Tại sao tôi cần chạy các lệnh với tư cách quản trị viên nếu tài khoản của tôi là thành viên của nhóm quản trị viên?

Nếu tài khoản của tôi đã là thành viên của nhóm quản trị viên, tại sao một số chức năng trên Windows 7 yêu cầu tôi chạy chúng với tư cách là người quản trị? Tôi nghĩ rằng đó là ngụ ý?

Khi bạn đăng nhập thành công vào máy Windows, mã thông báo truy cập được tạo để thể hiện phiên đăng nhập đó. Trong số những thứ khác, mã thông báo này chứa tên người dùng của bạn và các nhóm mà bạn là thành viên.

Tất cả các chương trình bạn khởi chạy trong phiên đó đều có tham chiếu đến mã thông báo này. Khi một chương trình muốn làm một cái gì đó, nó sẽ trình bày mã thông báo truy cập cho Windows và Windows sử dụng nó để xác minh người dùng được ủy quyền để thực hiện hành động đó.

Vấn đề với điều này là khi bạn đăng nhập với tư cách quản trị viên, mọi chương trình bạn khởi chạy đều chạy với tư cách quản trị viên . Điều này thuận tiện nhưng cũng có nghĩa là trình đọc thư, trình soạn thảo văn bản và mọi chương trình ngẫu nhiên bạn tải xuống và chạy đều có khả năng kết nối hệ thống của bạn nếu họ muốn.

Đây là vấn đề Kiểm soát tài khoản người dùng được thiết kế để giải quyết

Bắt đầu với Windows Vista, khi quản trị viên đăng nhập, họ được chỉ định hai mã thông báo truy cập riêng biệt:

• Một mã thông báo tiêu chuẩn chứa tất cả các thành viên nhóm ngoại trừ "Quản trị viên".
• Một mã thông báo nâng cao chứa tất cả các thành viên nhóm, bao gồm cả "Quản trị viên".

Trong quá trình sử dụng bình thường, mã thông báo truy cập tiêu chuẩn được sử dụng. Khi một chương trình được khởi chạy bằng mã thông báo này, nó có quyền giống như người dùng chuẩn. Nếu nó cố gắng làm điều gì đó mà chỉ Quản trị viên mới có quyền truy cập, Windows sẽ từ chối quyền truy cập vì mã thông báo tiêu chuẩn không chứa tư cách thành viên trong Quản trị viên.

Nếu bạn khởi chạy chương trình "Là quản trị viên", Windows sẽ cung cấp cho chương trình mã thông báo nâng cao thay vì mã thông báo tiêu chuẩn. Bây giờ, bất cứ khi nào ứng dụng cố gắng truy cập một cái gì đó bị hạn chế đối với Quản trị viên, mã thông báo sẽ chứa tư cách thành viên đó và hoạt động sẽ thành công.

Mục đích của UAC là thông báo cho người dùng khi một chương trình đang tận dụng các đặc quyền quản trị của họ . Trình chỉnh sửa văn bản và trình đọc thư thông thường không cần phải chạy với tư cách quản trị viên, do đó, việc thấy hộp thoại UAC xuất hiện cho các chương trình này sẽ là nguyên nhân gây ra báo động hoặc ít nhất là sự xem xét kỹ lưỡng.

Giải thích của Microsoft về UAC và một số bước để đối phó với nó cũng có sẵn.

Ý tưởng là cung cấp ít đặc quyền nhất .

Nguyên tắc đặc quyền tối thiểu được công nhận rộng rãi là một xem xét thiết kế quan trọng trong việc tăng cường bảo vệ dữ liệu và chức năng khỏi các lỗi (khả năng chịu lỗi) và hành vi độc hại (bảo mật máy tính).

Càng nhiều chương trình được chạy với thông tin quản trị, bạn càng dễ bị phần mềm độc hại hoặc dễ bị tấn công. Sự thỏa hiệp cho phép bạn thực hiện những việc yêu cầu quyền truy cập quản trị mà không thực hiện tất cả các hành động với mức truy cập đó là nhắc nhở rõ ràng theo từng trường hợp - chỉ vì bạn thuộc nhóm hành chính không có nghĩa là bạn muốn cung cấp mọi chương trình cho bạn sử dụng với quyền hạn hành chính đầy đủ.