Windows) (用户帐户控制组策略和注册表项设置 | Microsoft Learn

• 项目

• 2023/03/09

• 适用于:

• ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

组策略设置

(UAC) ，可以为用户帐户控制配置 10 个组策略设置。 下表列出了每个策略设置的默认值，以下部分介绍了不同的 UAC 策略设置并提供建议。 这些策略设置位于“ 本地安全策略”管理单元中的“安全设置\ 本地策略\安全选项”中。 有关每个组策略设置的详细信息，请参阅组策略说明。 有关注册表项设置的信息，请参阅 注册表项设置。

组策略设置	注册表项	默认值
用户帐户控制：内置管理员帐户的管理员审批模式	FilterAdministratorToken	禁用
用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限	EnableUIADesktopToggle	禁用
用户帐户控制: 管理员批准模式中管理员的提升权限提示行为	ConsentPromptBehaviorAdmin	非 Windows 二进制文件的同意提示
用户帐户控制: 标准用户的提升权限提示行为	ConsentPromptBehaviorUser	提示输入凭据
用户帐户控制: 检测应用程序安装并提示提升权限	EnableInstallerDetection	为家庭) 启用 (默认值 企业) 禁用 (默认值
用户帐户控制: 只提升签名并验证的可执行文件	ValidateAdminCodeSignatures	禁用
用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序	EnableSecureUIAPaths	已启用
用户帐户控制: 以管理员批准模式运行所有管理员	EnableLUA	已启用
用户帐户控制: 提示提升权限时切换到安全桌面	PromptOnSecureDesktop	已启用
用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置	EnableVirtualization	已启用

用户帐户控制：内置管理员帐户的管理员审批模式

内置管理员帐户的“用户帐户控制：管理员审批模式”策略设置控制内置管理员帐户管理员审批模式的行为。

这些选项有：

• 已启用。 内置管理员帐户使用管理员审批模式。 默认情况下，任何需要特权提升的操作都会提示用户批准该操作。

• 已禁用。 (默认) 内置管理员帐户以完全管理权限运行所有应用程序。

用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限

用户帐户控制：允许 UIAccess 应用程序在不使用安全桌面策略的情况下提示提升，设置控制用户界面辅助功能 (UIAccess 或 UIA) 程序是否可以自动禁用标准用户使用的提升提示的安全桌面。

这些选项有：

• 已启用。 UIA 程序（包括 Windows 远程协助）会自动禁用提升提示的安全桌面。 如果不禁用 用户帐户控制：在提示提升策略时切换到安全桌面 设置，则提示将显示在交互式用户的桌面上，而不是安全桌面上。

• 已禁用。 (默认) 安全桌面只能由交互式桌面的用户或禁用 用户帐户控制：在提示提升策略设置时切换到安全桌面 。

UIA 程序旨在代表用户与 Windows 和应用程序进行交互。 此策略设置允许 UIA 程序绕过安全桌面，以在某些情况下提高可用性;但是，允许提升请求显示在交互式桌面而不是安全桌面上可能会增加安全风险。

UIA 程序必须经过数字签名，因为它们必须能够响应有关安全问题的提示，例如 UAC 提升提示。 默认情况下，UIA 程序仅从以下受保护路径运行：

• ...\Program 文件，包括子文件夹

• ...\Program Files (x86) ，包括 64 位版本的 Windows 的子文件夹

• ...\Windows\System32

用户帐户控制：仅提升安装在安全位置中的 UIAccess 应用程序策略设置禁用从受保护路径运行的要求。

虽然此策略设置适用于任何 UIA 计划，但它主要用于某些远程协助方案，包括 Windows 7 中的 Windows 远程协助计划。

如果用户向管理员请求远程协助，并且已建立远程协助会话，则交互式用户的安全桌面上会显示任何提升提示，并且管理员的远程会话将暂停。 为了避免在提升请求期间暂停远程管理员的会话，用户可以在设置远程协助会话时选中 “允许 IT 专家响应用户帐户控制提示 ”复选框。 但是，选中此复选框需要交互式用户响应安全桌面上的提升提示。 如果交互式用户是标准用户，则用户没有允许提升所需的凭据。

如果启用此策略设置，则提升请求将自动发送到交互式桌面 (而不是安全桌面) ，并在远程协助会话期间显示在远程管理员的桌面视图上。 这允许远程管理员提供适当的凭据进行提升。

此策略设置不会更改管理员的 UAC 提升提示的行为。

如果计划启用此策略设置，还应查看 “用户帐户控制：标准用户提升提示行为” 策略设置的效果。 如果将其配置为 “自动拒绝提升请求”，则不会向用户显示提升请求。

用户帐户控制: 管理员批准模式中管理员的提升权限提示行为

“用户帐户控制：管理员审批模式中管理员的提升提示行为”策略设置控制管理员提升提示的行为。

这些选项有：

• 提升而不提示。 允许特权帐户执行需要提升的操作，而无需同意或凭据。

  注意 仅在受约束最严重的环境中使用此选项。

• 在安全桌面上提示输入凭据。 当操作需要特权提升时，系统会在安全桌面上提示用户输入特权用户名和密码。 如果用户输入了有效的凭据，则操作会以用户的最高可用权限继续执行。

• 安全桌面上的同意提示。 当操作需要特权提升时，系统会在安全桌面上提示用户选择 “允许” 或“ 拒绝”。 如果用户选择 “允许”，则操作会以用户的最高可用权限继续执行。

• 提示输入凭据。 当操作需要特权提升时，系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据，则操作将继续具有适用的权限。

• 同意提示。 当操作需要特权提升时，系统会提示用户选择 “允许” 或 “拒绝”。 如果用户选择 “允许”，则操作会以用户的最高可用权限继续执行。

• 提示同意非 Windows 二进制文件。 (默认) 当非Microsoft应用程序的操作需要特权提升时，系统会在安全桌面上提示用户选择“允许”或“拒绝”。 如果用户选择 “允许”，则操作会以用户的最高可用权限继续执行。

用户帐户控制: 标准用户的提升权限提示行为

用户帐户控制：标准用户的提升提示行为策略设置控制标准用户提升提示的行为。

这些选项有：

• 自动拒绝提升请求。 当操作需要特权提升时，将显示可配置的“拒绝访问”错误消息。 以标准用户身份运行桌面的企业可以选择此设置来减少技术支持呼叫。

• 在安全桌面上提示输入凭据。 当操作需要特权提升时，系统会在安全桌面上提示用户输入不同的用户名和密码。 如果用户输入了有效的凭据，则操作将继续具有适用的权限。

• 提示输入凭据。 (默认) 当操作需要特权提升时，系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据，则操作将继续具有适用的权限。

用户帐户控制: 检测应用程序安装并提示提升权限

用户帐户控制：检测应用程序安装并提示提升策略设置控制计算机的应用程序安装检测行为。

这些选项有：

• 已启用。 (默认家庭) 检测到需要特权提升的应用程序安装包时，系统会提示用户输入管理用户名和密码。 如果用户输入了有效的凭据，则操作将继续具有适用的权限。

• 已禁用。 (未检测到企业) 应用程序安装包的默认值，并提示提升。 运行标准用户桌面并使用委托安装技术（例如组策略软件安装或系统管理服务器 (短信) 的企业应禁用此策略设置。 在这种情况下，安装程序检测是不必要的。

用户帐户控制: 只提升签名并验证的可执行文件

用户帐户控制：仅提升已签名和已验证的可执行文件策略设置强制实施公钥基础结构 (PKI) 签名检查，用于请求特权提升的任何交互式应用程序。 企业管理员可以通过将证书添加到本地计算机上的受信任发布者证书存储，来控制允许哪些应用程序运行。

这些选项有：

• 已启用。 在允许其运行之前，对给定的可执行文件强制实施 PKI 认证路径验证。

• 已禁用。 (默认) 在允许运行给定可执行文件之前不强制实施 PKI 认证路径验证。

用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序

用户帐户控制：仅提升安装在安全位置中的 UIAccess 应用程序策略设置控制请求使用用户界面辅助功能 (UIAccess) 完整性级别运行的应用程序是否必须驻留在文件系统中的安全位置。 安全位置限制为以下项：

• ...\Program 文件，包括子文件夹

• ...\Windows\system32

• ...\Program Files (x86) ，包括 64 位版本的 Windows 的子文件夹

注意 无论此安全设置的状态如何，Windows 都会对请求使用 UIAccess 完整性级别运行的任何交互式应用程序强制实施 PKI 签名检查。

这些选项有：

• 已启用。 (默认) 如果应用程序驻留在文件系统中的安全位置，则它仅以 UIAccess 完整性运行。

• 已禁用。 应用程序以 UIAccess 完整性运行，即使它不驻留在文件系统中的安全位置。

用户帐户控制: 以管理员批准模式运行所有管理员

用户帐户控制：运行所有管理员管理员审批模式策略设置控制计算机的所有 UAC 策略设置的行为。 如果更改此策略设置，则必须重新启动计算机。

这些选项有：

• 已启用。 (启用默认) 管理员审批模式。 必须启用此策略，并且还必须适当设置相关的 UAC 策略设置，以允许内置管理员帐户和属于管理员组成员的所有其他用户以管理员审批模式运行。

• 已禁用。 管理员审批模式和所有相关 UAC 策略设置处于禁用状态。

注意如果禁用此策略设置，Windows 安全中心应用会通知你操作系统的整体安全性已降低。

用户帐户控制: 提示提升权限时切换到安全桌面

用户帐户控制：在提示提升时切换到安全桌面策略设置控制是在交互式用户的桌面上还是安全桌面上显示提升请求提示。

这些选项有：

• 已启用。 (默认) ，无论管理员和标准用户的提示行为策略设置如何，所有提升请求都会转到安全桌面。

• 已禁用。 所有提升请求都转到交互式用户的桌面。 使用管理员和标准用户的提示行为策略设置。

启用此策略设置后，它将覆盖“用户帐户控制：管理员审批模式中管理员的提升提示行为”策略设置。 下表描述了在启用或禁用“用户帐户控制：在提示提升策略设置 时切换到安全桌面”时 ，每个管理员策略设置的提升提示行为。

管理员策略设置	已启用	禁用
在安全桌面上提示输入凭据	提示显示在安全桌面上。	提示显示在安全桌面上。
在安全桌面上提示同意	提示显示在安全桌面上。	提示显示在安全桌面上。
提示输入凭据	提示显示在安全桌面上。	提示将显示在交互式用户的桌面上。
同意提示	提示显示在安全桌面上。	提示将显示在交互式用户的桌面上。
非 Windows 二进制文件的同意提示	提示显示在安全桌面上。	提示将显示在交互式用户的桌面上。

启用此策略设置后，它将替代 “用户帐户控制：标准用户提升提示的行为 ”策略设置。 下表描述了在启用或禁用“用户帐户控制：在提示提升策略设置 时切换到安全桌面”时 ，每个标准用户策略设置的提升提示行为。

标准策略设置	已启用	禁用
自动拒绝提升请求	无提示。 请求会自动被拒绝。	无提示。 请求会自动被拒绝。
在安全桌面上提示输入凭据	提示显示在安全桌面上。	提示显示在安全桌面上。
提示输入凭据	提示显示在安全桌面上。	提示将显示在交互式用户的桌面上。

用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置

用户帐户控制：将文件和注册表写入失败虚拟化到每个用户位置策略设置控制应用程序写入失败是否重定向到定义的注册表和文件系统位置。 此策略设置可缓解以管理员身份运行的应用程序，并将运行时应用程序数据写入 %ProgramFiles%%Windir%\system32 或 HKLM\Software。

这些选项有：

• 已启用。 (默认) 应用程序写入失败在运行时重定向到文件系统和注册表的已定义用户位置。

• 已禁用。 将数据写入受保护位置的应用程序失败。

注册表项设置

注册表项在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System中找到。 有关每个注册表项的信息，请参阅关联的组策略说明。

注册表项	组策略设置	注册表设置
FilterAdministratorToken	用户帐户控制：内置管理员帐户的管理员审批模式	0 (默认) = 禁用 1 = 已启用
EnableUIADesktopToggle	用户帐户控制: 允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升权限	0 (默认) = 禁用 1 = 已启用
ConsentPromptBehaviorAdmin	用户帐户控制: 管理员批准模式中管理员的提升权限提示行为	0 = 提升而不提示 1 = 在安全桌面上提示输入凭据 2 = 在安全桌面上提示同意 3 = 提示输入凭据 4 = 同意提示 5 (默认) = 提示同意非 Windows 二进制文件
ConsentPromptBehaviorUser	用户帐户控制: 标准用户的提升权限提示行为	0 = 自动拒绝提升请求 1 = 在安全桌面上提示输入凭据 3 (默认) = 提示输入凭据
EnableInstallerDetection	用户帐户控制: 检测应用程序安装并提示提升权限	1 = 为家庭) 启用 (默认值 0 = 企业) 默认禁用 (
ValidateAdminCodeSignatures	用户帐户控制: 只提升签名并验证的可执行文件	0 (默认) = 禁用 1 = 已启用
EnableSecureUIAPaths	用户帐户控制: 仅提升安装在安全位置的 UIAccess 应用程序	0 = 禁用 1 (默认) = 已启用
EnableLUA	用户帐户控制: 以管理员批准模式运行所有管理员	0 = 禁用 1 (默认) = 已启用
PromptOnSecureDesktop	用户帐户控制: 提示提升权限时切换到安全桌面	0 = 禁用 1 (默认) = 已启用
EnableVirtualization	用户帐户控制: 将文件和注册表写入错误虚拟化到每用户位置	0 = 禁用 1 (默认) = 已启用