Vista用户帐户控制程序的开发要求

核心提示： 按照最初在 Microsoft Windows NT 3.1 操作系统中的设计构建 Windows 安全体系结构后，UAC 小组力求实现一种兼有灵活性和更多安全性的标准用户模型，Vista用户帐户控制程序的开发要求(2)，对于 Windows 先前版本，在登录过程中会为管理员创建一个访问令

按照最初在 Microsoft Windows NT 3.1 操作系统中的设计构建 Windows 安全体系结构后，UAC 小组力求实现一种兼有灵活性和更多安全性的标准用户模型。对于 Windows 先前版本，在登录过程中会为管理员创建一个访问令牌。该管理员访问令牌包含了多数 Windows 特权和管理安全标识符 (SID)。它保证了管理员可以安装应用程序、配置操作系统和访问任何资源。

在 Windows Vista 中，UAC 小组采用了一种截然不同的方法来创建访问令牌。当管理员用户登录到 Windows Vista 计算机时，将创建两个访问令牌：一个是筛选后的标准用户访问令牌，一个是完整的管理员访问令牌。此时，使用标准用户访问令牌而不是管理员访问令牌来启动桌面 (Explorer.exe)。所有子进程都从桌面的这个初始启动(explorer.exe 进程)继承而来，从而有助于限制 Windows Vista 的攻击面。默认情况下，所有用户(包括管理员)都作为标准用户登录到 Windows Vista 计算机。

注意 对于以上综述存在一种例外情况：访客登录计算机时所具备的用户权限和特权要低于标准用户。

当管理员尝试执行管理任务(例如，安装应用程序)时，UAC 会提示用户批准该操作。当用户批准该操作时，任务将通过管理员的完整管理员访问令牌启动。这是默认的管理员提示行为，可在本地安全策略管理器单元 (secpol.msc) 中使用组策略 (gpedit.msc) 进行配置。

注意 启用了 UAC 的 Windows Vista 计算机上的管理员帐户也称为“管理批准模式下的管理员帐户”。管理批准模式标识了管理员的默认用户体验。

每次管理提升也是特定于进程的，这可防止其他进程未提示用户进行批准就使用访问令牌。这样，管理员用户可以对安装哪些应用程序进行更精确的控制，同时又极大冲击了期望登录用户使用完整管理员访问令牌运行的恶意软件。