在Windows7操作系統中,提出了一個新的計算機安全管理機制,即UAC(用戶帳戶控制)。這個功能到底有什麼用呢?簡單的說,就是其他用戶對操作系統做了更改,而這些更改需要有管理員權限的,此時操作系統就會自動通知管理員,讓其判斷是否允許采用這個更改。雖然在以前的版本中,也有這方面的限制。但是在Windows7中有了很大的改善。其不但對細分了控制的級別,而且還會自動通知管理員。像在以前的版本中,只是提示用戶沒有這方面的權限,讓他們通知管理員。所以,采用了最新的UAC功能後,操作系統管理就更加的人性化。那麼這個功能具體如何使用呢?不要急,筆者將詳細為大家介紹這個新功能。
一、管理員根據需要可以選擇不同的控制級別。
如下圖所示,在Windows7 中,將這個控制級別分為四個級別。最高的級別是“始終通知我”,即用戶安裝應用軟件或者對應用軟件進行升級、應用軟件在用戶知情或者不知情的情況下對操作系統進行更改、修改Windows設置等等,都會向系統管理員匯報。
安全 style="DISPLAY: inline-block; FILTER: progid:DXImageTransform.Microsoft.AlphaImageLoader(src='/tech/UploadPic/2010927/201092794018743.PNG', sizingMethod='scale'); WIDTH: 591px; HEIGHT: 243px">
第二個級別為“僅在應用程序試圖嘗試改變計算機時”通知系統管理員。這個級別是操作系統的默認控制級別。他與第一個級別的主要差異就在於改變Windows設置時不會通知系統管理員。在這個級別下,即使操作系統上有惡意程序在運行,也不會給操作系統造成多大的負面影響。因為其惡意程序不能夠在系統管理員不知情的情況下修改系統的配置,如更改注冊表、更改IE浏覽器的默認頁面、更改服務啟動列表等等。為此對於大部分用戶來說,特別是企業用戶來說,這個安全級別已經夠用。級別太高的話,就太過於死板了。可能系統管理員要不斷的為此奔忙了。
第三個級別與第四個級別其安全性逐漸降低,最後到所有都不通知為止。其實這個控制級別跟原先IE浏覽器的控制級別類似,都是微軟自定義的控制級別。作為系統管理員需要了解各個級別控制的具體內容,然後根據企業的實際情況,來設置安全級別。通常來說,安全級別越高,操作系統越安全。但是系統管理員可能需要抽出更多的時間來應對用戶的抱怨。因為可能用戶對操作系統任何的更改都需要告知系統管理員。魚與熊掌不可兼得,系統管理員需要在安全與便利性上取得一個均衡。
在Windows7操作系統中,提出了一個新的計算機安全管理機制,即UAC(用戶帳戶控制)。這個功能到底有什麼用呢?簡單的說,就是其他用戶對操作系統做了更改,而這些更改需要有管理員權限的,此時操作系統就會自動通知管理員,讓其判斷是否允許采用這個更改。雖然在以前的版本中,也有這方面的限制。但是在Windows7中有了很大的改善。其不但對細分了控制的級別,而且還會自動通知管理員。像在以前的版本中,只是提示用戶沒有這方面的權限,讓他們通知管理員。所以,采用了最新的UAC功能後,操作系統管理就更加的人性化。那麼這個功能具體如何使用呢?不要急,筆者將詳細為大家介紹這個新功能。
一、管理員根據需要可以選擇不同的控制級別。
如下圖所示,在Windows7 中,將這個控制級別分為四個級別。最高的級別是“始終通知我”,即用戶安裝應用軟件或者對應用軟件進行升級、應用軟件在用戶知情或者不知情的情況下對操作系統進行更改、修改Windows設置等等,都會向系統管理員匯報。
安全 style="DISPLAY: inline-block; FILTER: progid:DXImageTransform.Microsoft.AlphaImageLoader(src='/tech/UploadPic/2010927/201092794018743.PNG', sizingMethod='scale'); WIDTH: 591px; HEIGHT: 243px">
第二個級別為“僅在應用程序試圖嘗試改變計算機時”通知系統管理員。這個級別是操作系統的默認控制級別。他與第一個級別的主要差異就在於改變Windows設置時不會通知系統管理員。在這個級別下,即使操作系統上有惡意程序在運行,也不會給操作系統造成多大的負面影響。因為其惡意程序不能夠在系統管理員不知情的情況下修改系統的配置,如更改注冊表、更改IE浏覽器的默認頁面、更改服務啟動列表等等。為此對於大部分用戶來說,特別是企業用戶來說,這個安全級別已經夠用。級別太高的話,就太過於死板了。可能系統管理員要不斷的為此奔忙了。
第三個級別與第四個級別其安全性逐漸降低,最後到所有都不通知為止。其實這個控制級別跟原先IE浏覽器的控制級別類似,都是微軟自定義的控制級別。作為系統管理員需要了解各個級別控制的具體內容,然後根據企業的實際情況,來設置安全級別。通常來說,安全級別越高,操作系統越安全。但是系統管理員可能需要抽出更多的時間來應對用戶的抱怨。因為可能用戶對操作系統任何的更改都需要告知系統管理員。魚與熊掌不可兼得,系統管理員需要在安全與便利性上取得一個均衡。
四、通過域安全策略來統一這個管理級別。
企業中的客戶端數量往往不在少數。一個系統管理員管理的客戶端沒有幾百台的話,也有幾十台。如果一一的去調整這個UAC的控制級別,顯然是一項重復、無挑戰性的工作。根據筆者的測試,其實這個UAC控制級別可以跟組策略或者域安全策略結合使用。即可以在域控制器級別上或者組級別上設置這個級別。然後當客戶端加入到這個域或者這個組的話,就會繼承這個管理級別。也就是說,不需要在各個客戶端上再進行一一配置。說實話,微軟在這方面一直都做的不錯。雖然微軟的域環境搭建與管理起來是復雜一點,但是其功能還是比較強大的。如果要讓Windows操作系統的一些高級功能應用的更加順手,則這個域環境往往是少不了的。至少這個域環境能夠提供一個統一管理各個客戶端的平台。
不過由於各種原因,筆者現在還沒有測試Windows7操作系統的新功能與Windows2003域控制器之間的兼容性。由於域控制器是企業網絡中的關鍵設備,系統管理員出於安全與穩定性的考慮,往往不會急著對其進行升級。筆者有機會時會測試一下Windows7客戶端如何與Windows2003域控制器兼容。各位讀者若對這方面比較感興趣的話,可以繼續關注筆者後續的經驗共享。
