UAC – 当设置为“从不通知”时,我是否还有双重令牌?
UAC可以被设置为永远不会通知,但是这与根本没有UAC是不一样的。
我的意思是,操作系统是否仍然为pipe理员用户创build一个双重凭证,但只是自动提升所有内容?
这个区别很重要,因为各种文件系统的操作仍然会有不同的performance,比如Windows NT 4.0。
例如,当资源pipe理器看到一个只有Administrators:Full-Control的文件夹Administrators:Full-Control它经常提示你没有访问权限并提升,然后自动将你的用户添加到ACL中。
- 在Vista Business下禁用UAC和Windows安全中心警报
- UAC和Windows平台上的ACL之间有什么关系(如果有的话)?
- 找出哪个帐户被禁用UAC
- 好奇的用户帐户控制,资源pipe理器和本地用户组之间的交互
- 防止Flash更新 – 赢7
这就是我所看到的,我真的不喜欢它。 通过设置UAC不提示,我认为这个提升和修改ACL将会发生,但它仍然与我的ACL搞砸。
一般来说,自从UAC以来,我似乎花了很多时间没有权利去做事,乱搞ACL,而在NT 4.0的时候,生活很简单,ACL就是事实。
我为我的岳母“得到”UAC,但在专家漫游的服务器上?!
在我看来,这不是一种健康的态度。 即使专家犯错误。 另外,世界上还有成千上万的服务器pipe理员,我不完全称之为“专家”。 你听不到很多*尼克斯pipe理员说:“ 男人,什么样的BS,我是一个专家,我不应该sudo ! ”
但无论如何,在你的问题。
首先,你问,(转述) “如果我禁用UAC,我还会有一个受限的令牌吗?
那要看情况。 你是谁? 并非系统中的每个人都会有受限的令牌。 只有login系统的用户(如pipe理员,域pipe理员等特权组成员)或具有敏感特权(例如SeTcpPrivilege等)的用户才能在login期间获得完整令牌之外的受限制令牌。
请参考Windows内部,第六版。 第一部分第六章详细列出了在生成受限制访问令牌之前检查哪些组和哪些权限。
上述书中的一句话是:
如果存在这些组或特权中的一个或多个,则LSASS将为该用户创build一个受限令牌(也称为过滤的pipe理令牌),并为两者创build一个login会话。 标准用户令牌附加到Winlogon启动的初始进程(默认情况下为Userinit .exe)。
注意如果UAC已被禁用,pipe理员将使用包含pipe理员组成员身份和权限的令牌运行。
另外,从第2章(重点是我的):
当authentication成功时,LSASS调用安全引用监视器中的函数(例如,NtCreateToken)来生成包含用户安全configuration文件的访问令牌对象。 如果使用用户帐户控制(UAC) 并且用户login是pipe理员组的成员或具有pipe理员权限,则LSASS将创build令牌的第二个受限制版本。 Winlogon使用此访问令牌在用户会话中创build初始进程。
你可以使用whoami /priv来为你自己testing。 使用UAC时,以pipe理员组成员的用户身份login。 在非提升的命令提示符下,您将看到非提升命令提示符下的权限列表要短得多,这意味着同一用户存在两个单独的标记:
现在closuresUAC(或设置为“从不通知”),重新启动机器,并尝试相同的testing。 现在你会注意到,标准和高级过程没有区别。 没有更多限制访问令牌。