Чому мені потрібно запускати команди як адміністратор, якщо мій обліковий запис є членом групи адміністраторів?

Якщо мій обліковий запис уже є членом групи адміністраторів, чому деякі функції в Windows 7 вимагають від мене запускати їх як адміністратора? Я якось думав, що малося на увазі?

Після успішного входу на машину Windows генерується маркер доступу, який представляє сеанс входу. Серед іншого, цей маркер містить ваше ім'я користувача та групи, в яких ви є членом.

Усі програми, запущені під час сеансу, мають посилання на цей маркер. Коли програма хоче щось зробити, вона представляє маркер доступу до Windows, і Windows використовує її для перевірки, чи користувач має право виконувати цю дію.

Проблема в тому, що коли ви входите як адміністратор, кожна програма, яку ви запускаєте, працює як адміністратор . Це зручно, але також означає, що читачі пошти, текстові редактори та будь-яка випадкова програма, яку ви завантажуєте та запускаєте, мають можливість шлангувати вашу систему, якщо вони хочуть.

Цю проблему призначений для вирішення Контроль облікових записів користувачів

Починаючи з Windows Vista, коли адміністратори входять у систему, їм призначаються два окремих маркери доступу:

• Один стандартний маркер, що містить усі члени групи, крім «Адміністраторів».
• Один підвищений маркер, що містить усі члени групи, включаючи "Адміністратори".

Під час звичайного використання використовується стандартний маркер доступу. Коли програма запускається за допомогою цього маркера, вона має ті ж права, що і звичайний користувач. Якщо вона спробує зробити щось, до чого мають лише адміністратори, Windows заборонить доступ, оскільки стандартний маркер не містить членства в Адміністраторах.

Якщо ви запускаєте програму "Як адміністратор", Windows надає програмі підвищений маркер замість стандартного маркера. Тепер, коли програма намагатиметься отримати доступ до чогось обмеженого для адміністраторів, маркер буде містити це членство і операція буде успішною.

Мета UAC - інформувати користувача, коли програма користується їхніми адміністративними привілеями . Текстовим редакторам та читачам пошти зазвичай не потрібно запускатись як адміністратор, тому побачення діалогового вікна UAC для цих програм повинно стати причиною тривоги або хоча б деякої перевірки.

Роз'яснення Microsoft UAC та деякі кроки для вирішення проблеми Microsoft також доступні.

Ідея полягає у наданні найменших пільг .

Принцип найменших привілеїв широко визнаний важливим дизайном для розширення захисту даних та функціональних можливостей від помилок (відмовостійкість) та зловмисної поведінки (безпека комп'ютера).

Чим більше програм запущено з адміністративними даними, тим більш вразливими ви є несправні чи зловмисні програми. Компроміс, який дозволяє робити речі, що вимагають адміністративного доступу, не виконуючи всіх дій із цим рівнем доступу, полягає в тому, щоб явно підказувати в кожному конкретному випадку - лише тому, що ви знаходитесь в адміністративній групі, не означає, що ви хочете надавати кожній програмі, яку ви використання з повними адміністративними повноваженнями.