问题有关UAC

Question

根据通过C <的Windows/C++>：

随着在Windwos Vista中，如果在 用户登录到系统的帐户 授予高特权，比如管理员， 除安全令牌 对应于这个特权 帐户，一个筛选的令牌也创建，但只发给一个标准用户的特权 。

我想知道，如果用户使用比标准用户权限更低的帐户登录到系统，系统是否仍为其创建一些额外的过滤器令牌？我认为这不是必要的，对于这个系统来说这没有任何意义。

谢谢。

Answer 1

简短的回答是，除非用户是管理员，仅单个令牌的存在是为了表示用户。

当标准用户登录到计算机时，将创建一个新的登录会话，并向他们显示一个shell应用程序，例如由系统创建的Windows资源管理器，并通过一个用户的新创建的登录会话令牌。这有效地限制了用户可以执行的操作，因为Windows资源管理器只能运行这些应用程序，并根据令牌指定的权限和权限访问用户登录会话允许的资源。

当管理员登录到计算机上的东西是有点不同的，这是在Windows Vista中（和Windows 7）从以前的版本显着不同。虽然系统会创建一个新的登录会话，但它不会创建代表相同登录会话的两个不同的令牌。第一个令牌授予管理员提供的所有权限和特权，而第二个令牌是受限令牌（有时称为已过滤令牌），提供的权限和特权要少得多。这个受限令牌提供的功能和限制与标准用户所享有的几乎相同。系统然后使用受限令牌创建shell应用程序。这意味着尽管用户以管理员身份登录，但应用程序默认情况下运行的权限和权限有限。

当管理员需要执行需要额外的权限或不授予受限令牌特权的一些任务，他或她可以选择运行使用无限制的令牌提供完整的安全上下文的应用程序。什么保护管理员免受恶意代码的影响是，只有在管理员通过系统提供的安全提示确认了使用非限制令牌的意愿后，才允许对非限制令牌的提升。恶意代码无法抑制此提示，从而在用户不知情的情况下完全控制计算机。

当，就像它是区别对待的，属于管理员组的一部分，因为它不接受抬高提示其他用户就出现在电脑内置的管理员帐户登录。这由组策略设置控制，标题为“用户帐户控制：内置管理员帐户的管理员批准模式”。管理员审批模式是指要求管理员批准升级到无限制令牌的提升提示。默认情况下，此组策略设置处于禁用状态，这意味着当内置管理员登录到计算机时，它只会收到一个不受限制的令牌。如果启用此组策略设置，那么内置管理员帐户将收到一个新的登录会话，其中包含两个令牌，就像属于管理员组的其他用户一样。