Групповые политики windows 7 права пользователя

Групповые политики нужны для управления операционной системы Windows. Они применяются во время персонализации интерфейса, ограничения доступа к определенным ресурсам системы и многого другого. Используют данные функции преимущественно системные администраторы. Они создают однотипную рабочую среду на нескольких компьютерах, ограничивают доступ пользователям. В этой статье мы подробно разберем групповые политики в Windows 7, расскажем про редактор, его настройку и приведем некоторые примеры групповых политик.

Редактор групповой политики

В Windows 7 Домашняя Базовая/Расширенная и Начальная редактор групповых политик просто отсутствует. Разработчики позволяют использовать его только в профессиональных версиях Виндовс, например, в Windows 7 Максимальная. Если вы не обладаете этой версией, то те же действия вам придется выполнять через изменения параметров реестра. Давайте подробнее рассмотрим редактор.

Запуск редактора групповой политики

Переход к среде работы с параметрами и настройками осуществляется за несколько простых действий. Вам только необходимо:

1. Зажать клавиши Win + R, чтобы открыть «Выполнить».



2. Напечатать в строке gpedit.msc и подтвердить действие, нажав «ОК». Далее запустится новое окно.

Теперь можно приступать к работе в редакторе.

Работа в редакторе

Разделяется главное окно управления на две части. Слева располагается структурированные категории политик. Они в свою очередь делятся еще на две различные группы – настройка компьютера и настройка пользователя.

В правой части отображается информация о выбранной политике из меню слева.

Из этого можно сделать вывод, что работа в редакторе осуществляется путем перемещения по категориям для поиска необходимой настройки. Выберите, например, «Административные шаблоны» в «Конфигурации пользователя» и перейдите в папку «Меню «Пуск» и диспетчер задач». Теперь справа отобразятся параметры и их состояния. Нажмите на любую строку, чтобы открыть ее описание.

Настройки политики

Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на определенную строку. Вид окон может отличаться, все зависит от выбранной политики.

Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит напротив «Не задано», то политика не действует. «Включить» – она будет работать и активируются настройки. «Отключить» – находится в рабочем состоянии, однако параметры не применяются.

Рекомендуем обратить внимание на строку «Поддерживается» в окне, она показывает, на какие версии Windows распространяется политика.

Фильтры политик

Минусом редактора является отсутствие функции поиска. Существует множество различных настроек и параметров, их больше трех тысяч, все они разбросаны по отдельным папкам, а поиск приходится осуществлять вручную. Однако данный процесс упрощается благодаря структурированной группе из двух ветвей, в которых расположились тематические папки.

Например, в разделе «Административные шаблоны», в любой конфигурации, находятся политики, которые никак не связаны с безопасностью. В этой папке находится еще несколько папок с определенными настройками, однако можно включить полное отображение всех параметров, для этого нужно нажать на ветвь и выбрать пункт в правой части редактора «Все параметры», что приведет к открытию всех политик данной ветви.

Экспорт списка политик

Если все-таки появляется необходимость найти определенный параметр, то сделать это можно только путем экспорта списка в текстовый формат, а потом уже через, например Word, осуществлять поиск. В главном окне редактора есть специальная функция «Экспорт списка», он переносит все политики в формат TXT и сохраняет в выбранном месте на компьютере.

Применение фильтрации

Благодаря появлению ветви «Все параметры» и улучшению функции фильтрации поиск практически не нужен, ведь лишнее откидывается путем применения фильтров, а отображаться будут только необходимые политики. Давайте подробнее рассмотрим процесс применения фильтрации:

1. Выберите, например, «Конфигурация компьютера», откройте раздел «Административные шаблоны» и перейдите в «Все параметры».



2. Разверните всплывающее меню «Действие» и перейдите в «Параметры фильтра».



3. Поставьте галочку возле пункта «Включить фильтры по ключевым словам». Здесь имеется несколько вариантов подбора соответствий. Откройте всплывающее меню напротив строки ввода текста и выберите «Любой» – если нужно отображать все политики, которые соответствуют хотя бы одному указанному слову, «Все» – отобразит политики, содержащие текст из строки в любом порядке, «Точный» – только параметры, точно соответствующие заданному фильтру по словам, в правильном порядке. Флажками снизу строки соответствий отмечаются места, где будет осуществляться выборка.



4. Нажмите «ОК» и после этого в строке «Состояние» отобразятся только подходящие параметры.

В том же всплывающем меню «Действие» ставится или убирается галочка напротив строки «Фильтр», если нужно применить или отменить заранее заданные настройки подбора соответствий.

Принцип работы с групповыми политиками

Рассматриваемый в этой статье инструмент позволяет применять множество самых разнообразных параметров. К сожалению, большинство из них понятно только профессионалам, использующим групповые политики в рабочих целях. Однако и обычному пользователю есть что настроить, используя некоторые параметры. Разберем несколько простых примеров.

Изменение окна безопасности Windows

Если в Виндовс 7 зажать сочетание клавиш Ctrl + Alt + Delete, то будет запущено окно безопасности, где осуществляется переход к диспетчеру задач, блокировка ПК, завершение сеанса системы, смена профиля пользователя и пароля.

Каждая команда за исключением «Сменить пользователя» доступна для редактирования путем изменения нескольких параметров. Выполняется это в среде с параметрами или путем изменения реестра. Рассмотрим оба варианта.

1. Откройте редактор.
2. Перейдите в папку «Конфигурация пользователя», «Административные шаблоны», «Система» и «Варианты действий после нажатия Ctrl + Alt + Delete».



3. Откройте любую необходимую политику в окне справа.



4. В простом окне управления состоянием параметра поставьте галочку напротив «Включить» и не забудьте применить изменения.

Пользователям, у которых нет редактора политик, все действия нужно будет выполнять через реестр. Давайте рассмотрим все действия пошагово:

1. Перейдите к редактированию реестра.

Подробнее: Как открыть редактор реестра в Windows 7

2. Перейдите к разделу «System». Он находится по этому ключу:

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

3. Там вы увидите три строки, отвечающие за появление функций в окне безопасности.



4. Откройте необходимую строку и поменяйте значение на «1», чтобы активировать параметр.

После сохранения изменений деактивированные параметры больше не будут отображаться в окне безопасности Windows 7.

Изменения панели мест

Многие используют диалоговые окна «Сохранить как» или «Открыть как». Слева отображается навигационная панель, включая раздел «Избранное». Данный раздел настраивается стандартными средствами Windows, однако это долго и неудобно. Поэтому лучше воспользоваться групповыми политиками для редактирования отображения значков в данном меню. Редактирование происходит следующим образом:

1. Перейдите в редактор, выберите «Конфигурация пользователя», перейдите к «Административные шаблоны», «Компоненты Windows», «Проводник» и конечной папкой будет «Общее диалоговое окно открытия файлов».



2. Здесь вас интересует «Элементы, отображаемые в панели мест».



3. Поставьте точку напротив «Включить» и добавьте до пяти различных путей сохранения в соответствующие строки. Справа от них отображается инструкция правильного указания путей к локальным или сетевым папкам.

Теперь рассмотрим добавление элементов через реестр для пользователей, у которых отсутствует редактор.

1. Перейдите по пути:

HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

2. Выберите папку «Policies» и сделайте в ней раздел comdlg32.



3. Перейдите в созданный раздел и сделайте внутри него папку Placesbar.



4. В этом разделе потребуется создать до пяти строковых параметров и назвать их от «Place0» до «Place4».



5. После создания откройте каждый из них и в строку введите необходимый путь к папке.

Слежение за завершением работы компьютера

Когда вы завершаете работу за компьютером, выключение системы происходит без показа дополнительных окон, что позволяет не быстрее выключить ПК. Но иногда требуется узнать почему происходит выключение или перезапуск системы. В этом поможет включение специального диалогового окна. Включается оно с помощью редактора или путем изменения реестра.

1. Откройте редактор и перейдите к «Конфигурация компьютера», «Административные шаблоны», после чего выберите папку «Система».



2. В ней нужно выбрать параметр «Отображать диалог слежения за завершением работы».



3. Откроется простое окно настройки, где необходимо поставить точку напротив «Включить», при этом в разделе параметры во всплывающем меню необходимо указать «Всегда». После не забудьте применить изменения.

Данная функция включается и через реестр. Вам нужно совершить несколько простых действий:

1. Запустите реестр и перейдите по пути:

HKLMSoftwarePoliciesMicrosoftWindows NTReliability



2. Найдите в разделе две строки: «ShutdownReasonOn» и «ShutdownReasonUI».
3. Введите в строку с состоянием «1».

Читайте также: Как узнать, когда в последний раз включался компьютер

В этой статье мы разобрали основные принципы использования групповых политик Виндовс 7, объяснили значимость редактора и сравнили его с реестром. Ряд параметров предоставляет пользователям несколько тысяч различных настроек, позволяющие редактировать некоторые функции пользователей или системы. Работа с параметрами осуществляется по аналогии с приведенными выше примерами.

Друзья, в одной из недавних статей сайта мы рассмотрели 5 способов ограничения возможностей пользователей компьютеров, реализуемых за счёт превалирования учётных записей администраторов над стандартными и использования функционала типа «Родительский контроль». В этой статье продолжим тему осуществления контроля пользователей, которым мы вынуждены иногда доверять свои компьютеры, однако не можем быть уверенными в их действиях в силу неосознанности или неопытности. Рассмотрим, какие ещё действия детей и неопытных взрослых можно ограничить в среде Windows. И для этих целей будем использовать штатный инструмент локальной групповой политики, доступный в редакциях Windows, начиная с Pro.

Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров:

• «Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей;

• «Конфигурация пользователя» – каталог, содержащий параметры отдельных пользователей компьютера.

Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких-то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое-что настроить.

Как сделать так, чтобы с помощью локальной групповой политики можно было вносить изменения только для отдельных учётных записей? Возможность управления этим инструментом системы в части применения изменений не для всех, а лишь для выбранных пользователей компьютера, появится, если редактор добавить в качестве оснастки консоли ММС. С помощью внутрисистемного поисковика или команды «Выполнить» запускаем штатную утилиту mmc.exe. В меню «Файл» консоли выбираем «Добавить или удалить оснастку».

В колонке справа выбираем «Редактор объектов групповой политики», жмём посередине «Добавить».

Теперь – «Обзор».

И добавляем пользователей. Выбираем:

• либо «Не администраторы», если нужно, чтобы настройки применялись ко всем имеющимся в системе учётным записям типа «Стандартный пользователь»;

• либо конкретного пользователя.

Готово.

Жмём «Ок» в окошке добавления оснасток, затем в меню «Файл» выбираем «Сохранить как».

Задаём файлу консоли имя, указываем какой-нибудь удобный путь сохранения, скажем, на рабочем столе, и сохраняем.

Итак, мы создали оснастку редактора групповой политики для отдельного пользователя. Это, по сути, тот же редактор, что и gpedit.msc, но ограниченный наличием только единственной ветки «Конфигурация пользователя». В этой ветке и будем работать с параметрами групповой политики.

Сохранённый файл консоли нужно будет запускать каждый раз при необходимости изменить параметры групповой политики для отдельных учётных записей.

Итак, если нужно внести ограничения для всех, кто пользуется компьютером, запускаем редактор gpedit.msc. А если нужно урезать возможности отдельных людей, но чтобы это не касалось администратора, запускаем созданный файл консоли и работаем с редактором внутри неё.

Если кого-то нужно ограничить в работе с отдельными программами или играми, следуем по пути:

Административные шаблоны — Система

Включаем его, жмём «Применить».

Появится список запрещённых приложений. Кликаем «Показать» и в графы появившегося окошка поочерёдно выписываем десктопные программы и игры, запуск которых будет заблокирован. Вписываем их полное имя с расширением по типу:

AnyDesk.exe

После чего снова жмём «Применить» в окне параметра. Теперь подконтрольный пользователь вместо запуска программы или игры увидит только вот это.

По такому же принципу можно сформировать перечень только разрешённых для запуска программ и игр, выбрав параметр в этой же ветке ниже «Выполнять только указанные приложения Windows». И тогда для пользователя будет блокироваться всё, что не разрешено этим перечнем. 

Пыл любителей скачивать с Интернета что попало и захламлять раздел (C:) можно поубавить, если ограничить профиль таких пользователей в размере. Идём по пути:

Административные шаблоны – Система – Профили пользователей

Выбираем параметр «Ограничить размер профиля».

Включаем, устанавливаем максимальный размер профиля в кБ, при желании можем отредактировать сообщение о превышении лимита пространства профиля и выставить свой интервал появления этого сообщения. Применяем.

При достижении указанного лимита система будет выдавать соответствующее сообщение.

Отключение возможности записи на съёмные носители – это мера предосторожности скорее для серьёзных организаций, бдящих о сохранении коммерческой тайны. Таким образом на компьютерах сотрудников блокируется возможность переноса на флешки или прочие носители важных данных. Но в семьях бывают разные ситуации. Так что если потребуется, для отдельных людей можно отключить работу с подключаемыми носителями – и чтение, и запись. Делается это по пути:

Административные шаблоны – Система – Доступ к съёмным запоминающим устройствам.

Чтобы, например, кто-то из близких не перенёс на съёмный носитель (любого типа) хранящуюся на компьютере ценную информацию, выбираем параметр «Съёмные диски: Запретить запись». Включаем, применяем.

При частом захламлении диска (C:) учётные записи активно участвующих в этом процессе пользователей можно настроить так, чтобы их файлы удалялись полностью, минуя корзину. Это делается по пути:

Административные шаблоны – Компоненты Windows – Проводник

Отрываем параметр «Не перемещать удаляемые файлы в корзину».

Включаем, применяем.

Ограничить доступ других пользователей к отдельным дискам компьютера можно разными методами. Например, путём установки запрета доступа в свойствах диска или посредством функционала шифрования, в частности, штатного BitLocker. Но есть и способ с помощью групповой политики. Правда, работает он только для штатного проводника. Идём по пути:

Административные шаблоны – Компоненты Windows – Проводник

Открываем параметр «Запретить доступ к дискам через «Мой компьютер».

Включаем, применяем. Появится окошко выбора дисков компьютера. Выбираем нужный вариант и применяем настройки.

Стандартные учётные записи в любом случае ограничены UAC, и с них невозможно без пароля администратора вносить какие-то серьёзные настройки в систему. Но при необходимости для стандартных пользователей можно и вовсе запретить запуск панели управления и приложения «Параметры». Чтобы не могли менять даже и то, на что не требуется разрешение администратора. Идём по пути:

Административные шаблоны – Компоненты Windows – Проводник

Запускаем параметр «Запретить доступ к панели управления и параметрам компьютера».

Включаем, применяем.

В корпоративной среде Контроль учетных данных пользователей (UAC) управляется централизованно, при помощи групповых политик. За настройку UAC отвечает 10 политик. Все они находятся в узле Конфигурация компьютераКонфигурацияWindowsПараметры безопасностиЛокальные политикиПараметры безопасности.

Рассмотрим более подробно эти политики и их влияние на контроль учетных записей:

Режим одобрения администратором для встроенной учетной записи администратора

Определяет, как работает режим одобрения для встроенной учетной записи администратора. Стоит иметь ввиду, что в  Windows 7 встроенная учетная запись администратора по умолчанию отключена, поэтому данная политика имеет смысл только если вы активировали эту запись. Сделать это можно тут-же с помощью политики Учетные записи: Состояние учетной записи «Администратор» . Если активировать только учетную запись администратора, то одобрение будет происходить автоматически, без уведомления UAC. Если же активировать обе политики, то встроенная учетная запись также будет получать уведомления.

Поведение запроса на повышение прав для администраторов в режиме одобрения

Действует аналогично диалоговому окну «Параметры управления учетными данными пользователей». Она позволяет настроить уровень уведомлений для пользователей, вошедших в систему с административными правами, но в отличие от диалогового окна имеет выбор из шести вариантов:

• Повышение без запросов — запросы подтверждаются автоматически, уведомление не выдается;
• Запрос учетных данных на безопасном рабочем столе — UAC всегда запрашивает ввод пароля, рабочий стол затемняется;
• Запрос согласия на безопасном рабочем столе — запрашивается только подтверждение без ввода пароля, рабочий стол затемняется;
• Запрос учетных данных — запрашивается ввод пароля, рабочий стол затемняется только в том случае, если включена политика Переключение к безопасному рабочему столу при выполнении запроса на повышение прав;
• Запрос подтверждения — запрашивается подтверждение, ввод пароля не требуется, рабочий стол затемняется только в том случае, если включена политика Переключение к безопасному рабочему столу при выполнении запроса на повышение прав;
• Запрос согласия для двоичных данных не из Windows — задано по умолчанию. Запрос выдается только в том случае, если повышение запрашивает программа не из состава Windows.

Поведение запроса на повышение прав для обычных пользователей

Эта политика определяет, будет ли Windows выдавать запрос на повышение полномочий пользователю, не входящему в группу администраторов, и если будет то как именно. По умолчанию запросы автоматически отклоняются без выдачи сообщений. Остальные варианты задают запрос  учетных данных пользователей на безопасном или обычном рабочем столе.

Переключение к безопасному рабочему столу при выполнении запроса на повышение прав

Задает вывод уведомления UAC на безопасном рабочем столе. Если эта политика включена, то,  независимо от того что задано в политиках поведения приглашений для администраторов и обычных пользователей, все запросы на повышение полномочий будут выдаваться на безопасный рабочий стол.

Обнаружение установки приложений и запрос на повышение прав

Определяет, может ли запрашивать повышение полномочий установщик приложений. Включение этой политики означает, что установка приложений разрешена (при условии что на это дано разрешение и предоставлены соответствующие учетные данные). По умолчанию включена.

Повышение прав только для подписанных и проверенных исполняемых файлов

 Запрос на повышение выдается только для исполняемых файлов, имеющих цифровую подпись от доверенного центра сертификации (CA). Если у приложения нет цифровой подписи или его подпись выдана центром сертификации, не являющимся доверенным, то запрос на повышение отклоняется. Эта политика по  умолчанию отключена, и включать ее следует только в том случае, если все приложения, требующие повышения имеют цифровую подпись.

Все администраторы работают в режиме одобрения администратором

Определяет, выдаются ли уведомления UAC пользователям с административными правами при выполнении задач, требующих повышения. Включена по умолчанию. Если ее отключить, то для этих пользователей повышение производится автоматически. По сути отключение этой политики означает выключение UAC для всех пользователей, входящих в группу администраторов.

При сбоях записи в файл или реестр виртуализация в место размещения пользователя

 Политика для старых приложений, которые предпринимают попытки записи в папки Program Files, Windows, Windowssystem32 или в ветку реестра HKLMSoftware . Windows 7 не разрешает приложениям записывать данные в эти расположения, и чтобы старые приложения могли функционировать их данные перенаправляются в виртуальные расположения, индивидуальные для каждого пользователя.  Если эта политика выключена, то Windows полностью заблокирует запись в защищенные расположения.  По умолчанию включена.

Разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол

UIAccess — это особый вид приложений, которые взаимодействуют с Windows от имени пользователя , например виртуальная клавиатура и Удаленный помощник Windows (Remote Assistance). Они идентифицируются на основании свойств приложения. Данная  политика определяет, могут ли приложения UIAccess выдавать уведомление UAC без использования безопасного рабочего стола. Активировать ее следует в том случае, если подключившись к удаленному рабочему столу необходимо отреагировать на уведомление UAC. К сожалению, в удаленном сеансе безопасный рабочий стол недоступен (его просто не видно). В этом случае ответить на уведомление можно только если безопасный рабочий стол отключен. Данная политика работает только если включены уведомления UAC для обычных пользователей. По умолчанию отключена.

Повышать права для UIAccess-приложений только при установке в безопасных местах

Применяется только для UIAccess-приложений. Включение этой политики означает, что запрашивать повышение могут только UIAccess-приложения, установленные в папки WindowsSystem32 и Program Files. Независимо от настроек этой политики UIA-программы, запрашивающие повышение, должны иметь цифровую подпись от доверенного центра сертификации.

Прочитав статью Windows-компьютер без антивирусов, я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker’a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker’ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk — мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры — можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Для  управления контролем учетных записей  (User Account Control) в Windows 7 можно использовать до 10 параметров групповых политик. В этом посте я хочу рассмотреть все эти настройки и рассказать  Вам как они влияют на работу пользователя и приложений в Windows 7.

Для начала разберем, что такое UAC и для чего он необходим.  Любой системный администратор знает, что самое важное правило для управления доступом к ресурсам является предоставление наименьшего уровня прав доступа, которые необходимы пользователю для выполнения его задач. Многие задачи, которые выполняют пользователи на своих домашних компьютерах или на рабочих компьютерах не требуют прав администратора. Тем не менее, во всех версиях Windows, за исключением  Windows Vista и Windows 7, по умолчанию  все учетные записи  создавались с правами  Администратора и такие пользователи  автоматически получали полный доступ ко всем ресурсам системы.  Права администратора давали возможность пользователю устанавливать не только легальные программы, но и вредоносные, намеренно или ненамеренно. Вредоносная программа, установленная администратором, может подвергнуть опасности работу компьютера и всех пользователей. 
Начиная с Windows Vista подход к созданию учетных записей в системе и выполнению действий пользователем на компьютере изменился – начиная с операционной системы Windows Vista появился User Account Control (UAC).  UAC – это компонент безопасности операционной системы Windows Vista или Windows 7, который обеспечивает контроль доступа к ресурсам системы и предоставляет пользователю запрос на подтверждение в случае необходимости выполнения  действий в системе  с правами администратора, например установка программного обеспечения, внесение изменений в системные файлы и папки или внесение записей в защищённые области реестра Windows. 
Для того, чтобы управлять UAC и производить его настройки необходимо рассмотреть более подробно сам процесс предоставления административных привилегий.
В Windows 7, по умолчанию, обычные пользователи и администраторы получают доступ к ресурсам системы и запускают приложения в контексте безопасности обычных пользователей. Когда пользователь входит в компьютер, система создает маркер доступа (называемый токеном) для этого пользователя. Маркер доступа содержит сведения о уровень доступа, который предоставляется пользователю предоставляется, включая идентификаторы безопасности (SID) и привилегии Windows.  В случае если на компьютер входит администратор система создает два отдельных маркера доступа :  маркер доступа обычного пользователя и маркер доступа администратора. Маркер доступа обычного пользователя содержит те же сведения пользователя что и маркер доступа администратора, за исключением того что удалены привилегии администратора Windows и SIDs администратора. Маркер доступа обычного пользователя используется для запуска приложений и выполнения действий в системе, которые не требуют прав администратора.  Также маркер доступа обычного пользователя используется для запуска процесса Explorer.exe, который отображает рабочий стол пользователя.  Для всех приложений пользователя Explorer.exe является родительским процессом и они от него наследуют маркер доступа. В следствие этого все приложения запускаются от имени обычного пользователя до тех пор пока пользователь явно не подтвердит использование приложением маркера полного доступа администратора.  Все это проиллюстрировано на следующем рисунке:

Пользователь, который является членом группы администраторов может войти в систему и выполнять обычные действия пользователя (например просматривать Веб или читать почту) используя маркер доступа обычного пользователя. Когда администратор должен выполнить задачу, которая требует маркер доступа администратора, Windows 7 автоматически  предлагается пользователю изменить или «поднять» контекст безопасности от обычного пользователя до администратора, называемый режим одобрения администратором и запрашивает у пользователя подтверждение. Этот запрос называется запрос на повышение прав, и его поведение можно настроить с помощью локальной политики безопасности snap-in (Secpol.msc) или групповой политики.
Каждое приложение, требующее маркер доступа администратора должен запросить администратора подтверждение. Единственным исключением является связь, которая существует между родительскими и дочерними процессами. Дочерний процесс наследует маркера доступа от родительского процесса. Родительские и дочерние процессы  должны иметь такой же уровень целостности. Windows 7 защищает процессы, помечая их уровнями целостности. Уровни целостности являются измерителями доверия. К приложениям «высокой» целостности, относят приложения выполняющие задачи, которые вносят изменения в систему, такие как,например, приложения управления разделами диска, в то время как к приложениям «низкой» целостности относят  приложения, выполняющие задачи, которые потенциально могут скомпрометировать операционную систему, например, такие как веб-браузер. Приложения с более низким уровнем целостности не могут вносить изменения в данные приложений с более высоким уровнем целостности.
Если говорить вкратце, то вот таким образом обеспечивается контроль доступа к ресурсам системы со стороны пользователя.
Теперь необходимо обсудить отличия UAC в Windows Vista и Windows 7.  Реализация UAC в Windows Vista предусматривала защиты на основе контроля учетных записей : UAC включен или отключен.  Стоить отметить, что из-за своей дотошности и надоедливости в Vista большинство пользователей его сразу после установки системы отключали. Было этой ошибкой или нет решать не мне, у каждого свое мнение по этому поводу и каждый отчасти прав. Поэтому перед выпуском Windows 7 UAC был значительно переработан и теперь есть масса изменений, которые делают UAC более дружественным по отношению к пользователю, что очень радует и позволяет его применять более эффективно. Изменения UAC в Windows 7 сразу видны, во-первых, по количеству уровней – теперь их четыре, а не два как в Windows Vista. Если Вы вошли в систему как локальный администратор, можно включить или отключить UAC-запросы или выбрать, когда получать уведомления об изменениях на компьютере.
На выбор предлагаются четыре режима уведомления:

• Никогда не уведомлять. Уведомления об изменениях в параметрах Windows и об установке ПО не выдаются;

• Уведомлять только при попытках программ внести изменения в компьютер. Уведомления не выдаются, если пользователь самостоятельно вносит изменения в параметры Windows, но если изменения вносятся программой, уведомления будут выдаваться;

• Всегда уведомлять. Уведомления выдаются независимо от того, кто вносит изменения в параметры Windows — пользователь или программа;

• Всегда уведомлять и ожидать ответа. Запросы выдаются при выполнении любых задач администратора на безопасном рабочем столе. Этот режим аналогичен текущему поведению Windows Vista.

Для настройки контроля учетных записей в Windows 7 существует 10 параметров групповой политики. Параметры групповых политики для настройки контроля учетных записей находятся в оснастке «Локальная политика безопасности : Security SettingsLocal PoliciesSecurity Options.

 
В таблице приведен список параметров групповой политики, соответствующий ему ключ реестра и его возможные значения и значение по умолчанию:
Ключи реестра, которые отвечают за настройки UAC расположены по следующему пути в реестре:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

Теперь рассмотрим подробнее параметры групповой политики для управлением контролем учетных записей:

1. Контроль учетных записей: Режим одобрения администратором для встроенной учетной записи администратора (User Account Control : Admin Approval Mode for the built-in Administrator account) – этот параметр управляет поведением режима одобрения администратором для встроенной учетной записи администратора: если этот параметр включен (Enabled), то любое выполненное действие под встроенной учетной записью локального администратора, для выполнения которого необходимы права администратора, будет приводить к выдаче подтверждения выполнения этого действия. По умолчанию этот параметр Отключен (Disabled) и при выполнении  действий  под встроенной учетной записью локального администратора, требующих прав администратора,  подтверждения выполнения этих  действий не выдаются. Следует учитывать, что этот параметр групповой политики влияет на работу UAC только для встроенной учетной записи администратора.

2.  Контроль учетных записей: Поведение запроса на повышение прав для администраторов в режиме одобрения администратором (User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode) – этот параметр групповой политики влияет поведение UAC, когда администратор (помимо встроенной учетной записи администратора) запускает приложение требующее каких-либо административных прав. Возможные варианты настройки этого параметра следующие:

• Повысить права без выдачи запроса (Elevate without prompting) – в случае установки этого параметра все приложения, для запуска которых нужны административные права,  будут автоматически получать эти права без запроса подтверждения или учетных данных; Этот параметр следует использовать очень осторожно и только в наиболее безопасной среде. Я бы лично порекомендовал не использовать этот вариант настройки по соображениям безопасности.

• Запросить учетные данные на безопасном столе (Prompt for credentials on the secure desktop) – в случае необходимости выполнения операции, которая требует повышения привилегий, пользователю на безопасном рабочем столе выдается запрос на ввод учетных данных привилегированного пользователя. Если пользователь вводит правильные учетные данные, операция продолжается с повышением имеющихся привилегий пользователя. 

• Запросить согласие на безопасном рабочем столе (Prompt for consent on the secure desktop) – в случае необходимости выполнения операции, которая требует повышения прав, пользователю на безопасном рабочем столе выводится  запрос на согласие : Разрешить (Permit) или запретить (Deny). Если пользователь подтверждает повышение прав, то операция выполняется с наивысшими правами данного пользователя. 

• Запросить учетные данные (Prompt for credentials): в случае необходимости выполнения операции, которая требует повышения прав, пользователю  предлагается ввести имя пользователя и пароль учетной записи с административными правами. Если пользователь вводит верные учетные данные, операция продолжается с применимыми правами.

• Запросить согласие (Prompt for consent) : в случае необходимости выполнения операции, которая требует повышения прав, пользователю выводится  запрос на согласие. Если пользователь разрешает выполнение операции,  то операция выполняется с наивысшими правами данного пользователя.

• Запросить согласие для сторонних двоичных файлов (Prompt for consent for non-Windows binaries) :   в случае если операция для сторонних приложений (приложения не Microsoft) требует привилегий, то пользователю на безопасном рабочем столе выводится подтверждение на согласие : Разрешить (Permit) или запретить (Deny). Если пользователь подтверждает повышение прав, то операция выполняется с наивысшими правами данного пользователя. Этот вариант настройки параметра используется по умолчанию.

3.  Контроль учетных записей: Поведение запроса на повышение прав для обычных пользователей (User Account Control: Behavior of the elevation prompt for standard users ) – этот параметр групповой политики влияет поведение UAC, когда обычный пользователь запускает приложение (выполняет операции) требующее каких-либо административных прав. Возможные варианты настройки этого параметра следующие:

• автоматически отклонять запросы на повышение прав (Automatically deny elevation requests) – в случае если  какая-либо операция (приложение) выполняемая пользователем требует повышения прав,  то запрос на повышение прав автоматически отклоняется. Также в этом случае отображается окно с сообщением об ошибке, которое можно настроить.

• Запросить учетные данные на безопасном столе (Prompt for credentials on the secure desktop) – в случае необходимости выполнения операции, которая требует повышения привилегий, пользователю на безопасном рабочем столе выдается запрос на ввод учетных данных привилегированного пользователя. Если пользователь вводит правильные учетные данные, операция продолжается с применимыми правами. Этот вариант настройки параметра используется по умолчанию.

• Запросить учетные данные (Prompt for credentials): в случае необходимости выполнения операции, которая требует повышения прав, пользователю  предлагается ввести имя пользователя и пароль учетной записи с административными правами. Если пользователь вводит верные учетные данные, операция продолжается с применимыми правами.

4.   Контроль учетных записей: Обнаружение установки приложений и запрос на повышение прав (User Account Control: Detect application installations and prompt for elevation) – этот параметр групповой политики влияет поведение UAC при обнаружении установки приложения, для выполнения которого необходимо повышение прав. Возможные варианты настройки этого параметра следующие:

• Включен (по умолчанию, для работы дома) – в случае обнаружения установки приложения, которые требуется повышение прав для его выполнения, пользователю предлагается ввести имя пользователя с правами администратора и пароль. Если пользователь вводит правильные учетные данные, операция продолжается с применимыми правами.

• Отключен  (по умолчанию для работы в сетях предприятий)  — Обнаружение пакетов установки приложений и запрос на повышения прав отключены и не выполняются.  В случае если в сети предприятия на компьютерах пользователи работают под учетными записями стандартных пользователей и для распространения приложений используется такие технологии как Group Policy Software Installation,   System Center Configuration Manager 2007 или Systems Management Server (SMS) этот параметр политики необходимо отключить.

5.  Контроль учетных записей: повышать права только для подписанных и проверенных исполняемых файлов (User Account Control: Only elevate executables that are signed and validated ) : этот параметр групповой политики позволяет разрешить запуск интерактивных приложений с повышенными привилегиями только в случае, если они  прошли проверку подписи с использованием инфраструктуры открытого ключа (PKI).  Возможные варианты настройки этого параметра следующие:

• Включен  (Enabled) – приложение, которому необходимо повышение привилегий для выполнения, запускаются только в том случае, если они подписаны с использованием инфраструктуры открытого ключа (PKI) и сертификат добавлен в хранилище сертификатов доверенных издателей на локальных компьютерах.

• Отключен (Disabled) — не предусматривается проверка пути сертификации PKI, прежде чем данный исполняемый файл разрешается выполнять. Этот вариант настройки параметра используется по умолчанию.

6. Контроль учетных записей: Запуск всех администраторов в режиме одобрения администратором (User Account Control: Run all administrators Admin Approval Mode) : этот параметр групповой политики управляет поведением всех политик UAC на компьютере. В случае изменения этого параметра необходимо перезагрузить компьютер.  Возможные варианты настройки этого параметра следующие:

• Включен  (Enabled) – включен режим одобрения администратором. Эта политика должна быть включена и связанные параметры политики UAC также необходимо установить надлежащим образом для того, чтобы разрешить встроенной учетной записи администратора и всем другим пользователям, являющимся членами группы администраторов запуск приложений или выполнения операций в режиме одобрения администратором. Этот вариант настройки параметра используется по умолчанию.

• Отключен (Disabled) — режим одобрения администратором и все соответствующие параметры политики UAC отключены. В этом случае  центр обеспечения безопасности будет уведомляет Вас о снижении общей безопасность операционной системы. КАК РАЗ ДЛЯ ТЕХ КТО ХОЧЕТ ПОЛНОСТЬЮ ОТКЛЮЧИТЬ UAC, чего я настоятельно не рекомендую.

7.  Контроль учетных записей: Переключение на безопасный рабочий стол в случае запроса на повышение прав (User Account Control: Switch to the secure desktop when prompting for elevation): этот параметр групповой политики в глобальном смысле определяет расположение запроса на повышение прав. Возможные варианты настройки этого параметра следующие:

• Включен  (Enabled) – все запросы на повышение прав отображаются на безопасном рабочем столе, независимо от параметров политик поведение запроса на повышение прав для обычных пользователей  и администраторов. Этот вариант настройки параметра используется по умолчанию.

• Отключен (Disabled) — все запросы на повышение прав — интерактивные. Поведение запроса на повышение прав для обычных пользователей  и администраторов используют параметры соответствующих вышеописанных политик.

8.  Контроль учетных записей: Разрешить UIAccess-приложениям запрашивать повышение прав без использования безопасного рабочего стола (User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop) : этот параметр групповой политики управляет в каком случае программы User Interface Accessibility (UIAccess or UIA), к числу которых относится  удаленный помощник Windows (Windows Remote Assistance), могут автоматически отключать безопасный рабочий стол для обеспечения возможности корректного отображения запроса на повышение прав и возможности ввода учетных данных.  Существует одна проблема, которая состоит в том, что в процессе использования функции Remote Assistance оказывающему помощь бывает необходимо ввести учетные данные в окне UAC, однако окно безопасного рабочего стола не отображается в Remote Assistance. Благодаря этому параметру  групповой политики, приложения User Interface Access (UIA), запускаемые из безопасных месторасположений, обходят защищенный рабочий стол, в результате чего удаленные администраторы получают возможность вводить нужные учетные данные от имени пользователя.  Возможные варианты настройки этого параметра следующие:

• Включен  (Enabled) – программы UIA, включая  удаленный помощник Windows (Windows Remote Assistance) автоматически отключают безопасный рабочий стол для обеспечения возможности корректного отображения запроса на повышение прав и возможности ввода учетных данных.

• Отключен (Disabled) – безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или в случае выключенной настройки параметра групповой политики User Account Control: Switch to the secure desktop when prompting for elevation. Этот вариант настройки параметра используется по умолчанию.

UIA-программы должны иметь цифровую подпись, так как они должны иметь возможность отвечать на запросы, касающиеся вопросов безопасности, такие, как запрос на повышение прав контроля учетных записей. По умолчанию UIA-программы выполняются только из защищенных месторасположений, которые находятся по следующим путям: