使用者帳戶控制(UAC)是Windows Server 2008、Windows Server 2008 R2、Windows 7以及Windows Vista之中的一項機制,它提供了可能由不同的程式所呼叫的管理工作之間的互動通知。安裝在伺服器上的微軟與非微軟的應用程式都會受到UAC的影響。檔案是否有使用UAC的最明顯指標就是捷徑上的盾牌圖示(參見圖 A)。
圖 A
Windows Server 2008與Windows 7的UAC功能的確很棒,但我卻不認為僅供作一般用途系統使用的伺服器平台有此需要。你可以在Group Policy Object (GPO)之中設定三個數值,就可以設定電腦帳戶不要執行UAC。這些數值位在Computer Configuration | Policies | Windows Settings | Security Settings | Local Policies | Security Options,它們具有以下數值:
User Account Control: 在Admin Approval Mode之中提升對管理者的提醒
User Account Control: 偵測應用程式安裝與提升的提醒
User Account Control: 開啟Admin Approval Mode
這些數值分別被設定成在關閉電腦帳戶的UAC時,無需提醒提升、關閉與啟動。這個GPO顯示在圖B,數值則是用來設定組態元件。
圖 B
在此範例之中,這個名為Filter-GPO-ServerOS的GPO是透過電腦帳戶的安全群組來設定過濾器。最好養成好習慣將GPO設定到包含有伺服器電腦帳戶的安全群組,並且將一個設定給特定的工作站帳戶。這些數值需要電腦重新啟動才能夠夠過Group Policy啟用。此外,UAC的盾牌圖示仍然不會消失,但是後續對應用程式的存取將再也不會提示UAC。
沒有留言:
張貼留言