UAC - 當設置為“從不通知”時,我還有雙令牌嗎?
UAC 可以設置為從不通知,但這與根本沒有 UAC 不同。
我的意思是,作業系統是否仍然為管理員使用者創建雙重令牌,但只是自動提升所有內容?
區別很重要,因為各種文件系統操作的行為仍然不同,比如 Windows NT 4.0。
例如,當資源管理器看到一個只有
Administrators:Full-Control它的文件夾時,通常會提示您沒有訪問權限並提升權限,然後將您的使用者自動添加到 ACL 中。這就是我似乎觀察到的,我真的不喜歡它。通過將 UAC 設置為不提示,我假設這種提升和修改 ACL 會發生,但它仍然與我的 ACL 搞砸了。
總的來說,自從 UAC 以來,我似乎花了很多時間沒有權利和 ACL 搞亂,而在 NT 4.0 時代,生活很簡單,ACL 就是事實。
我為我的岳母“獲取”UAC,但在專家漫遊的伺服器上?
在我看來,這不是一種健康的態度。即使是專家也會犯錯誤。此外,世界上有成千上萬的伺服器管理員,我不會完全稱他們為“專家”。您不會聽到許多 *nix 管理員說“伙計,什麼BS,我是專家,我不應該這樣做
sudo! ”但無論如何,關於你的問題。
首先,你問,(意譯)“如果我禁用 UAC,我還會有一個受限令牌嗎?”
那要看情況了。你是誰?並非系統上的每個人都將擁有受限令牌。只有作為管理員、域管理員等特權組成員或具有敏感權限(如
SeTcpPrivilege等)的登錄系統的使用者,在登錄期間將獲得除完整令牌外的受限令牌。請參考*Windows Internals,第 6 版。*第 I 部分第 6 章詳細列出了在生成受限訪問令牌之前檢查了哪些組和哪些權限。
引用上述書中的一段話:
如果存在一個或多個這些組或權限,則 LSASS 會為使用者創建一個受限令牌(也稱為過濾的管理員令牌),並為兩者創建一個登錄會話。標準使用者令牌附加到 Winlogon 啟動的一個或多個初始程序(預設情況下,Userinit .exe)。
注意 如果已禁用 UAC,管理員將使用包含其管理員組成員身份和權限的令牌執行。
而且,從第 2 章開始(重點是我的):
成功驗證後,LSASS 呼叫安全引用監視器中的函式(例如,NtCreateToken)來生成包含使用者安全配置文件的訪問令牌對象。如果使用使用者帳戶控制 (UAC)並且登錄的使用者是管理員組的成員或具有管理員權限,則 LSASS 將創建第二個受限版本的令牌。然後 Winlogon 使用此訪問令牌在使用者會話中創建初始程序。
您可以使用
whoami /priv. 啟用 UAC 後,以 Administrators 組成員的使用者身份登錄。在非提升命令提示符下,您會看到在非提升命令提示符下的權限列表要短得多,這意味著同一使用者存在兩個單獨的令牌:
現在關閉 UAC(或設置為“從不通知”)重新啟動機器,並嘗試相同的測試。您現在會注意到標準流程和提升流程之間沒有區別。不再有受限訪問令牌。
