关于UAC的问题

Question

根据< Windows通过C/C++ >：

如果用户使用授予高级权限(如管理)的帐户登录到系统，除了与此特权帐户相对应的安全令牌外，还会创建过滤令牌，但只授予标准用户的权限。

我想知道，如果用户使用一个比标准用户更少特权的帐户登录到系统上，系统是否仍然为其创建额外的筛选令牌？我不认为这是必要的，这是没有任何意义的系统这样做。

谢谢。

Answer 1

简单的回答是，除非用户是管理员，否则只有一个令牌来表示用户。

当标准用户登录到计算机时，将创建一个新的登录会话，并向他们显示由系统创建并通过令牌与用户新创建的登录会话相关联的shell应用程序(如Windows Explorer )。这实际上限制了用户可以做什么，因为Windows Explorer只能运行这些应用程序，并根据令牌指定的权限和特权访问用户登录会话允许的资源。

当管理员登录到计算机上时，情况略有不同，这就是Windows (和Windows 7)与以前版本有很大不同的地方。尽管系统创建了一个新的登录会话，但它创建的不是一个，而是两个表示相同登录会话的不同令牌。第一个令牌授予管理员所有权限和特权，而第二个令牌是一个受限令牌，有时称为筛选令牌，提供的权限和特权要少得多。这个受限令牌实际上提供了与标准用户相同的功能和约束。然后，系统使用受限令牌创建shell应用程序。这意味着尽管用户是以管理员身份登录的，但默认情况下，应用程序是以有限的权限和权限运行的。

当管理员需要执行某些需要额外权限或特权而未授予受限令牌的任务时，他或她可以选择使用无限制令牌提供的完整安全上下文运行应用程序。保护管理员不受恶意代码攻击的是，只有在管理员确认希望通过系统提供的安全提示使用无限制令牌之后，才允许将此提升到无限制令牌。恶意代码无法阻止此提示，从而在用户不知情的情况下获得对计算机的完全控制。

当内置管理员帐户登录到计算机上时，似乎与管理员组中的其他用户不同，因为它没有收到提升提示。这由一个名为“用户帐户控制:内置管理员帐户的管理审批模式”的组策略设置控制。管理批准模式是指需要管理员批准提升到无限制令牌的提升提示符。默认情况下，此组策略设置是禁用的，这意味着当内置管理员登录到计算机时，它只接收一个不受限制的令牌。如果启用此组策略设置，则内置管理员帐户将收到一个具有两个令牌的新登录会话，与作为管理员组一部分的其他用户一样。