Назад | Перейти на главную страницу

UAC - Если установлено значение «Никогда не уведомлять», у меня все еще есть двойной токен?

UAC можно настроить так, чтобы никогда не уведомлять, но это не то же самое, что отсутствие UAC вообще.

Я имею в виду, что ОС по-прежнему создает двойной токен для пользователей-администраторов, а просто автоматически повышает все?

Разница важна, поскольку различные операции файловой системы по-прежнему будут вести себя по-разному, скажем, Windows NT 4.0.

Например, когда проводник видит папку только с Administrators:Full-Control он часто запрашивает, что у вас нет доступа и повышает, а затем автоматически добавляет вашего пользователя в ACL.

Это то, что я, кажется, наблюдаю, и мне это действительно не нравится. Установив UAC, чтобы он не запрашивал, я предполагаю, что этот ACL с повышением и изменением просто произойдет, но он все еще портит мои ACL.

В общем, начиная с UAC, я, кажется, трачу так много времени, не имея прав на вещи, и возился с ACL, тогда как во времена NT 4.0 жизнь была простой, ACL был правдой.

У меня "достается" UAC для свекрови, но на серваке, где бродят специалисты ?!

На мой взгляд, это нехорошо. Ошибаются даже специалисты. Кроме того, в мире есть тысячи администраторов серверов, которых я бы не стал называть «экспертами». Вы не слышите, чтобы многие * nix администраторы говорили что-то вроде: "чувак, что за чушь, я эксперт, мне не стоило sudo!"

Но в любом случае, к вашему вопросу.

Прежде всего, спросите вы (перефразируя) "если я отключу UAC, останется ли у меня ограниченный токен?"

Это зависит от обстоятельств. Кто ты? Не у всех в системе будет ограниченный токен. Только пользователи, входящие в систему, которые являются членами привилегированных групп, таких как администраторы, администраторы домена и т. Д., Или которые имеют конфиденциальные привилегии, такие как SeTcpPrivilegeи т. д., будут предоставлены ограниченные токены в дополнение к их полному токену во время входа в систему.

Пожалуйста, укажите Windows Internals, 6-е изд. Часть I Глава 6 содержит полный список того, какие именно группы и какие привилегии проверяются перед созданием токена ограниченного доступа.

Цитата из вышеупомянутой книги:

Если присутствует одна или несколько из этих групп или привилегий, LSASS создает ограниченный токен для пользователя (также называемый отфильтрованным токеном администратора) и создает сеанс входа в систему для обоих. Стандартный токен пользователя прикрепляется к начальному процессу или процессам, запускаемым Winlogon (по умолчанию Userinit .exe).

Примечание. Если UAC отключен, администраторы работают с токеном, который включает их членство в группах администраторов и их права.

А также из главы 2 (выделено мной):

После успешной аутентификации LSASS вызывает функцию в контрольном мониторе безопасности (например, NtCreateToken) для создания объекта токена доступа, который содержит профиль безопасности пользователя. Если Используется контроль учетных записей (UAC) и если пользователь входит в группу администраторов или имеет права администратора, LSASS создаст вторую, ограниченную версию токена. Затем этот токен доступа используется Winlogon для создания начального процесса (ов) в пользовательском сеансе.

Вы можете проверить это сами, используя whoami /priv. При включенном UAC войдите в систему как пользователь, который является членом группы администраторов. В командной строке без повышенных привилегий вы увидите, что список привилегий намного короче в командной строке без повышенных прав, что подразумевает существование двух отдельных токенов для одного и того же пользователя:

Теперь выключите UAC (или установите «Никогда не уведомлять»), перезагрузите компьютер и попробуйте тот же тест. Теперь вы заметите, что нет разницы между стандартным и повышенным процессом. Токена ограниченного доступа больше нет.