Управління обліковими записами Windows 7. Які типи облікових записів бувають? Пакетна установка програм із магазину Windows

Що таке обліковий запис користувача? Які типи облікових записівбувають і як вони налаштовуються? Про це та про переваги підключення облікової записи Microsoftу Windows 7 розповімо у цій статті.

Облікові записи в Windows – це штатний функціонал, який покликаний забезпечити кільком користувачам одного комп'ютера комфортну роботу з ним.

Персональний обліковий запис - це свого роду особистий простір людини, де він може найбільш зручно для себе організувати роботу з налаштуваннями системи, файлами та програмами в рамках повноважень типу облікового запису, тим самим не заважаючи такому ж процесу роботи з комп'ютером іншому його користувачеві.

Так, в рамках окремого запису кожен з користувачів може вибрати собі тему оформлення, налаштувати розташування іконок на робочому столі, встановити положення плиток на початковому екрані (у випадку з Windows 8.1) налаштувати роботу браузера, медіа-програвачів або додатків соціальних ресурсів. Якщо у різних користувачів комп'ютера є секрети один від одного, вони можуть захистити свої облікові записи паролем.

Які типи облікових записів бувають?

Адміністратор– тип цього облікового запису призначений для користувачів, які мають право вносити зміни в роботу операційної системи (окремими своїми діями або за допомогою програмного забезпечення). Адміністратори мають доступ до всіх файлів комп'ютера, всіх системних служб і встановлених програм, а також до всіх наявних облікових записівсистеми.

Це перший обліковий запис, який з'являється після інсталяції Windows. Обліковий запис адміністратора в організаціях використовується, як правило, лише IT-фахівцями для обслуговування комп'ютера та вжиття заходів безпеки для нерозголошення комерційної таємниці, тоді як працівник, який використовує довірений йому комп'ютер, виконує свої обов'язки, використовуючи стандартний обліковий запис користувача. Часто IT-фахівці за указом керівництва використовують обліковий запис адміністратора для блокування на комп'ютерах працівників організації ігор або можливості відвідування соціальних мережщоб не використовували робочий час для розваг.

Стандартна– це персоніфікований обліковий запис користувача, який передбачає повноцінне використання комп'ютера, за винятком можливості вносити зміни в операційну систему, змінювати її налаштування або видаляти важливі файли. Користувач може назвати такий обліковий запис своїм ім'ям, встановити своє фото як аватарку, а також захистити запис паролем.

Користувачі домашніх комп'ютерів та ноутбуків часто користуються єдиним обліковим записом адміністратора, навіть не підозрюючи, що для окремих членів сім'ї можна створити різні облікові записи. Лише небагато користувачів створюють на домашньому комп'ютерідля дітей окремі облікові записи з деякими обмеженнями – наприклад, з використанням таймера вимкнення, якщо закінчився дозволений батьками час роботи з комп'ютером, або з обмеженнями доступу до шкідливих для дітей сайтів. Окремий стандартний обліковий запис краще створити, якщо ви довіряєте свій комп'ютерний пристрій дорослому, але недосвідченому користувачеві. Це мінімізує ризики внесення до системи небажаних змін.

Гостьова- Це не персоніфікований обліковий запис. Вона є найбільш обмеженою за функціональністю та передбачає тимчасову роботу користувача з комп'ютером. Ви можете перевести комп'ютер на гостьовий обліковий запис, якщо скористатися ним вас попросили сторонні люди– гості, що нагрянули на честь свята, або милі співробітники із сусіднього відділу організації. Вони зможуть посидіти в Інтернеті, попрацювати з якоюсь встановленою програмою, подивитися відео чи послухати музику. І не більше – нічого встановлювати чи видаляти гості без вашого відома не зможуть.

Де знаходяться системні установки облікових записів?

Змінити налаштування існуючого запису, створити нову або видалити невикористовувану у випадку з Windows 7 ви зможете через меню "Пуск". Вам потрібно потрапити до розділу панелі інструментів «Облікові записи користувачів та сімейна безпека».

Якщо у вас встановлена ​​Windows 8/8.1, ви можете скористатися можливостями нового інтерфейсу: необхідно викликати панель, що спливає справа, вибрати «Параметри», потім – «Зміна параметрів комп'ютера – Облікові записи».

Переваги облікового запису Windows 8.1

В попередніх версіяхОС Windows – по 7-му включно – прив'язка до облікового запису Microsoft була такою жорсткою. При установці системи вам пропонується зареєструватися на інтернет-ресурсі софтверного гіганта, але це дійство можна пропустити і продовжити встановлення системи під локальним обліковим записом комп'ютера. При цьому відсутність облікового запису Microsoft на повноцінну роботу з системами Windows XP, Vista або 7 особливо не вплине.

У Windows 8 та її еволюційному продовженні – версії 8.1 – ви, в принципі, також можете пропустити крок реєстрації або входу до вже наявного облікового запису Microsoft. Але ось надалі з використанням лише локального облікового запису комп'ютера активно використовувати функціонал Metro-інтерфейсу у вас не вдасться. Обліковий запис Microsoft знадобиться для роботи з деякими штатними Metro-додатками ("Пошта", "Календар", "Люди", "Повідомлення") та магазином Windows 8/8.1.

Якщо крок підключення облікового запису Microsoft пропущено під час інсталяції Windows 8/8.1, його можна повернутися в будь-який момент. Для цього вам необхідно перейти по вищезгаданому шляху Metro-настройок "Параметри - Зміна параметрів комп'ютера - Облікові записи".

У чому переваги підключення облікового запису Microsoft до Windows 8/8.1?

Єдиний вхід до інтернет-сервісів Microsoft

Обліковий запис Microsoft – це єдиний ключ для використання інтернет-ресурсів софтверного гіганта, серед яких: поштовий сервіс Outlook.Com, хмарне сховище OneDrive, сервіс мобільної ОС Windows Phone, ігровий та мультимедійний сервіс Xbox LIVE Ну і, звичайно, вищезгаданий магазин Metro-додатків для Windows 8/8.1. Для реєстрації облікового запису Microsoft знадобиться електронна поштова скринька, яка і буде надалі логіном для входу.

Синхронізація даних та налаштувань Windows 8/8.1

Під час переустановки або використання цієї системи на іншому пристрої, підключення облікового запису Microsoft та синхронізація даних дає вам вже налаштовану раніше систему – з параметрами оновлення, з мережними налаштуваннями, з обраною темою оформлення, з мовними налаштуваннями тощо.

Пакетна установка програм із магазину Windows

Крім синхронізації деяких штатних програм, в магазині Windows в окремому розділі «Обліковий запис» відображатиметься список програм, які ви встановлювали раніше. З цього списку можна вибрати всі або деякі з них і активувати їх пакетну установку на комп'ютер. Враховуючи, що програми встановлюються швидко, відновити бажаний стан можна дуже швидко.

Частими є ситуації, коли одним комп'ютером користуються кілька людей. При цьому може знадобитися дозволити одним користувачам одне, іншим іншим. Наприклад, одним користувачам можна дозволити інсталювати програми на комп'ютер, а іншим не дозволити. Крім того, можна одним користувачам дозволити користуватися програмою або файлом, а іншим заборонити. І, нарешті, можна зробити так, щоб у кожного користувача комп'ютера були свої налаштування та оформлення Робочого столу, вікон та й Windows в цілому.

Щоб усе це було можливим, необхідно кожного з ймовірних користувачів зареєструвати в системі – завести на нього обліковий запис. Це як облікова картка у відділі кадрів.

Під час завантаження системи у вікні вітання відображається список зареєстрованих користувачів, яким дозволено вхід до системи. Щоб продовжити роботу, ви повинні вказати, під яким користувачем ви збираєтеся працювати, і ввести відповідний пароль. Після цього система остаточно завантажиться, з урахуванням індивідуальних налаштувань користувача.

Створення облікового запису

Для створення нового облікового запису необхідно перейти на Панель керування (Пуск Панель керування) та клацнути по значку

Облікові записи користувачів. В результаті на екрані з'явиться однойменне діалогове вікно (див. рис. 5.1), в якому ви зможете робити різні операції над вашим власним обліковим записом, під яким ви працюєте в системі Наразі. Редагувати облікові записи ми навчимося в наступному розділі, а зараз давайте з'ясуємо, як створюється новий обліковий запис.

Рис. 5.1. Діалогове вікно «Облікові записи користувачів»

Після цього перейдіть до іншого вікна, показаного на рис. 5.2. Це вікно є найбільш загальним і дозволяє перейти до редагування не тільки вашого, але й інших облікових записів. Однак нас зараз цікавить посилання на Створення облікового запису. Клацніть на ній мишкою. Перше, що від вас потрібно вказати, - це тип створюваного облікового запису, тобто права доступу, якими повинен мати власник облікового запису, що створюється (рис. 5.3). При цьому можливі два значення:

Рис. 5.2. Існуючі облікові записи в системі

Адміністратор – у цьому випадку користувач з даним обліковим записом матиме адміністраторські права. Він отримає повний контроль над ресурсами системи та зможе змінювати будь-які налаштування та виконувати всі можливі дії.

Звичайний доступ – у цьому випадку права користувача-власника цього облікового запису будуть значно урізані. Він не матиме доступу до основних налаштувань системи, а також не зможе користуватися деякими програмами. Також він не зможе встановлювати більшість програм.

Крім того, потрібно ввести ім'я нового облікового запису в розташованому зверху полі. Щоб створити обліковий запис, натисніть кнопку Створити обліковий запис. Після цього обліковий запис буде створено та з'явиться у вікні Облікові записи користувачів (рис. 5.3).

Рис. 5.3. Створення нового облікового запису – задаємо права доступу та ім'я

Залишається тепер настроїти її (за замовчуванням вона не має свого пароля).

Налаштування та редагування облікового запису

Щоб настроїти обліковий запис, необхідно спочатку натиснути на нього у вікні Облікові записи користувачів (рис. 5.2). Після цього перед вами постане список можливих налаштувань та операцій, які можна зробити з цим обліковим записом (рис. 5.4):

Зміна імені.

Створення пароля (або Зміна пароля).

Зміна малюнка.

Зміна типу облікового запису.

Видалення облікового запису.

Встановлення батьківського контролю

Рис. 5.4. Редагування облікового запису

Встановлення пароля для облікового запису

Надалі ви можете зробити будь-які з зазначених дій, але відразу після створення нового облікового запису насамперед необхідно задати пароль. Тому натисніть на посилання Створення пароля і в вікні (мал. 5.5) двічі введіть пароль, а внизу – підказку. Проте підказку можна й не вводити.

Після закінчення натисніть кнопку Створити пароль.

Зміна зображення облікового запису

Незайвим можливо змінити картинку, що служить для позначення облікового запису. Для цього, після того, як ви у вікні Облікові записи користувачів (мал. 5.2) оберете обліковий запис, слід клацнути мишкою за посиланням Зміна малюнка.

Рис. 5.5.Створення пароля

Рис. 5.6. Задаємо нову картинку для облікового запису

В результаті цих надскладних дій перед вами на екрані з'явиться набір малюнків, які можна привласнити облікового запису (рис. 5.6). Виберіть уподобаний і натисніть кнопку Змінити малюнок. Якщо жодний із пропонованих стандартних малюнків вас не спокусив, ви можете вказати свій малюнок. Для цього слід клацнути мишкою за посиланням Пошук інших малюнків та вказати, що за малюнок ви хочете використати.

Видалення облікового запису

Для видалення облікового запису слід вибрати її спочатку в вікні Облікові записи користувачів (рис.5.2), а потім внесок властивості облікового запису (див. рис. 5.4) клацнути мишкою за посиланням Видалення облікового запису. Після цього вам буде поставлено запитання, а чи хочете ви зберегти особисті файли, що належать користувачеві з обліковим записом, що видаляється (рис. 5.7). Якщо ви погодитеся видалити, буде видалено папки Документи, Зображення і т.д., а значить, і все, що в ці папки містилося, коли на комп'ютері працював користувач з даним обліковим записом.

Рис. 5.7. Видалення облікового запису

У цій статті розповімо про "Контроль облікових записів користувачів", в основі якого було закладено принцип найменш привілейованого користувача. Порівняно з Windows Vistaта Server 2008 у системах Windows 7 та Server 2008 R 2 з'явилися кілька покращень у його функціоналі. Також докладно розповімо про маркери доступу та процес входу в систему.

Більшість проблем, пов'язаних з безпекою в останніх версіях Windows були викликані однією головною причиною: більшість користувачів запускали Windows, маючи права адміністратора. Адміністратори можуть робити все, що завгодно з комп'ютером, що працює під керуванням Windows: інсталювати програми, додавати пристрої, оновлювати драйвера, інсталювати оновлення, змінювати параметри реєстру, запускати службові програми, а також створювати та модифікувати облікові записи користувачів. Незважаючи на те, що це дуже зручно, наявність цих прав призводить до виникнення величезної проблеми: будь-яка шпигунська програма, яка впровадилася в систему, теж зможе працювати, маючи права адміністратора, і, таким чином, може завдати величезної шкоди, як самому комп'ютеру, так і всьому, що до нього підключено.

У Windows XP цю проблему намагалися вирішити шляхом створення другого рівня облікових записів, званих обмеженими користувачами, які мали тільки самі необхідними дозволамиале мали ряд недоліків. У Windows Vista знову спробували вирішити цю проблему. Це рішення називається "Контроль облікових записів користувачів", в основі якого було закладено принцип найменш привілейованого користувача.

Ідея полягає в тому, щоб створити рівень облікового запису, який мав би прав не більше, ніж йому потрібно. Під такими обліковими записами неможливо вносити зміни до Реєстру та виконувати інші адміністративні завдання. Контроль облікових записів використовується для сповіщення користувача перед внесенням змін, які потребують прав адміністратора.

З появою UAC модель управління доступом змінилася таким чином, щоб можна було допомогти пом'якшити наслідки шкідливих програм. Коли користувач намагається запустити певні компоненти системи або служби, з'являється діалог контролю обліковими записами, який дає користувачеві право вибору: чи продовжувати дію для отримання адміністративних привілеїв чи ні. Якщо користувач не має права адміністратора, то він повинен у відповідному діалозі надати дані облікового запису адміністратора для запуску необхідної програми.

Для застосування установок UAC вимагає лише схвалення адміністратора, тому несанкціоновані додатки не зможуть встановлюватися без явної згоди адміністратора. У цій статті докладно розписано принцип роботи "Контролю облікових записів користувачів" в операційній системі Windows 7

У порівнянні з Windows Vista та Windows Server 2008 в операційних системах Windows 7 та Windows Server 2008 R2 з'явилися наступні покращення у функціоналі контролю облікових записів користувачів:

Збільшилася кількість завдань, які може виконувати звичайний користувач без запиту на підтвердження адміністратором;

Користувачеві з правами адміністратора дозволяється налаштовувати рівень UAC із "Панелі Управління";

Існують додаткові налаштування локальної політикибезпеки, які дозволяють локальним адміністраторам змінювати поведінку повідомлень UAC для локальних адміністраторів як схвалення адміністратором;

Існують додаткові установки локальної політики безпеки, які дозволяють локальним адміністраторам змінювати поведінку повідомлень UAC для звичайних користувачів.

Більшості користувачів не потрібний такий високий рівень доступу до комп'ютера та операційної системи. Найчастіше користувачі не підозрюють, що вони увійшли до системи як адміністратори, коли вони перевіряють електронну пошту, займаються веб-серфінгом або запускають програмне забезпечення. Шкідлива програма, встановлена ​​адміністратором, може пошкодити систему та впливати на всіх користувачів. У зв'язку з тим, що UAC вимагає схвалення адміністратором застосування установки, несанкціоновані додатки не можуть бути встановлені автоматично без явної згоди адміністратором системи.

У зв'язку з тим, що UAC дозволяє користувачам запускати програми як звичайні користувачі:

ІТ-відділи можуть бути впевнені в цілісності їх довкілля, включаючи системні файли, журнали аудиту, а також налаштування системи;

Адміністраторам більше не доводиться витрачати багато часу на визначення дозволів на завдання на окремих комп'ютерах;

Адміністраторам надається більш ефективний контроль за ліцензуванням програмного забезпечення, оскільки вони можуть забезпечити встановлення лише авторизованих додатків. Їм більше не доведеться турбуватися про можливі загрози їхнім мережам через неліцензійне або шкідливе програмне забезпечення.

Специфікації UAC

Маркер доступу. Маркери доступу містять інформацію безпеки сеансу входу, що визначає користувача, групи користувачів та привілеї. Операційна система використовує маркер доступу для контролю доступу до об'єктів, що захищаються, і контролює можливість виконання користувачем різних пов'язаних з системою операцій на локальному комп'ютері. Маркери доступу UAC - це особливий вид маркерів доступу, що визначають мінімальні привілеї, необхідні для роботи - привілеї інтерактивного доступу за промовчанням користувача Windowsу системі з увімкненою функцією UAC. Другий маркер, маркер повного доступу адміністратора, має максимальні привілеї, дозволені для облікового запису адміністратора. Коли користувач входить до системи, для цього користувача створюється маркер доступу. Маркер доступу містить інформацію про рівень доступу, який видається користувачеві, зокрема ідентифікатори безпеки (SID).

Режим схвалення адміністратором. Режим схвалення адміністратором - це конфігурація управління обліковими записами користувачів, в якій для адміністратора створюється маркер користувача комбінованого доступу. Коли адміністратор входить до комп'ютера з Windows, йому призначаються два окремі маркери доступу. Якщо режим схвалення адміністратором не використовується, адміністратор отримує лише один маркер доступу, який надає йому доступ до всіх ресурсів Windows.

Запит згоди. Запит згоди відображається у випадку, коли користувач намагається виконати завдання, яке вимагає права адміністратора. Користувач дає згоду або відмовляється, натискаючи кнопку "Так" або "Ні".

Запит облікових даних. Запит облікових даних відображається для звичайних користувачів у тому випадку, коли вони намагаються виконати завдання, яке потребує доступу адміністратора. Користувач повинен вказати ім'я та пароль облікового запису, який входить до групи локальних адміністраторів.

Принцип роботи UAC

Контроль облікових записів користувачів (UAC) допомагає запобігти зараженню комп'ютера від шкідливих програм, допомагаючи організаціям ефективно розгортати настільні програми.

З використанням UAC, програми та завдання завжди запускаються в безпечній області від неадміністраторського облікового запису, якщо адміністратор надає права для адміністративного доступу до системи.

Панель управління UAC дозволяє вибрати один із чотирьох варіантів:

Повідомляти при кожній зміні, що вноситься в систему: така поведінка присутня у Vista - діалог UAC з'являється щоразу, коли користувач намагається внести будь-яку зміну в систему ( налаштування Windows, встановлення додатків тощо);

Повідомлення тільки тоді, коли програми намагаються внести зміни до системи: у цьому випадку повідомлення не з'явиться при внесенні змін до Windows, наприклад, через панель керування та оснащення;

Повідомляти лише тоді, коли програми намагаються внести зміни до системи без використання безпечного робочого столу: те ж саме, що і пункт 2, за винятком того, що діалог UAC з'являється у вигляді традиційного діалогу, а не в режимі безпечного робочого столу. Незважаючи на те, що це може виявитися зручним у разі використання певних графічних драйверів, що ускладнюють перемикання між робочими столами, цей режим є бар'єром на шляху додатків, що імітують поведінку UAC;

Ніколи не повідомляти: дане налаштуванняповністю відключає UAC.

Процес входу в систему у Windows 7

На наступному малюнку показано, як відрізняється процес входу в систему адміністратора від стандартного користувача.

Для забезпечення безпеки, за промовчанням, доступ до системних ресурсів та програм, звичайних користувачів та адміністраторів надається в режимі звичайного користувача. Коли користувач входить до системи, то створюється маркер доступу. Маркер доступу містить інформацію про рівень доступу, який задається користувачеві, зокрема ідентифікатори безпеки (SID).

Коли адміністратор входить до системи, створюється два окремі маркери: маркер доступу стандартного користувача і маркер повного доступу адміністратора. У стандартному доступі користувача міститься та сама користувальницька інформація, що і в маркері повного доступу адміністратора, але без адміністративних привілеїв і SID. Маркер доступу стандартного користувача використовується для запуску програм, які не виконують адміністративних завдань. Доступ стандартного користувача використовується лише для відображення робочого столу (explorer.exe). Explorer.exe є батьківським процесом, з якого користувач може запускати інші процеси, успадковані своїм маркером доступу. В результаті всі програми запускаються від імені звичайного користувача, крім випадків, коли програми вимагає використання адміністративного доступу.

Користувач, який є членом групи "Адміністратори", може увійти в систему для перегляду веб-сторінок та читання повідомлень електронної поштипри використанні стандартного маркера доступу користувача. Коли адміністратору необхідно виконати завдання, яке вимагає від нього маркер адміністративного користувача, Windows 7 автоматично покаже повідомлення для використання адміністративних прав. Це повідомлення називається запитом облікових даних, а його поведінка може бути налаштована за допомогою оснастки локальної політики безпеки (Secpol.msc) або групових політик.

Кожна програма, яка вимагає маркер доступу адміністратора, повинна запускатися за згодою адміністратора. Винятком є ​​взаємозв'язок між батьківським та дочірнім процесами. Дочірні процеси успадковують маркер доступу користувачів із батьківського процесу. Обидва процеси батька та дитини повинні мати однаковий рівень інтеграції.

Windows 7 захищає процеси за допомогою маркування рівнів інтеграції. рівні інтеграції вимірюються довірою. Програми з " високої " інтеграцією - це програми, виконують завдання, які можуть змінювати системні дані. А додатки з "низькою" інтеграцією - це завдання, які потенційно можуть завдати шкоди операційній системі. Програми з нижчим рівнем інтеграції не можуть змінювати дані у додатках із високим рівнем інтеграції.

Коли звичайний користувач намагається запустити програму, яка вимагає маркер доступу адміністратора, UAC вимагає користувача надати дані адміністратора.

Можливості користувача UAC

При включеному UAC, можливості користувача відрізняються від можливостей адміністратора в режимі схвалення адміністратором. Існує ще безпечніший метод входу в систему Windows 7 - створення основного облікового запису із правами звичайного користувача. Робота як звичайного користувача дозволяє максимально підвищити ступінь безпеки. Завдяки вбудованому в UAC компоненту повноважень звичайні користувачі можуть легко виконувати адміністративні завдання шляхом введення даних локального облікового запису адміністратора.

Альтернативний варіант запуску програм звичайним користувачем є запуск програм з підвищеними правами адміністратора. За допомогою вбудованого в UAC компонента облікових даних, члени локальної групи Адміністратори можуть легко виконувати адміністративні завдання шляхом надання даних, що затверджують. За промовчанням вбудований компонент облікових даних для облікового запису адміністратора в режимі схвалення називається запитом згоди. Запит облікових даних UAC може бути налаштований за допомогою оснастки локальної політики безпеки (Secpol.msc) або групових політик.

З увімкненим UAC, Windows 7 запитує згоду або облікові дані запису локального адміністратора, перед запуском програми або завдання, яке вимагає маркер повного доступу адміністратора. Цей запит не гарантує, що шпигунські програмиможуть бути встановлені у тихому режимі.

Запит згоди відображається у випадку, коли користувач намагається виконати завдання, яке вимагає маркер доступу адміністратора. Нижче наведено скріншот із запитом згоди UAC.

Запит облікових даних відображається, коли звичайний користувач намагається запустити завдання, яке вимагає маркер доступу адміністратора. Цей запит для звичайного користувача може бути налаштований за допомогою оснастки локальної політики безпеки (Secpol.msc) або групових політик. Запит облікових даних також може бути настроєний для адміністраторів за допомогою зміни політики Контроль облікових записів: поведінка запиту на підвищення прав для адміністраторів у режимі схвалення адміністратором зі значенням Запит облікових даних.

На наступному скріншоті відображається приклад запиту повноважень UAC.

Запити на підвищення прав UAC

Запити на підвищення прав UAC мають колірне маркування для конкретних додатків, що дозволяє негайно ідентифікувати потенційний ризик безпеки. Коли програма намагається запуститися з маркером повного доступу адміністратора, Windows 7 спочатку аналізує файл, що виконується, для визначення видавця. Насамперед, програми діляться на 3 категорії видавців виконуваного файлу: Windows 7, перевірений видавець (підписаний), не перевірений видавець (не підписаний). На наступному зображенні відображається те, як Windows 7 визначає колір запиту підвищення відображати користувачеві.

Колірне маркування запитів на підвищення прав таке:

Значок щита відображається на червоному тлі: програма блокується за допомогою групової політики або блокується через невідомого видавця.

На блакитному тлі відображається золотистий щит значок: програма є адміністративним. програмою Windows 7, таким як "Панель керування".

На блакитному фоні відображається синій піктограма щита: програма підписана і є довіреною на локальному комп'ютері.

На жовтому фоні відображається жовтий значок щита: програма не підписана або підписана, але не є довіреною на локальному комп'ютері.

Запити на підвищення прав використовують те ж кольорове маркування, що й діалогові вікнау Windows Internet Explorer 8.

Значок щита

Деякі елементи панелі керування, такі як Дата і час, містять комбінацію операцій адміністратора та звичайних користувачів. Звичайні користувачіможуть бачити час і змінювати часовий пояс, маркер повного доступу адміністратора вимагає зміни дати і часу системи. Нижче наведено скріншот діалогу "Дата та час" панелі керування.

Значок щита на кнопці "Змінити дату та час" вказує на те, що цей процес вимагає маркеру повного доступу адміністратора і відобразить запит на підвищення прав UAC .

Забезпечення запиту підвищення прав

Процес підвищення прав забезпечує прямі запити захисту робочого стола. Запити згоди та облікових даних відображаються за промовчанням у Windows 7 для забезпечення безпеки системи. Тільки системні процеси можуть отримати повний доступ до безпечного робочого середовища. Для досягнення більш високого рівнябезпеки рекомендується ввімкнути групову політикуКонтроль облікових записів: перехід до безпечного робочого стола під час виконання запиту на підвищення прав.

Коли файли, що виконуються, просять підвищення прав, інтерактивний робочий стіл, званий також робочим столом, переключається на безпечний робочий стіл. Безпечний робочий стіл затемняє і відображає запит на підвищення прав, в якому користувач повинен прийняти рішення для продовження виконання завдання. Коли користувач натискає кнопку "Так" або "Ні", робочий стіл знову перемикається на користувальницький.

Шкідливе програмне забезпечення може імітувати безпечний робочий стіл, але при включеній політиці Контроль облікових записів: поведінка запиту на підвищення прав для адміністраторів у режимі схвалення адміністратором зі значенням "Запит згоди" шкідлива програма не зможе отримати підвищені права, якщо навіть користувач натисне кнопку "Так ". Якщо параметр політики має значення "Запит облікових даних", зловмисне програмне забезпечення зможе збирати облікові дані користувачів.