與之前的Windows版本如Windows XP相比，Windows Vista所帶來的改進是全方位的，但要說在操作方面帶來的最大變化，恐怕非UAC(User Account Control : 用戶帳戶控制)莫屬。

因此，雖然之前對UAC已經作出相當多的介紹，如從機制與原理方面的Vista中的UAC : 用戶帳戶控制、UAC為Windows Vista帶來了什么?以及具體的操作方法如關閉Windows Vista中的UAC等，但對Windows Vista使用教程而言，單獨地以一章的篇幅再來詳細介紹一下UAC 總是不可或缺的。

本文對UAC的介紹側重于從操作、使用方面，更詳細的信息請參考Vista天地的其他相關內容。

3.1 UAC的目標與策略

Windows系統因其龐大的市場占有率成為各類惡意軟件、病毒覬覦的首要目標，各式各樣針對Windows系統的攻擊手段與技術層出不窮，這是微軟的成功但也是微軟最大的悲哀：以一家企業之力來對抗全世界狂熱的“攻擊愛好者”，只能是防不勝防疲于奔命，這也直接造成了在許多用戶印象中Windows是一款相當脆弱的操作系統的印象。

當然，這么說并不是為微軟開脫。從技術角度看，Windows為了保證易用性與用戶友好度，在安全性方面所付出的代價過大，存在著致命的缺陷，其中最引人詬病的當屬用戶級別與執行權限的問題。比如說，相信許多朋友都曾或多或少地受過“流氓軟件”的騷擾，許多人甚至談“網”色變，形成這么惡劣的上網環境，微軟難逃其咎——當然，流氓軟件之所以在國內泛濫，也與某些“民族企業”缺乏最基本的道德準則有關——以最普遍的插件類流氓軟件來說，雖然其并沒有太高的技術含量，但卻往往能輕易地突破Windows系統的防御，最大的問題便在于Windows系統如Windows XP標準帳戶存在的諸多問題而使得用戶為操作的使得而使用超級用戶登錄，從而使流氓軟件輕易地獲得權限。

UAC(User Account Control : 用戶帳戶控制) 是微軟為提高系統安全性而在Windows Vista中引入的新技術，其設計目標便是防止間諜軟件或病毒程序在用戶電腦系統中獲得權限并在用戶未察覺的情況下執行。在UAC的作用下，當Windows Vista檢測到某個未知的潛在威脅時，便會彈出一個“Windows 需要你的許可才能繼續！”的對話框，提醒用戶注意或并根據具體情況允許/阻止其執行。

簡單地說，UAC機制的核心在于：Windows Vista要求所有用戶在標準賬號模式下運行程序和任務，這樣，當相應的程序或任務執行可能會影響計算機運行的操作或執行更改影響其他用戶的設置的操作，即需要/試圖獲得高出標準帳號權限時，系統即會彈出相應的警告信息并等待用戶確認及賦予權限，從而阻止未認證的程序安裝，或者阻止標準用戶進行不當的系統設置改變。

很顯然，通過引入UAC，Windows Vista在安全性方面有了很大的改進，但同樣地，UAC機制本身給用戶操作順暢度帶來的負面影響也是不容回避的：即使具有很好耐心的用戶，也可能會被日常操作中頻繁彈出的UAC窗口打斷頗有微辭，以至于很多用戶考慮在Windows Vista禁用UAC或繞開UAC開啟超級管理員。——當然，從系統安全性的角度考慮，這絕不是一個明智的選擇。

對微軟來說，在系統安全與系統操作的流暢間如何找到最佳的平衡點，也許仍是一個長期的工作，UAC也許還需要謹慎、細致的調整。

3.2 UAC機制簡解

在Windows Vista中，默認有兩個級別的用戶組，即標準用戶組和管理員組，其中，標準用戶是計算機 Users 組的成員；管理員是計算機 Administrators 組的成員。

而微軟在Windows 所做的改進在于，與以前版本的 Windows 不同，默認情況下標準用戶和管理員都會在標準用戶安全上下文中訪問資源和運行應用程序。這樣，當用戶登錄到計算機后，系統為該用戶創建一個訪問令牌。該訪問令牌包含有關授予給該用戶的訪問權限級別的信息，其中包括特定的安全標識符(SID)和 Windows 權限。

如果登錄用戶屬于管理員組，則Windows Vista為該用戶創建兩個單獨的訪問令牌：標準用戶訪問令牌和管理員訪問令牌。標準用戶訪問令牌包含的用戶特定信息與管理員訪問令牌包含的信息相同，但是已經刪除管理 Windows 權限和 SID，用于啟動不執行管理任務的應用程序。而當運行執行管理任務的應用程序時，Windows Vista提示用戶將他們的安全上下文從標準用戶更改或“提升”為管理員，這一過程被稱為 “管理審核模式”。只有在此該模式下，應用程序需要特定的權限才能以管理員應用程序(具有與管理員相同訪問權限的應用程序)運行。

默認情況下，當管理員應用程序啟動時，會出現“用戶帳戶控制”消息。如果用戶是管理員，該消息會提供選擇允許或禁止應用程序啟動的選項。如果用戶是標準用戶，該用戶可以輸入一個本地 Administrators 組成員的帳戶的用戶名和密碼。

3.3 UAC無處不在

在Windows Vista中，UAC遍及系統的各個角落。事實上，只要在Windows Vista進行操作，便可時不時地遇到以小盾牌標注的UAC操作提示，比如說在控制面板中：

再或在文件夾屬性頁中的“高級共享”設置：

當點擊這些以小盾牌標注的操作項時，系統即會觸發UAC，彈出相應的權限提升及確認窗口，根據登錄用戶身份的不同，會有上節介紹的兩種提示窗口。此時用戶需輸入管理員密碼(標準用戶)或確認是否允許執行(管理員)。

需要指出的是，在彈出的UAC窗口中，按鍵焦點默認為“取消”，即如果允許該程序/服務執行，用戶需手動選定“確定”鈕，這也可在一定程度上避免用戶不小心誤操作存在的風險。

3.4 安裝程序、下載文件與UAC

UAC不僅存在于系統設置的相關操作中，事實上，當我們在Windows Vista安裝應用程序時也會經常遇到UAC，特別是對通過網絡下載的應用程序安裝文件而言。

下圖即為在撰寫定制Windows Vista啟動畫面一文時我們所使用的Vista Boot Logo Generator下載文件，注意其圖標中的小盾牌。

當Windows Vista檢測到相應程序在安裝中可能會更改系統設置時，即會彈出相應的UAC要求確認或提升權限。

3.5 更改UAC的提示方式

不可諱言，頻繁彈出的UAC提示窗口在很多時候令人厭煩，不過，雖然Vista天地也曾介紹過在Windows Vista中禁用UAC的設置方法，但為了保證系統的安全，我們強烈建議用戶不要這么做。如果因某種原因不得不這么做，請務必全面權衡這樣做帶來的風險，以及時刻謹記禁用UAC的后果。

作為一種替代的解決方案，我們可以嘗試更改UAC(用戶帳戶控制)消息的提示方式，以盡可能避免操作被UAC彈出打斷的情況。

注：對一般用戶來說，這仍是不建議采用的方式，因此，除非您確知這樣做存在的風險并明白如何規避，不然請勿進行修改。

要更改UAC提示信息的顯示方式，首先需以本地管理員組成員身份登錄——或以標準用戶身份登錄后提供管理員組成員的認證憑據——修改相應的安全策略。

在開始菜單搜索框中輸入“gpedit.msc”后按回車，打開組策略對象編輯器，依次選擇“計算機配置” => “Windows 設置”=> “安全設置”=> “本地策略”=> “安全選項”；或在開始菜單搜索框中輸入“Secpol.msc”后按回車，打開本地安全策略編輯器，依次選擇“本地策略” => “安全選項”；在Windows Vista默認配置中，運行這兩款系統設置工具均會彈出UAC權限信息窗口，需要用戶確認。 更改使用管理員身份登錄時UAC信息提示方式在右側窗格中找到“用戶帳戶控制: 管理員批準模式中管理員的提升提示行為”，雙擊打開，在下拉菜單中選擇。

下拉菜單中共有三個選項，分別為：

不提示，直接提升啟用該項時，所有已標記為管理員應用程序的應用程序以及被檢測出是安裝應用程序的應用程序，都將使用完全管理員訪問令牌自動運行。——也即是說，當使用具有管理員身份用戶登錄Windows Vista后，由系統自動處理提升權限的操作，而不會出現UAC確認窗口。——而所有其他應用程序都將使用標準用戶令牌自動運行。 提示憑據啟用該項時，當需要提升權限時，用戶必須輸入管理員憑據。此項設置一般用于域環境或企業策略。 同意提示該項為Windows Vista默認設置。

因此，如果我們選擇“不提示，直接提升”項，當以管理員身份登錄Windows Vista后，將不再看到煩人的UAC信息提示窗口。

更改使用標準用戶身份登錄時UAC信息提示方式在右側窗格中找到“用戶帳戶控制: 標準用戶的提升提示行為”，雙擊打開，在下拉菜單中選擇。

下拉菜單中共有二個選項，分別為：

自動阻止提升請求啟用該項后，Windows Vista將禁止標準用戶運行管理員應用程序或服務，用戶只會看到來自該應用程序的錯誤消息，提示某個策略已經阻止運行該應用程序。 提示憑據該項為Windows Vista默認設置。即對標準用戶而言，在運行某些需要更改系統設置的程序時允許其獲得管理員訪問令牌——當然，前提是用戶必須輸入管理員憑據。

如果我們根本不想讓標準用戶更改系統設置，那么可直接啟用“自動阻止提升請求”，這樣既避免了標準用戶的操作可能對系統帶來的風險，同時也不會出現頻繁的UAC提示窗口。

設置完畢后單擊“應用”即可。