Назад | Перейти на главную страницу

Список привилегий, которые для обычного пользователя считаются «дополнительными привилегиями» для Windows UAC

Я пытаюсь понять, какое поведение я наблюдаю в системе контроля учетных записей Windows (UAC). У нас есть приложение, которое запускается с манифестом requestedExecutionLevel highestAvailable.

<requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
  <requestedExecutionLevel level="highestAvailable" uiAccess="false" />
</requestedPrivileges>

На моей машине включен полный UAC. Когда я запускаю это приложение как локальный пользователь, Windows не предлагает мне повысить привилегии. Это ожидаемое поведение.

Когда я запускаю это приложение от имени администратора, Windows предлагает мне повысить привилегии. Это тоже ожидаемое поведение.

Однако, когда я вхожу на свою рабочую станцию ​​как пользователь домена, который является стандартной учетной записью пользователя, пользователю домена также предлагается повысить права. Вот что я пытаюсь понять.

Согласно нескольким источникам, которые я прочитал, поведение согласия UAC немного отличается для пользователей с дополнительными привилегиями. Например, из Требования к разработке приложений Windows Vista для совместимости с контролем учетных записей пользователей, "Стандартный пользователь с дополнительными привилегиями (например, оператор резервного копирования)"(выделено мной) будет запрошено согласие, если политика согласия требует ввода учетных данных.

Я хочу получить больше информации о том, какие «дополнительные привилегии» заставят пользователя запрашивать согласие UAC. Я могу представить, что некоторые из них - это опытные пользователи, операторы резервного копирования, администраторы домена, операторы учетных записей и т. Д. В идеале, где-то есть список или таблица того, что может вызвать такое поведение согласия.

Какие «дополнительные привилегии» будут вызывать всплывающие окна согласия UAC для стандартных учетных записей пользователей?

Согласно статье Марка Руссиновича в TechNet, Безопасность: внутренний контроль учетных записей пользователей Windows Vista, список дополнительных привилегий:

  • Встроенные администраторы
  • Администраторы сертификатов
  • Администраторы домена
  • Администраторы предприятия
  • Администраторы политики
  • Администраторы схемы
  • Контроллеры домена
  • Корпоративные контроллеры домена только для чтения
  • Контроллеры домена только для чтения
  • Операторы счетов
  • Операторы резервного копирования
  • Криптографические операторы
  • Операторы настройки сети
  • Операторы печати
  • Системные операторы
  • Серверы RAS
  • Опытные пользователи
  • Доступ, совместимый с пред-Windows 2000