В корпоративному середовищі Контроль облікових даних користувачів (UAC) управляється централізовано, за допомогою групових політик. За настройку UAC відповідає 10 політик. Всі вони знаходяться в вузлі Конфігурація комп'ютера \ КонфігураціяWindows \ Параметри безпеки \ Локальні політики \ Параметри безпеки.

Розглянемо більш докладно ці політики і їх вплив на контроль облікових записів:

режим схвалення адміністратором для вбудованої облікового запису адміністратора

Визначає, як працює режим схвалення для вбудованої облікового запису адміністратора.Варто мати на увазі, що в Windows 7 вбудований обліковий запис адміністратора за замовчуванням відключена, тому дана політика має сенс тільки якщо ви активували цю запис. Зробити це можна тут-же за допомогою політики Облікові записи: Стан облікового запису «Адміністратор».Якщо активувати тільки обліковий запис адміністратора, то схвалення буде відбуватися автоматично, без повідомлення UAC. Якщо ж активувати обидві політики, то вбудована обліковий запис також буде отримувати повідомлення.

Поведінка запиту на підвищення прав для адміністраторів у режимі

Діє аналогічно діалоговому вікну «Параметри управління обліковими даними користувачів» .Вона дозволяє налаштувати рівень повідомлень для користувачів, які увійшли в систему з правами адміністратора, але на відміну від діалогового вікна має вибір з шести варіантів:

• Підвищення без запитів - запити підтверджуються автоматично, повідомлення не видається;
• Запит облікових даних на безпечному робочому столі - UAC завжди запитує введення пароля, робочий стіл затемнюється;
• запит згоди на безпечному робочому столі - запитується тільки підтвердження без введення пароля, робочий стіл затемнюється;
• запит облікових даних - запитується введення пароля, робочий стіл затемнюється тільки в тому випадку, якщо включена політика Перемикання до безпечного робочого столу при виконанні запиту на підвищення прав;
• Запит підтвердження - запитується підтвердження, не потрібно вводити, робочий стіл затемнюється тільки в тому випадку, якщо включена політика Перемикання до безпечного робочого столу при виконанні запиту на підвищення ін ав;
• Запит згоди для двійкових даних не з Windows - задано за замовчуванням.Запит видається тільки в тому випадку, якщо підвищення запитує програма не з складу Windows.

Поведінка запиту на підвищення прав для звичайних користувачів

Ця політика визначає, чи буде Windows видавати запит на підвищення повноважень користувачеві, що не входить в групу адміністраторів, і якщо буде то як саме.За замовчуванням запити автоматично відхиляються без видачі повідомлень. Решта варіантів задають запит облікових даних користувачів на безпечному або звичайному робочому столі.

Перемикання до безпечного робочого столу при виконанні запиту на підвищення прав

Задає висновок повідомлення UAC на безпечному робочому столі.Якщо ця політика включена, то, незалежно від того що задано в політиках поведінки запрошень для адміністраторів і звичайних користувачів, все запити на підвищення повноважень будуть видаватися на безпечний робочий стіл.

Виявлення установки додатків і запит на підвищення прав

Визначає, чи може запитувати підвищення повноважень установник додатків.Включення цієї політики означає, що установка додатків дозволена (за умови що на це дано дозвіл і надані відповідні облікові дані). За замовчуванням включена.

Підвищення прав тільки для підписаних і перевірених виконуваних файлів

Запит на підвищення видається тільки для виконуваних файлів, що мають цифровий підпис від довіреної центру сертифікації (CA).Якщо у додатки немає цифрового підпису або його підпис видана центром сертифікації, які не є довіреною, то запит на підвищення відхиляється. Ця політика за замовчуванням відключена, і включати її слід тільки в тому випадку, якщо всі додатки, що вимагають підвищення мають цифровий підпис.

Все адміністратори працюють в режимі адміністративного

Визначає, чи видаються повідомлення UAC користувачам із правами адміністратора при виконанні завдань, що вимагають підвищення. Включена за замовчуванням. Якщо її відключити, то для цих користувачів підвищення проводиться автоматично.По суті відключення цієї політики означає виключення UAC для всіх користувачів, що входять в групу адміністраторів.

При збої записи в файл або реєстр віртуалізація в місце розміщення користувача

Політика для старих додатків, які роблять спроби записи в папки Program Files, Windows, Windows \ system32 або в гілку реєстру HKLM \ Software \.Windows 7 не дозволяє додаткам записувати дані в ці розташування, і щоб старі додатки могли функціонувати їх дані перенаправляються в віртуальні розташування, індивідуальні для кожного користувача. Якщо ця політика вимкнена, то Windows повністю заблокує запис в захищені розташування.За замовчуванням включена.

Дозволити UIAccess-додатків запитувати підвищення прав, не використовуючи безпечний робочий стіл

UIAccess - це особливий вид додатків, які взаємодіють з Windows від імені користувача, наприклад віртуальна клавіатура і віддалений помічник Windows (Remote Assistance).Вони ідентифікуються на підставі властивостей програми. Дана політика визначає, чи можуть додатки UIAccess видавати повідомлення UAC без використання безпечного робочого столу. Активувати її слід в тому випадку, якщо підключившись до віддаленого робочого столу необхідно відреагувати на повідомлення UAC.На жаль, в віддаленому сеансі безпечний робочий стіл недоступний (його просто не видно). В цьому випадку відповісти на повідомлення можна тільки якщо безпечний робочий стіл відключений. Дана політика працює тільки якщо включені повідомлення UAC для звичайних користувачів. За замовчуванням відключена.

Підвищувати права для UIAccess-додатків тільки при установці в безпечних місцях

Застосовується тільки для UIAccess-додатків. Включення цієї політики означає, що запитувати підвищення можуть тільки UIAccess-додатки, встановлені в папки Windows \ System32 і Program Files. Незалежно від налаштувань цієї політики UIA-програми, що запитують підвищення, повинні мати цифровий підпис від довіреної центру сертифікації..