У меня есть ограниченная группа в групповой политике в организационном подразделении с названием org_unit_a. В этом организационном подразделении находятся все компьютеры.
- Ограниченная группа — это
My_domain\Workstation Admins - Имеет членов:
My_domain\settings - Является членом:
Administrators(или Järjestelmänvalvojat по-фински)
На локальном компьютере:
net localgroup "Administrators"показываетMy_domain\Workstation adminsкак член группыnet user /domain settingsпоказать членство в группеMy_domain\Workstation Admins- Если я попытаюсь ввести My_domain\settings в приглашение UAC, он просто даст мне пощечину:
Запрошенная операция требует возвышения
Если пользователь settingsбыл назначен локальным администратором через ограниченные группы, то почему Windows не принимает эти учетные данные при вводе в запросе UAC?
решение1
Если настройки пользователя были установлены как локального администратора через ограниченные группы, то почему Windows не принимает эти учетные данные при вводе в запросе UAC?
Потому что именно так работает UAC.
В двух словах, и обычные пользователи, и административные пользователи теперь работают с одним и тем же контекстом безопасности — непривилегированного пользователя. Как административный пользователь вы фактически получаете два токена с одинаковой пользовательской информацией, стандартный и административный. Когда вы пытаетесь выполнить действие, требующее административных привилегий, включается UAC и в зависимости от его конфигурации запрашивает либо ваши учетные данные, либо одобрение эскалации, а затем выполняет любое действие, которое вы изначально запросили, используя административный токен.
Короче говоря, вы на самом деле не администратор, даже если вы администратор (Обзор контроля учетных записей пользователей).
Вы можете изменить уровень «шумности» контроля доступа пользователей -Что такое настройки контроля учетных записей?