Отключить user account control
Перейти к содержимому

Отключить user account control

  • автор:

Отключение контроля учетных записей (UAC) в Windows Server

В этой статье описывается, как отключить контроль учетных записей (UAC) в Windows Server.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2526083

Сводка

При определенных ограниченных обстоятельствах отключение контроля учетных записей в Windows Server может быть приемлемым и рекомендуемым способом. Эти обстоятельства возникают только в том случае, если выполняются оба следующих условия:

  • Только администраторы могут входить на сервер Windows Server в интерактивном режиме в консоли или с помощью служб удаленных рабочих столов.
  • Администраторы входят на сервер под управлением Windows только для выполнения на сервере законных функций администрирования системы.

Если одно из этих условий не выполняется, контроль учетных записей должен оставаться включенным. Например, сервер включает роль служб удаленных рабочих столов, чтобы пользователи, не являющиеся администраторами, могли входить на сервер для запуска приложений. В этой ситуации контроль учетных записей должен оставаться включенным. Аналогичным образом контроль учетных записей должен оставаться включенным в следующих ситуациях:

  • Администраторы запускают на сервере рискованные приложения. Например, веб-браузеры, почтовые клиенты или клиенты для обмена мгновенными сообщениями.
  • Администраторы выполняют другие операции, которые следует выполнять из клиентской операционной системы, например Windows 7.
  • Это руководство относится только к операционным системам Windows Server.
  • Контроль учетных записей всегда отключен в основных выпусках Windows Server 2008 R2 и более поздних версий.

Дополнительная информация

Контроль учетных записей предназначен для того, чтобы помочь пользователям Windows перейти к использованию стандартных прав пользователей по умолчанию. Контроль учетных записей включает несколько технологий для достижения этой цели. К числу таких технологий относится следующее:

  • Виртуализация файлов и реестров. Когда устаревшее приложение пытается выполнить запись в защищенные области файловой системы или реестра, Windows автоматически и прозрачно перенаправляет доступ в часть файловой системы или реестра, которую пользователь может изменить. Она позволяет многим приложениям, которым требовались права администратора в более ранних версиях Windows, для успешного выполнения с правами только стандартных пользователей в Windows Server 2008 и более поздних версиях.
  • Повышение прав на один и тот же рабочий стол. Когда авторизованный пользователь запускает и повышает уровень программы, результирующий процесс получает более мощные права, чем права пользователя интерактивного рабочего стола. Объединяя повышение прав и функцию фильтруемого маркера UAC (см. следующий маркер), администраторы могут запускать программы с правами стандартного пользователя. Кроме того, они могут повысить уровень только тех программ, которым требуются права администратора с той же учетной записью пользователя. Эта функция повышения прав пользователей также называется режимом утверждения Администратор. Программы также можно запускать с повышенными правами с помощью другой учетной записи пользователя, чтобы администратор может выполнять административные задачи на рабочем столе обычного пользователя.
  • Отфильтрованный маркер. Когда пользователь с правами администратора или другими мощными привилегиями или членством в группах входит в систему, Windows создает два маркера доступа для представления учетной записи пользователя. Нефильтрованный маркер имеет все членства пользователя в группах и привилегии. Отфильтрованный маркер представляет пользователя с эквивалентом стандартных прав пользователя. По умолчанию этот отфильтрованный маркер используется для запуска программ пользователя. Нефильтрованный маркер связан только с программами с повышенными привилегиями. Учетная запись называется защищенной учетной записью администратора при следующих условиях:
    • Это член группы «Администраторы»
    • Он получает отфильтрованный маркер, когда пользователь входит в систему.

    Если вы отключите контроль учетных записей пользователей: Запустите всех администраторов в параметре политики Администратор режим утверждения. Он отключает все функции UAC, описанные в этом разделе. Этот параметр политики доступен с помощью локальной политики безопасности компьютера, параметров безопасности, локальных политик, а затем параметров безопасности. Устаревшие приложения, имеющие стандартные права пользователя, которые должны выполнять запись в защищенные папки или разделы реестра, завершаются ошибкой. Отфильтрованные маркеры не создаются. И все программы запускаются с полными правами пользователя, вошедшего на компьютер. Он включает в себя интернет-Обозреватель, так как защищенный режим отключен для всех зон безопасности.

    Одно из распространенных заблуждений о UAC и повышении прав на одно и то же настольные компьютеры, в частности, заключается в том, что это предотвращает установку вредоносных программ или получение прав администратора. Во-первых, вредоносная программа может быть написана, чтобы не требовать прав администратора. Кроме того, вредоносные программы могут записываться только в области профиля пользователя. Что еще более важно, то, что повышение прав на один и тот же рабочий стол в UAC не является границей безопасности. Оно может быть захвачено непривилегированным программным обеспечением, которое работает на том же рабочем столе. Повышение прав на одном и том же рабочем столе следует рассматривать как удобную функцию. С точки зрения безопасности защищенный администратор следует рассматривать как эквивалент администратора. В отличие от этого, использование быстрого переключения пользователей для входа в другой сеанс с помощью учетной записи администратора подразумевает границу безопасности между учетной записью администратора и сеансом обычного пользователя.

    Для сервера под управлением Windows, на котором единственной причиной интерактивного входа является администрирование системы, цель уменьшения количества запросов на повышение прав нецелесообразно или нежелательно. Средства системного администрирования на законных основаниях требуют прав администратора. Если всем задачам администратора требуются права администратора, и каждая задача может активировать запрос на повышение прав, запросы являются лишь помехой для производительности. В этом контексте такие запросы не могут способствовать достижению цели поощрения разработки приложений, требующих стандартных прав пользователя. Такие запросы не улучшают состояние безопасности. Эти запросы просто побуждают пользователей щелкать диалоговые окна, не читая их.

    Это руководство относится только к хорошо управляемым серверам. Это означает, что только пользователи с правами администратора могут входить в систему в интерактивном режиме или через службы удаленных рабочих столов. И они могут выполнять только законные административные функции. Сервер должен считаться эквивалентным клиентской системе в следующих ситуациях:

    • Администраторы запускают рискованные приложения, такие как веб-браузеры, почтовые клиенты или клиенты для обмена мгновенными сообщениями.
    • Администраторы выполняют другие операции, которые должны выполняться из клиентской операционной системы.

    В этом случае контроль учетных записей должен оставаться включенным в качестве меры глубинной защиты.

    Кроме того, если обычные пользователи входят на сервер в консоли или через службы удаленных рабочих столов для запуска приложений, особенно веб-браузеров, контроль учетных записей должен оставаться включенным для поддержки виртуализации файлов и реестра, а также защищенного режима Обозреватель Интернета.

    Другой способ избежать запросов на повышение прав без отключения контроля учетных записей — задать для политики безопасности контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме утверждения Администратор значение Повышение без запроса. При использовании этого параметра запросы на повышение прав автоматически утверждаются, если пользователь является членом группы администраторов. Этот параметр также оставляет pmIE и другие функции UAC включенными. Однако не все операции, требующие повышения прав администратора, запрашивают повышение прав. Использование этого параметра может привести к тому, что некоторые программы пользователя будут повышены, а некоторые нет, без каких-либо различий между ними. Например, большинство консольных служебных программ, требующих прав администратора, должны быть запущены в командной строке или другой программе, которая уже имеет повышенные привилегии. Такие служебные программы просто завершаются сбоем, когда они запускаются в командной строке без повышенных привилегий.

    Дополнительные эффекты отключения контроля учетных записей

    • Если вы попытаетесь использовать windows Обозреватель для перехода к каталогу, в котором у вас нет разрешений на чтение, Обозреватель предложит изменить разрешения каталога, чтобы предоставить учетной записи пользователя доступ к нему навсегда. Результаты зависят от того, включен ли контроль учетных записей. Дополнительные сведения см. в разделе При нажатии кнопки Продолжить для доступа к папкам в Windows Обозреватель учетная запись пользователя добавляется в список ACL для папки.
    • Если контроль учетных записей отключен, Windows Обозреватель по-прежнему отображает значки щита контроля учетных записей для элементов, требующих повышения прав. Кроме того, windows Обозреватель по-прежнему включает запуск от имени администратора в контекстных меню приложений и ярлыков приложений. Так как механизм повышения прав контроля учетных записей отключен, эти команды не оказывают никакого влияния. Приложения выполняются в том же контексте безопасности, что и пользователь, вошедший в систему.
    • Если контроль учетных записей включен, если служебная программа консоли Runas.exe используется для запуска программы с помощью учетной записи пользователя, подлежащей фильтрации маркеров, программа запускается с отфильтрованным маркером пользователя. Если контроль учетных записей отключен, запущенная программа запускается с полным маркером пользователя.
    • Если контроль учетных записей включен, локальные учетные записи, подлежащие фильтрации маркеров, не могут использоваться для удаленного администрирования через сетевые интерфейсы, отличные от удаленного рабочего стола. Например, через NET USE или WinRM. Локальная учетная запись, которая проходит проверку подлинности через такой интерфейс, получает только привилегии, предоставленные отфильтрованным маркерам учетной записи. Если контроль учетных записей отключен, это ограничение удаляется. Это ограничение также можно снять с помощью LocalAccountTokenFilterPolicy параметра, описанного в KB951016. Удаление этого ограничения может увеличить риск компрометации системы в среде, где во многих системах есть локальная учетная запись администратора с одинаковым именем пользователя и паролем. Мы рекомендуем убедиться, что против этого риска используются другие средства устранения рисков. Дополнительные сведения о рекомендуемых мерах по устранению рисков см. в разделах Устранение атак с использованием pass-the-Hash (PtH) и другие кражи учетных данных версии 1 и 2.
    • PsExec, контроль учетных записей пользователей и границы безопасности
    • При нажатии кнопки Продолжить для доступа к папкам в Windows Обозреватель учетная запись пользователя добавляется в список ACL для папки (кб 950934).

    Обратная связь

    Были ли сведения на этой странице полезными?

    Как отключить контроль учетных записей UAC Windows 10

    Как отключить контроль учетных записей Windows 10

    Контроль учетных записей или UAC в Windows 10 уведомляет вас при запуске программ или выполнении действий, которые требуют права администратора на компьютере (что обычно означает, что программа или действие приведет к изменению системных настроек или файлов). Сделано это с целью защитить вас от потенциально опасных действий и запуска ПО, которое может нанести вред компьютеру.

    • Отключение контроля учетных записей в панели управления Windows 10
    • Изменение параметров UAC в редакторе реестра
    • Отключение UAC в командной строке
    • Как отключить контроль учетных записей в редакторе локальной групповой политики
    • Видео инструкция

    Как отключить контроль учетных записей в панели управления Windows 10

    1. Откройте панель управления, для этого можно использовать поиск в панели задач или нажать клавиши Win+R, ввести control и нажать Enter. А можно сразу перейти к 4-му шагу, нажав Win+R и введя UserAccountControlSettings
    2. В панели управления вверху справа в поле «Просмотр» вместо «Категории» установите «Значки», а затем откройте пункт «Учетные записи пользователей». Учетные записи пользователей в панели управления
    3. В следующем окне нажмите «Изменить параметры контроля учетных записей». Изменить параметры контроля учетных записей
    4. Далее вы можете вручную задать параметры UAC или отключить контроль учетных записей Windows 10, достаточно выбрать один из вариантов настроек работы UAC, каждый из которых пояснён далее. Отключение контроля учетных записей в панели управления

    Возможные варианты настроек контроля учетных записей в панели управления от верхнего к нижнему:

    • Всегда уведомлять, когда приложения пытаются установить программное обеспечение или при изменении параметров компьютера — самый безопасный вариант, при любом своем действии, которое может что-то изменить, а также при действиях сторонних программ вы будете получать уведомление об этом. Обычные пользователи (не администраторы) должны будут ввести пароль для подтверждения действия.
    • Уведомлять только при попытках приложений внести изменения в компьютер — этот параметр установлен в Windows 10 по умолчанию. Он означает, что контролируются только действия программ, но не действия пользователя.
    • Уведомлять только при попытках приложений внести изменения в компьютер (не затемнять рабочий стол). Отличие от предыдущего пункта в том, что рабочий стол не затемняется и не блокируется, что в некоторых случаях (вирусы, трояны) может быть угрозой безопасности.
    • Не уведомлять меня — UAC отключен и не уведомляет о каких-либо изменениях в параметрах компьютера, инициированных вами или программами.

    Если вы решили отключить контроль учетных записей Windows 10, что является совсем не безопасной практикой, в дальнейшем следует быть очень внимательным, поскольку все программы будут иметь к системе тот же доступ, что и вы, в то время как контроль учетных записей не сообщит, если какая-то из них может повлиять на работу системы. Иными словами, если причина отключения UAC только в том, что он «мешает», я настойчиво рекомендую включить его обратно.

    Изменение параметров контроля учетных записей в редакторе реестра

    Отключение UAC и выбор любого из четырех вариантов работы контроля учетных записей Windows 10 возможен и с помощью редактора реестра (чтобы запустить его нажмите Win+R на клавиатуре и введите regedit).

    Параметры работы UAC определяются тремя ключами реестра, находящимися в разделе

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

    Включение и отключение UAC в редакторе реестра

    Перейдите в этот раздел и найдите следующие параметры DWORD в правой части окна: PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin. Для полного отключения контроля учетных записей достаточно изменить значение параметра EnableLUA на 0 (ноль), закрыть редактор реестра и перезагрузить компьютер.

    Однако, когда вы меняете параметры UAC в панели управления, сама Windows 10 оперирует тремя параметрами одновременно и делает это несколько иначе (хотя предыдущий метод проще и быстрее). Далее привожу значения каждого из ключей PromptOnSecureDesktop, EnableLUA, ConsentPromptBehaviorAdmin в том порядке, как они указаны для разных вариантов оповещений контроля учетных записей.

    1. Всегда уведомлять — 1, 1, 2 соответственно.
    2. Уведомлять при попытках приложений изменить параметры (значения по умолчанию) — 1, 1, 5.
    3. Уведомлять без затемнения экрана — 0, 1, 5.
    4. Отключить UAC и не уведомлять — 0, 1, 0.

    Отключение UAC в командной строке

    Быстрый способ полностью отключить контроль учетных записей — использовать командную строку, для этого:

    1. Запустите командную строку от имени администратора, в Windows 10 для этого можно начать вводить «Командная строка» в поиск на панели задач, а когда найдется нужный результат — либо нажать по нему правой кнопкой мыши и выбрать нужный пункт меню, либо выбрать «Запуск от имени администратора» в панели справа.
    2. Введите команду (нажав Enter после ввода)

    reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

    По своей сути этот метод является вариантом способа с редактором реестра, который описан выше: просто нужный параметр изменяется с помощью указанной команды.

    Как отключить контроль учетных записей UAC в редакторе локальной групповой политики Windows 10

    Этот метод подойдёт для Windows 10 Pro и Enterprise, где присутствует редактор локальной групповой политики. Шаги будут следующими:

    1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
    2. В редакторе перейдите к разделу «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры Безопасности» — «Локальные политики» — «Параметры безопасности».
    3. В правой панели найдите параметр «Контроль учетных записей: все администраторы работают в режиме одобрения администратором» и дважды нажмите по нему. Настройки UAC в gpedit
    4. Установите параметр в значение «Отключен» и нажмите «Ок». Отключить контроль учетных записей в редакторе локальной групповой политики

    Перезагрузка компьютера обычно не требуется.

    Видео

    В завершение еще раз напомню: я не рекомендую отключать контроль учетных записей ни в Windows 10 ни в других версиях ОС, если только вы абсолютно точно не знаете, для чего вам это нужно, а также являетесь достаточно опытным пользователем.

    А вдруг и это будет интересно:

    • Лучшие бесплатные программы для Windows
    • После изменения числа процессоров и максимума памяти Windows перестала запускаться — что делать?
    • Использование Desktop.ini Editor для редактирования свойств папок Windows
    • Флешка отображается как два отдельных диска — почему и что делать?
    • Компьютер или ноутбук не запускается после замены батарейки CMOS — что делать?
    • Ошибка nvgpucomp64.dll в играх — варианты решения
    • Windows 11
    • Windows 10
    • Android
    • Загрузочная флешка
    • Лечение вирусов
    • Восстановление данных
    • Установка с флешки
    • Настройка роутера
    • Всё про Windows
    • В контакте
    • Одноклассники

      Fedor 20.03.2020 в 11:44

    • Dmitry 20.03.2020 в 15:37

    Нет. Но есть такой способ обхода: создаем задание в планировщике заданий для выполнения этой программы с наивысшими правами, а потом создаем ярлык для запуска этого задания по имени:

    schtasks /run /tn "Имя задания"
    • Илья 24.10.2021 в 11:19
    schtasks /run /tn "Имя задания"
    • Dmitry 20.12.2020 в 10:11
    • Игорь Николаевич 24.12.2020 в 02:04
    • Dmitry 24.12.2020 в 09:56
    • Dmitry 13.10.2021 в 11:14
    • Илья 24.10.2021 в 10:40
    • Dmitry 24.10.2021 в 12:53

    Здравствуйте. Можно попробовать такой метод: позволяет запустить приложение, требующее права админа от имени обычного пользователя (но как оно при этом работать будет — неизвестно).
    Создаем bat файл:

    cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && start "" полный_путь_к_программе"
    • Илья 24.10.2021 в 13:50

    В моём случае было достаточно:

    Windows Registry Editor Version 5.00 ; Контроль учетных записей [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000000 "PromptOnSecureDesktop"=dword:00000000
    • Dmitry 22.06.2022 в 20:22
    • Артём 22.06.2022 в 21:22
    • Артём 08.07.2022 в 18:51
    • Живые обои на рабочий стол Windows 11 и Windows 10
    • Лучшие бесплатные программы на каждый день
    • Как скачать Windows 10 64-бит и 32-бит оригинальный ISO
    • Как смотреть ТВ онлайн бесплатно
    • Бесплатные программы для восстановления данных
    • Лучшие бесплатные антивирусы
    • Средства удаления вредоносных программ (которых не видит ваш антивирус)
    • Встроенные системные утилиты Windows 10, 8 и 7, о которых многие не знают
    • Бесплатные программы удаленного управления компьютером
    • Запуск Windows 10 с флешки без установки
    • Лучший антивирус для Windows 10
    • Бесплатные программы для ремонта флешек
    • Что делать, если сильно греется и выключается ноутбук
    • Программы для очистки компьютера от ненужных файлов
    • Лучший браузер для Windows
    • Бесплатный офис для Windows
    • Запуск Android игр и программ в Windows (Эмуляторы Android)
    • Что делать, если компьютер не видит флешку
    • Управление Android с компьютера
    • После изменения числа процессоров и максимума памяти Windows перестала запускаться — что делать?
    • Использование Desktop.ini Editor для редактирования свойств папок Windows
    • Флешка отображается как два отдельных диска — почему и что делать?
    • Как удалить дубликаты фото и видео на iPhone
    • Компьютер или ноутбук не запускается после замены батарейки CMOS — что делать?
    • Ошибка nvgpucomp64.dll в играх — варианты решения
    • Как запустить старый диспетчер задач в Windows 11
    • CustomizerGod — изменение системных значков Windows
    • Как настроить время до автоматической блокировки Windows 11 и 10
    • Как проверить оригинальность образа ISO Windows 11 или 10
    • Как отключить запросы оценить приложение на iPhone
    • Как включить редактор локальной групповой политики в Windows Домашняя
    • ERR CERT COMMON NAME INVALID — как исправить?
    • Как добавить системные папки в Проводнике Windows 11 и 10
    • Как скачать libxess.dll и исправить ошибки при запуске игры
    • Windows
    • Android
    • iPhone, iPad и Mac
    • Программы
    • Загрузочная флешка
    • Лечение вирусов
    • Восстановление данных
    • Ноутбуки
    • Wi-Fi и настройка роутера
    • Интернет и браузеры
    • Для начинающих
    • Безопасность
    • Ремонт компьютеров
    • Windows
    • Android
    • iPhone, iPad и Mac
    • Программы
    • Загрузочная флешка
    • Лечение вирусов
    • Восстановление данных
    • Ноутбуки
    • Wi-Fi и настройка роутера
    • Интернет и браузеры
    • Для начинающих
    • Безопасность
    • Ремонт компьютеров

    Отключение контроля учетных записей (UAC)

    Отключение контроля учетных записей необходимо, чтобы все функции криптографии были доступны для:

    • корректной работы сервиса 1С-Отчетность;
    • корректной работы продукта Астрал Отчет;
    • первичной настройки рабочего места для использования ЛК 1С-ЭТП и ЛК Астрал Подпись;
    • успешной установки необходимых плагинов.

    Контроль учетных записей (UAC) может блокировать необходимые для полноценной работы действия, ошибочно посчитав их небезопасными.

    После отключения контроля учетных записей общий уровень защиты компьютера от различных угроз будет снижен. Система станет более уязвимой к таким распространенным угрозам как: программы-шпионы, вирусы, черви, трояны и руткиты.

    Чтобы избежать заражения Windows, используйте надежные антивирусные программы.

    Отключение контроля учетных записей через панель управления

    Для отключения контроля учетных записей откройте меню Пуск → Панель управления и выберите режим просмотра Крупные или Мелкие значки . Далее выберите пункт Учетные записи пользователей :

    В следующем окне выберите пункт Изменение параметров контроля учетных записей:

    Для отключения UAC переведите ползунок на нижний уровень – Никогда не уведомлять:

    Отключение контроля учетных записей c помощью редактора реестра Windows

    Откройте меню Пуск и в строке поиска введите команду regedit :

    Запустить редактор реестра также можно через команду Выполнить (быстрый запуск команды — WIN+R):

    Установите курсор на каталоге Компьютер (1) и вызовите окно поиска, нажав комбинацию клавиш CTRL+F. Введите в строку поиска enableLUA и нажмите Найти далее (2):

    Необходимую ветку реестра также можно открыть вручную по пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System. Откроется папка System. Двойным нажатием левой кнопки мыши откройте параметр реестра EnableLUA:

    В открывшемся окне поменяйте значение с 1 на 0 и нажмите кнопку Ок (2):

    Для вступления изменений в силу перезагрузите компьютер.

    При необходимости включить UAC измените значение параметра реестра EnableLUA с 0 на 1, сохраните изменения и перезагрузите компьютер.

    Как отключить контроль учетной записи (UAC)?

    При первичной настройке рабочего места для использования личного кабинета «1С-ЭТП» и для успешной установки плагинов необходимо полное отключение компонента операционной системы «Контроль учетных записей» (UAC). После успешной установки плагинов настройку компоненты рекомендуется вернуть в прежнее состояние.

    Отключение UAC через реестр на примере Windows 7:

    Откройте меню «Пуск» и в строке поиска введите команду «regedit».

    Запустить редактор реестра также можно через команду «Выполнить» (быстрый запуск команды — «Win+R»).

    Установите курсор на каталоге «Компьютер» (выбран по умолчанию) и вызовите окно поиска, нажав комбинацию клавиш «Ctrl+F».

    Введите в строку поиска «enableLUA» и нажмите «Найти далее».

    Необходимую ветку реестра также можно открыть вручную по следующему пути:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

    Откроется папка «System».

    В папке двойным кликом правой кнопки мыши по строке «EnableLUA» откройте окно изменения параметров контроля учетной записи. Для отключения UAC необходимо поменять значение 1 на 0 и нажать «ОК», чтобы сохранить новые параметры UAC перезагрузите компьютер.

    Для включения UAC необходимо обратно поменять значение 0 на 1, нажать «ОК» и перезагрузить компьютер.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *