【IT168 专稿】在引入用户帐户控制 (UAC) 之前，如果用户以管理员身份登录，则会自动授予用户对所有系统资源的完全访问权限。 而当用户作为管理员运行时，可以安装合法软件，也可以有意或无意地安装恶意程序。管理员安装的恶意软件可以严重危害计算机并影响所有用户。

　　随着 UAC 的引入，访问控制模型已经更改，以便减少恶意程序的影响。 当用户试图启动管理员任务或服务时，"用户帐户控制"对话框会要求用户单击"是"或"否"，然后才允许使用用户的完全管理员访问令牌。 如果用户不是管理员，则用户必须提供管理员凭据才能运行该程序。因为 UAC 要求管理员审核应用程序的安装，所以未授权的应用程序或没有得到管理员明确许可的应用程序无法自动安装。

　　在 Windows 7 和 Windows Server 2008 R2 中，已改进 UAC 功能，从而：

　　" 增加了标准用户可以执行的任务（不提示管理员审批）数量。

　　" 允许具有管理员权限的用户在控制面板中配置 UAC 体验。

　　" 提供其他本地安全策略，使本地管理员能够为管理员批准模式下的本地管理员更改 UAC 消息的行为。

　　" 提供其他本地安全策略，使本地管理员能够为标准用户更改 UAC 消息的行为。

　　新增功能和更改功能有哪些优点？

　　默认情况下，标准用户和管理员在标准用户的安全上下文中访问资源并运行应用程序。 当用户登录到计算机时，系统会为该用户创建一个访问令牌。 该访问令牌包含有关授予该用户的访问权限级别的信息，其中包括特定的安全标识符 (SID) 和 Windows 权限。

　　当管理员登录时，将为该用户创建两个单独的访问令牌：标准用户访问令牌和管理员访问令牌。标准用户访问令牌包含的用户特定信息与管理员访问令牌包含的信息相同，但是已经删除管理 Windows 权限和 SID。 标准用户访问令牌用于启动不执行管理任务的应用程序（标准用户应用程序）。

　　当用户运行执行管理任务的应用程序（管理员应用程序）时，会提示该用户将安全上下文从标准用户更改或"提升"为管理员，称为管理员批准模式。 在此模式下，管理员必须对使用管理权限在安全桌面上运行的应用程序进行审批。 在配置计算机以及对计算机进行故障排除时，Windows 7 和 Windows Server 2008 R2 中对 UAC 的改进会为您带来更好的用户体验。