禁用UAC

首先， 请允许我偏离一下主题，讨论一下这一特性的好处。大多数人都知道，作为admin运行不是一件好事，Aaron Margosis对于这个问题在写了好几篇blog，我不想在这里从头开始讨论这个问题。但是由于兼容性的问题，作为一个标准用户运行会是一个让人有点痛苦的提议。Windows Vista企图赋予你两方面的好处，一方面是允许管理员在标准用户的上下文环境下执行大部分的进程，仅通过用户准许来提升他们的用户令牌的特权，另外允许标准用户通过选择提升一个进程，使用管理员级别的身份来执行管理员的任务。

总的来说，UAC是十分不错。 在早期的版本中，它十分有侵略性，经常会提示，有时会在错误的时候捕获焦点。对于大部分用户而言，UAC将提供一个十分有用的安全保护的级别，它会对流氓软件采取防护措施：这些软件将不会拥有权限来执行侵略性动作，如安装设备驱动程序或服务。一旦系统配置完成，除非你会经常修改设置，你将很少会看到UAC。顺便提一句，你可以找出一大堆关于UAC如何工作以及你需要对自己的应用程序做什么的文章，这样他们就可以很好地与UAC配合，你还可以在官方UAC网站上找到它的统一设计标准。

关闭UAC是可能的，但是我真的不建议这么做，如果你喜欢完全控制你的机器，你肯定需要知道什么时候会尝试执行一个管理员级别的动作。不管怎么说，我宁可你运行运行没有UAC的Windows Vista，也不愿意你运行其它的操作系统。

有两种方式可以禁用UAC。一种简单的方法是通过控制面板。在屏幕顶部的搜索栏中键入"UAC"，这个任务就会显示出来：


这种方法十分强势，但它只是关闭了整个UAC。有一种更精细的配置方式可以让你在不接到提示的情况下享受UAC的好处。你需要修改本地安全策略(Local Security Policy)来控制它，如下：
1. 在Start搜索栏中，输入Local Security Policy
2. 接受权限提升提示
3. 在snap-in中，选择Security Settings -> Local Policy -> Security Options
4. 滚动到底部，你将找到9个不同的组策略设置，它们就是UAC的精细配置



或许最好的选择是改变下面的设置：
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
from... （用户帐号控制：在Admin Approval Mode中，针对管理员的权限提升提示的行为）
 Prompt for consent to Elevate without prompting.
（不显示同意权限提升的提示）

它做了什么呢？尽管会有来自Windows安全中心（Windows Security Center）的警告信息，UAC并没有真正关闭。它仍然在那里，所有的进程仍然将以标准用户的名义运行。为了证实这一点，打开命令提示符，并尝试向c:\directory保存一个文件，会出现访问被禁止（access denied）的错误信息。尽管如此，当一个进程被标记为权限提升时，请求将被悄悄地接受，而不是弹出安全桌面权限提升的提示，但在窗口标题中将显示你正在使用完整的管理员特权运行此程序。

使用这种方式比什么都不做要好，这有点像通过让所有人接种麻疹疫苗来保证你不会被感染。在修改前，请读一下属性表单的第二个页中的每个策略设置，一定要仔细。