Users Guide

Table Of Contents

Microsoft Windows Server 2008 用户帐户控制

在 Microsoft Windows Server 版本 2008 和早期版本中，用户帐户通常是本地管理员组的成员并获得管理员权

限。由于管理员帐户拥有系统范围的访问权限，因此本地管理员组的成员可以安装、更新和运行软件。将用户

添加到本地管理员组后，系统会自动授予该用户 Windows 权限。这些权限提供对所有操作系统资源的访问。

因此，具有管理员权限的用户帐户具有安全风险，因为他们提供的操作系统资源访问权限可被恶意软件利用。

用户帐户控制 (UAC) 是 Windows Server 2008 操作系统中一项新增的安全功能。启用后，该功能会限制除内置本

地管理员之外所有用户对重要系统资源的访问权限。

Windows Server 2008 操作系统中三种用户帐户类型是：

• 域管理员帐户，这是具有管理员权限的用户帐户。

• 标准用户帐户，允许用户安装软件和更改系统设置而不会影响计算机的其他用户或安全性。

• 本地管理员帐户，这是操作系统的默认超级用户。

UAC 启用时，域管理员帐户的用户体验与本地管理员帐户不同。域管理员帐户需要访问重要系统资源时，

Windows Server 2008 操作系统提示以下各项之一，然后启动需要完全管理员访问权限的程序或任务：

• 提升权限的许可（如果是域管理员组的用户）

• 提升权限的域管理员凭据（如果是标准用户）

UAC 提示域管理员组中的用户（管理员帐户除外）单击继续（如果需要提升权限），或单击取消（执行可能

会导致安全风险的功能时）。通过 UAC，用户必须升级管理员帐户，然后才能运行 DUP。

注: 由于用户体验可通过安全策略管理器管理单元 (secpol.msc) 和组策略进行配置，因此有多种 UAC 用户

体验。环境中进行的配置选择将影响标准用户、管理员或两者可见的提示和对话框。UAC 可通过禁用

User Account Control: Run Administrators in Admin Approval Mode（用户帐户控制：在管理员批准模式下运行

管理员）设置禁用并要求系统重新引导。

如果 DUP 在 GUI 模式下运行，Windows Server 2008 操作系统需要用户批准该操作。但如果 DUP 在无人值守模

式下运行，用户可通过执行以下任一操作绕过弹出式窗口的许可：

• 将组安全策略 User Account Control: Behavior of the elevation prompt for administrators in Admin Approval

Mode（用户帐户控制：管理批准模式中管理员提升提示行为）更改为无提示，以禁用弹出或提升权限

而不提示管理员组。

• 禁用 UAC。

• 利用脚本运行 DUP 并在运行时充当本地管理员。

• 与系统内存利用率相关的 Dell DUP HDD 固件更新公用程序要求服务器最少具有 8GB 到 16GB 的 RAM。

远程运行 DUP 时的 UAC 限制

默认情况下，UAC 启动后，所有管理员帐户用户都作为标准用户登录。因此，访问重要系统资源的权限不可

用，直到用户确认权限提升请求。此限制禁用远程部署 DUP 的选项。如果管理节点代理在这些登录凭据上运

行，UAC 会返回 Access Denied（拒绝访问）错误。

可以通过以下方法绕过 UAC 限制：

• 启用本地系统帐户的远程代理使用以执行 DUP 更新。本地系统帐户不受 UAC 保护（推荐选项）。

• 在 DUP 运行的每台远程计算机上使用本地管理员帐户。