UAC 可以设置为从不通知,但这与根本没有 UAC 不同。
我的意思是,操作系统是否仍然为管理员用户创建双重令牌,但只是自动提升所有内容?
区别很重要,因为各种文件系统操作的行为仍然不同,比如 Windows NT 4.0。
例如,当资源管理器看到一个只有Administrators:Full-Control它的文件夹时,通常会提示您无权访问并提升权限,然后将您的用户自动添加到 ACL 中。
这就是我似乎观察到的,我真的不喜欢它。通过将 UAC 设置为不提示,我假设这种提升和修改 ACL 会发生,但它仍然与我的 ACL 搞砸了。
总的来说,自从 UAC 以来,我似乎花了很多时间没有权利和 ACL 搞乱,而在 NT 4.0 时代,生活很简单,ACL 就是事实。
我为我的岳母“获取”UAC,但在专家漫游的服务器上?
在我看来,这不是一种健康的态度。即使是专家也会犯错误。此外,世界上有成千上万的服务器管理员,我不会完全称他们为“专家”。您不会听到许多 *nix 管理员说“伙计,什么BS,我是专家,我不应该这样做
sudo! ”但无论如何,关于你的问题。
首先,你问,(意译)“如果我禁用 UAC,我还会有一个受限令牌吗?”
那要看情况了。你是谁?并非系统上的每个人都将拥有受限令牌。只有作为管理员、域管理员等特权组成员或具有敏感权限(如
SeTcpPrivilege等)的登录系统的用户,在登录期间将获得除完整令牌外的受限令牌。请参考Windows Internals,第 6 版。第 I 部分第 6 章详细列出了在生成受限访问令牌之前检查了哪些组和哪些权限。
引用上述书中的一段话:
而且,从第 2 章开始(重点是我的):
您可以使用
whoami /priv. 启用 UAC 后,以 Administrators 组成员的用户身份登录。在非提升命令提示符中,您会看到在非提升命令提示符中的权限列表要短得多,这意味着同一用户存在两个单独的令牌:现在关闭 UAC(或设置为“从不通知”)重新启动机器,并尝试相同的测试。您现在会注意到标准流程和提升流程之间没有区别。不再有受限访问令牌。