Users Guide
8
Microsoft Windows Server 2008 用户帐户
控制
在 Microsoft Windows Server 2008 和早期版本中,用户帐户通常是本地管理员组的成员并获得管理员权
限。由于管理员帐户拥有系统范围的访问权限
,因此本地管理员组的成员可以安装、更新和运行软件。将用户
添加到本地管理员组后,系统会自动授予该用户 Windows 权限。这些权限提供对所有操作系统资源的访问。
因此,具有管理员权限的用户帐户具有安全风险,因为其提供的操作系统资源访问权限可被恶意软件利用。
用户帐户控制 (UAC) 是 Windows Server 2008 操作系统中一项新增的安全功能。启用后,该功能会限制除内
置本地管理员之外所有用户对重要系统资源的访问权限。
Windows Server 2008 操作系统中三种用户帐户类型是:
• 域管理员帐户,这是具有管理员权限的用户帐户。
• 标准用户帐户,允许用户安装软件和更改系统设置而不会影响计算机的其他用户或安全性。
• 本地管理员帐户,这是操作系统的默认超级用户。
UAC 启用时,域管理员帐户的用户体验与本地管理员帐户不同。域管理员帐户需要访问重要系统资源时,
Windows Server 2008 操作系统提示以下各项之一,然后启动需要完全管理员访问权限的程序或任务:
• 提升权限的许可(如果是域管理员组的用户)
• 提升权限的域管理员凭据(如果是标准用户)
UAC 提示域管理员组中的用户(管理员帐户除外)单击 继续(如果需要提升权限),或单击 取消(执行可能
会导致安全风险的功能时)。通过 UAC,用户必须升级管理员帐户,然后才能运行 DUP。
注: 由于用户体验可通过安全策略管理器管理单元 (secpol.msc) 和组策略进行配置,因此有多种 UAC 用
户体验。环境中进行的配置选择将影响标准用户、管理员或两者可见的提示和对话框。UAC 可通过禁用
User Account Control: Run Administrators in Admin Approval Mode(用户帐户控制:在管理员批准
模式下运行管理员)设置禁用并要求系统重新引导。
如果 DUP 在 GUI 模式下运行,Windows Server 2008 操作系统需要用户批准该操作。但如果 DUP 在无人值
守模式下运行,用户可通过执行以下任一操作绕过弹出式窗口的许可:
• 将组安全策略 User Account Control: Behavior of the elevation prompt for administrators in Admin
Approval Mode(用户帐户控制:管理批准模式中管理员提升提示行为)更改为 无提示,以禁用弹出窗口
或提升权限而不提示管理员组。
• 禁用 UAC。
• 利用脚本运行 DUP 并在运行时充当本地管理员。
• 与系统内存利用率相关的 Dell DUP HDD 固件更新公用程序要求服务器最少具有 8 GB 至 16 GB 的 RAM。
36