深入了解Windows Vista用户帐户控制

核心提示： 图 10 AAM 管理员和标准用户令牌 具有“仅拒绝”标志的组只能用于拒绝(而不能允许)用户对某个资源的访问，这样就消除了当该组被整个删除时所产生的安全漏洞，深入了解Windows Vista用户帐户控制(8)，例如，如果某个文件的访问控制列表 (ACL) 拒绝了

图 10 AAM 管理员和标准用户令牌

具有“仅拒绝”标志的组只能用于拒绝(而不能允许)用户对某个资源的访问，这样就消除了当该组被整个删除时所产生的安全漏洞。例如，如果某个文件的访问控制列表 (ACL) 拒绝了 Administrators 组的所有访问，但为该用户所属的另一个组授予某些访问权限，那么如果令牌中没有管理员组，则会为用户授予访问权限，从而为该用户身份的标准用户版本赋予比管理员身份更多的权限。

独立系统(通常是家用计算机)和加入域的系统对来自远程用户的 AAM 访问的处理不同，因为连接了域的计算机可以在其资源权限内使用域管理组。当用户访问独立计算机的文件共享时，Windows 将请求该远程用户的标准用户身份，但在加入域的系统上，Windows 将通过请求该用户的管理身份来支持其所有域组成员。

方便地获得管理权限

系统和应用程序可以通过多种方式标识对管理权限的需求。其中一个是显示在资源管理器 UI 中的“以管理员身份运行”上下文菜单项和快捷方式选项。这些项目包含一个彩色盾牌图标，它应放在任何按钮或菜单项上，当选中它时会导致权限的提升。选择“以管理员身份运行”菜单项将使资源管理器使用动词“runas”调用 ShellExecute API。

绝大多数安装程序都要求使用管理权限，因此，映像加载程序(用于触发可执行文件的启动)包含了安装程序检测代码以发现可能的旧安装程序。它使用的某些启发方式很简单，只需检测该映像在其文件名或内部版本信息中是否具有设置 (setup)、安装 (install) 或更新 (update) 字样;较为复杂的启发方式则涉及扫描可执行文件中的字节序列，第三方安装包装实用工具大多为这种情况。