного центра сертификации (CA). Если у приложения нет цифровой подписи или его подпись выдана центром сертификации, не являющимся доверенным, то запрос на повышение отклоняется. Эта политика по  умолчанию отключена, и включать ее следует только в том случае, если все приложения, требующие повышения имеют цифровую подпись.

Все администраторы работают в режиме одобрения администратором

Определяет, выдаются ли уведомления UAC пользователям с административными правами при выполнении задач, требующих повышения. Включена по умолчанию. Если ее отключить, то для этих пользователей повышение производится автоматически. По сути отключение этой политики означает выключение UAC для всех пользователей, входящих в группу администраторов.

При сбоях записи в файл или реестр виртуализация в место размещения пользователя

 Политика для старых приложений, которые предпринимают попытки записи в папки Program Files, Windows, Windows\system32 или в ветку реестра HKLM\Software\ . Windows 7 не разрешает приложениям записывать данные в эти расположения, и чтобы старые приложения могли функционировать их данные перенаправляются в виртуальные расположения, индивидуальные для каждого пользователя.  Если эта политика выключена, то Windows полностью заблокирует запись в защищенные расположения.  По умолчанию включена.

Разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол

UIAccess — это особый вид приложений, которые взаимодействуют с Windows от имени пользователя , например виртуальная клавиатура и Удаленный помощник Windows (Remote Assistance). Они идентифицируются на основании свойств приложения. Данная  политика определяет, могут ли приложения UIAccess выдавать уведомление UAC без использования безопасного рабочего стола. Активировать ее следует в том случае, если подключившись к удаленному рабочему столу необходимо отреагировать на уведомление UAC. К сожалению, в удаленном сеансе безопасный рабочий стол недоступен (его просто не видно). В этом случае ответить на уведомление можно только если безопасный рабочий стол отключен. Данная политика работает только если включены уведомления UAC для обычных пользователей. По умолчанию отключена.

Повышать права для UIAccess-приложений только при установке в безопасных местах

Применяется только для UIAccess-приложений. Включение этой политики означает, что запрашивать повышение могут только UIAccess-приложения, установленные в папки Windows\System32 и Program Files. Независимо от настроек этой политики UIA-программы, запрашивающие повышение, должны иметь цифровую подпись от доверенного центра сертификации.

 
 
Комментарии

Пока нет комментариев.