Users Guide
目录
Microsoft Windows Server 2008 用户帐户控制
适用于 Microsoft®Windows®操作系统的 Dell™UpdatePackages用户指南
远程运行 DUP 时的 UAC 限制
在以前版本的 Windows
®
中,用户帐户一般是本地 Administrators 组的成员,具有管理员权限。本地 Administrators 组的成员能够安装、更新和运行软件,因为 Administrators
帐户具有系统范围的权限。当用户添加到本地管理员组时,自动给该用户授予每项 Windows 权限。利用这些权限,能够访问所有操作系统资源。因此,具有管理员权限的用户帐户会引起安
全风险,因为用户帐户提供对操作系统资源的访问,而这可能会受恶意软件利用。
用户帐户控制 (UAC) 是 Windows Server
®
2008 操作系统新的安全功能。当启用此功能时,它限制内置本地管理员之外的所有用户访问重要系统资源。
Windows Server 2008 操作系统中的三种用户帐户是:
l 域管理员帐户,这是具有管理员权限的用户帐户。
l 标准用户帐户,此帐户使用户可以安装软件和更改系统设置而不会影响计算机的其他用户或安全。
l 本地管理员帐户,这是操作系统的默认超级用户。
当启用 UAC 时,域管理员帐户的用户体验与本地管理员帐户的不同。当域管理员帐户要求访问重要系统资源时,Windows Server 2008 操作系统会提示以下一项,然后再启动需要完全
管理员权限的程序或任务:
¡ 提升权限的许可(如果是域管理员组的用户)
¡ 提升权限的域管理员凭据(如果是标准用户)
UAC 提示域管理员组的用户(除管理员帐户之外)单击 "Continue"(继续)(如果他们需要提升权限),或单击 "Cancel"(取消)(如果执行的功能会造成安全风险)。使用 UAC
时,用户必须升级到管理员帐户才能运行 DUP。
如果 DUP 在 GUI 模式中运行,Windows Server 2008 操作系统需要用户许可操作。但如果 DUP 在无人值守模式中运行,用户可以通过执行以下任意操作来跳过要求许可的弹出窗口:
l 将组安全策略 "User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode"(用户帐户控制:管理批准模式中管
理员提升提示行为)更改为" No Prompt"(无提示),以禁用弹出或提升权限而不提示 Administrators 组。
l 禁用 UAC。
l 利用脚本运行 DUP 并在运行时充当本地管理员。
远程运行 DUP 时的 UAC 限制
默认情况下,UAC 启动后,所有管理员帐户用户均以标准用户的身份登录。因此,只有用户确认权限提升请求后,才有访问重要系统资源的权限。此限制禁用远程部署 DUP 的选项。如果管
理节点代理在这些登录凭据上运行,UAC 会返回 "Access Denied"(拒绝访问)错误。
可以通过以下方法跳过 UAC 限制:
l 允许远程代理使用本地系统帐户执行 DUP 更新。本地系统帐户不受 UAC 保护(推荐选项)。
l 在 DUP 运行的每台远程机器上使用本地管理员帐户。
l 为远程机器上的所有用户禁用 UAC(非推荐选项)。
l 在远程机器上不升级到管理员帐户。
目录
注: 因为可以使用安全策略管理器插件 (secpol.msc) 和组策略配置用户体验,所以有多种 UAC 用户体验。在环境中所做的配置选择会影响标准用户、管理员或两者看到的提示和
对话框。通过禁用 "User Account Control: Run Administrators in Admin Approval Mode"(用户帐户控制:在管理批准模式中运行管理员)设置,可以禁用
UAC,这需要重新引导系统。
注: 只有两个帐户(本地管理员帐户和本地系统帐户)不受 UAC 保护。默认情况下,所有其他具有本地管理员权限或域管理员权限的用户都启用 UAC。尽管可以通过更新本地或域
安全策略禁用 UAC,不过不推荐这样做。远程用户必须以内置本地管理员帐户登录或获取本地系统帐户权限才能远程启动 DUP。