UAC為Windows Vista系統帶來了什么?

從安全角度考慮，即使對之前的Windows系統如Windows XP，我們在日常操作中也應使用標準用戶帳戶登錄，而非管理員帳戶，這是微軟一直所大力提倡的，畢竟使用管理員帳戶下運行程序便會讓程序擁有了與管理員相同的權限，從而讓系統安全出現很大的漏洞，病毒、惡意軟件包括流氓軟件可以輕而易舉地獲得系統的控制權。

但是，在Windows 2000/XP中使用標準用戶帳戶存在很多不便，這也許正是許多人盡管意識到使用管理員帳戶不是個好的選擇但仍堅持使用管理員帳戶的原因。首先，在這些系統中的標準用戶帳戶，權限被設置得過于嚴格，許多操作諸如設置時區、更改電源設置包括網絡設置等功能均受到限制，這樣，使用標準用戶帳戶登錄后可能需要頻繁使用Runas命令，以賦予當前帳戶管理員權限，進行相應的操作，這樣不但造成工作中的繁瑣，也使得標準用戶登錄的初衷付諸流水；其次，也是最致命的一點，便是應用程序兼容性。由于許多應用程序是使用管理員帳戶編寫和測試的，很多時候其在標準用戶帳戶下無法運行或出現不可預知的故障，比如說當應用程序要嘗試寫入受限區域——如 Program Files 目錄或 HKLM 注冊表項——便會出現權限不足導致程序無法運行的情況，許多用戶不得不陷入安全與易用性間的兩難。

Windows Vista則在保證系統安全性的前提下解決了這些問題，通過Windows Vista中新納入的UAC(用戶帳戶控制)，即使登錄用戶沒有管理員權限，UAC也可以使用戶方便地進入各類日常操作。

標準用戶被賦予更多權限

Windows Vista賦予了標準用戶帳戶更多權限，這樣，標準用戶可以在沒有管理員帳戶提供的全部權限的情況下執行常規任務，包括查看系統時鐘和日歷、更改時區、修改無線網絡安全設置、更改電源管理設置以及從 Windows Update 下載并安裝關鍵更新。

在 Windows Vista 中，需要管理員權限的操作標有一個盾牌圖標，用戶可以一目了然地知道他們可以更改哪些配置，無法更改哪些配置。

Vista取消PowerUser組以更好地管理安全性

許多用戶可能注意到，在Windows Vista中，找不到之前在Windows XP中承擔重要角色的Power User 組，這是因為在 Windows Vista 中已經去掉了 Power User 組。

在Windows XP中，理論上可以將某些用戶設置為 Power User ，防止其未經批準進行系統配置，同時，Power User用戶又因具有高于標準用戶的權限而可以進入某些高權限的操作，但在實際應用中，一方面，Power User用戶在進行很多日常操作時會出現權限不夠的問題，另一方面，以 Power User 憑證運行的惡意軟件則可能獲得更多權限甚至完整的管理憑證，因此，這個“高不成低不就”的用戶組并沒有帶來微軟預期中的正面意義。

在Windows Vista中，則取消了Power User組，默認設置僅有管理員用戶和標準用戶兩種主要的帳戶類型。

UAC通過虛擬化改善程序兼容性

在Windows Vista中，通過提供文件與注冊表的虛擬化功能，可以讓許多在 Windows XP 下無法以標準用戶身份運行的應用程序，不用經過修改即可在 Windows Vista 中運行。

在 Windows XP 中，當應用程序試圖往標準用戶沒有訪問權限的文件系統和注冊表的保護區域寫入數據時，程序就會崩潰。Windows Vista 則通過巧妙的機制避免了這個問題：將寫入操作(以及隨后的文件或注冊表讀取)重定向到該用戶配置文件中的一個特殊位置來改善應用程序兼容性。

例如，如果一個應用程序試圖向 “C:program filescontososettings.ini” 進行寫入操作，但該用戶沒有寫入該目錄的權限，那么寫入操作將會被重定向到 “C:Users用戶名AppDataLocalVirtualStoreProgram Filescontososettings.ini”。而如果一個應用程序試圖寫入 “HKLMSoftwareContoso”，該操作將會被自動重定向到 “HKCUSoftwareClassesVirtualStoreMacHINESoftwareContoso”。

此外，Windows Vista 軟件徽標認證計劃中，一項基本要求便是應用程序無需虛擬化就可以按標準用戶身份運行。

普通用戶也可安裝硬件設備驅動程序

對筆記本用戶而言，其要連接的周邊設備常常發生變化，比如說到一個新地方后可能需要安裝新的打印機，或者連接一臺新的數碼設備等，但默認情況下，只有具有管理員權限的用戶才能將新的驅動程序添加到驅動程序庫中。這也是導致大部分安裝Windows XP系統的筆記本用戶必須具有管理員權限。

在Windows Vista中，UAC(User Account Control : 用戶帳戶控制)通過新增的驅動程序庫基礎結構緩解了這個難題。所謂驅動程序庫，是指位于每臺客端計算機硬盤上的系統自帶和第三方驅動程序的可信賴緩存區，首先，用戶或管理員可以用可信賴的驅動程序預先填充驅動程序庫，以便用戶在需要時可以安裝允許的設備；其次，管理員可以使用組策略來為標準用戶指定安裝各類設備的權限，比如打印機，甚至指定具體的硬件 ID，如允許使用的閃存驅動器。這樣，當筆記本需要連接一個新的設備時，便可以不需要管理員權限安裝驅動程序。通過這樣靈活控制標準用戶可以安裝設備的方式，讓筆記本使用標準用戶不再是個兩難之選。

而借助新的組策略設置，Windows Vista 可以使管理員能夠為標準用戶靈活指定允許安裝的設備，即使尚未在驅動程序庫中對驅動程序分級也可進行安裝。

要指派設備驅動程序分級權限，請打開組策略界 面，依次定位到“計算機配置” => “管理模板” => “系統” => “驅動程序安裝” => “允許非管理員為這些設備安裝驅動程序”。