用户账户控制(UAC)是Windows Vista的核心安全功能，也是Vista最常被人误解的众多安全功能当中的一种。

　　一、UAC消除了以管理员身份登录带来的风险

　　这是个常见问题: 拥有管理员账户的用户往往使用这种账户登录，即使他们也有普通用户账户。虽然使用管理员账户登录比较方便，但同时也带来了风险。而使用UAC，可以消除以管理员身份登录带来的部分风险，因为Vista使用普通用户权限来执行大部分任务，即便某人以管理员身份登录也是如此。

　　二、登录过程发生了变化

　　虽然登录过程对用户来说似乎一样——都需要输入账户名和口令，但是Vista的登录过程实际上发生了变化。现在如果使用管理员账户登录，不但会获得该账户的访问令牌，还会获得普通用户的访问令牌。这个普通令牌可用于启动Explorer.exe，Explorer.exe的所有子进程都使用该令牌的权限运行，除非通过响应UAC提示对话框，提升了权限。

　　三、比较容易区别哪些任务需要管理员权限

　　对话框里必须拥有管理员权限的选项都有一个盾形图标，该图标表明如果选择该选项，需要响应UAC提示对话框。

　　四、管理员批准模式是默认值

　　默认状态下，Vista使用普通用户权限运行，即使以管理员身份登录也是如此。如果某项任务需要管理员特权，对话框就会要求获得许可，才能继续操作。这可以阻止恶意软件在用户不知情的情况下提升权限。

　　五、可以提高UAC的安全性

　　可以通过编辑组策略(本地安全策略或者域策略)来改变UAC的行为。可以用这种方法来提高安全性: 要求用户输入管理员证书信息来提升权限，而不是只点击“继续”按钮。默认状态下，以普通用户账户登录的用户如果试图执行需要提升权限的任务，对话框会提示要求输入管理员证书信息。在域环境下，默认值是禁用权限提升。

[1] [2] 下一页