Windows

UAC - 當設置為“從不通知”時,我還有雙令牌嗎?

  • January 15, 2016

UAC 可以設置為從不通知,但這與根本沒有 UAC 不同。

我的意思是,作業系統是否仍然為管理員使用者創建雙重令牌,但只是自動提升所有內容?

區別很重要,因為各種文件系統操作的行為仍然不同,比如 Windows NT 4.0。

例如,當資源管理器看到一個只有Administrators:Full-Control它的文件夾時,通常會提示您沒有訪問權限並提升權限,然後將您的使用者自動添加到 ACL 中。

這就是我似乎觀察到的,我真的不喜歡它。通過將 UAC 設置為不提示,我假設這種提升和修改 ACL 會發生,但它仍然與我的 ACL 搞砸了。

總的來說,自從 UAC 以來,我似乎花了很多時間沒有權利和 ACL 搞亂,而在 NT 4.0 時代,生活很簡單,ACL 就是事實。

我為我的岳母“獲取”UAC,但在專家漫遊的伺服器上?

在我看來,這不是一種健康的態度。即使是專家也會犯錯誤。此外,世界上有成千上萬的伺服器管理員,我不會完全稱他們為“專家”。您不會聽到許多 *nix 管理員說“伙計,什麼BS,我是專家,我不應該這樣做sudo

但無論如何,關於你的問題。

首先,你問,(意譯)“如果我禁用 UAC,我還會有一個受限令牌嗎?”

那要看情況了。你是誰?並非系統上的每個人都將擁有受限令牌。只有作為管理員、域管理員等特權組成員或具有敏感權限(如SeTcpPrivilege等)的登錄系統的使用者,在登錄期間將獲得除完整令牌外的受限令牌。

請參考*Windows Internals,第 6 版。*第 I 部分第 6 章詳細列出了在生成受限訪問令牌之前檢查了哪些組和哪些權限。

引用上述書中的一段話:

如果存在一個或多個這些組或權限,則 LSASS 會為使用者創建一個受限令牌(也稱為過濾的管理員令牌),並為兩者創建一個登錄會話。標準使用者令牌附加到 Winlogon 啟動的一個或多個初始程序(預設情況下,Userinit .exe)。

注意 如果已禁用 UAC,管理員將使用包含其管理員組成員身份和權限的令牌執行。

而且,從第 2 章開始(重點是我的):

成功驗證後,LSASS 呼叫安全引用監視器中的函式(例如,NtCreateToken)來生成包含使用者安全配置文件的訪問令牌對象。如果使用使用者帳戶控制 (UAC)並且登錄的使用者是管理員組的成員或具有管理員權限,則 LSASS 將創建第二個受限版本的令牌。然後 Winlogon 使用此訪問令牌在使用者會話中創建初始程序。

您可以使用whoami /priv. 啟用 UAC 後,以 Administrators 組成員的使用者身份登錄。在非提升命令提示符下,您會看到在非提升命令提示符下的權限列表要短得多,這意味著同一使用者存在兩個單獨的令牌:

UAC 開啟

現在關閉 UAC(或設置為“從不通知”)重新啟動機器,並嘗試相同的測試。您現在會注意到標準流程和提升流程之間沒有區別。不再有受限訪問令牌。

引用自:https://serverfault.com/questions/749344