(最近更新:2018-3-29)
通过开启用户账户控制(UAC)来限制云终端用户修改系统配置和文件
用户帐户控制 (User Account Control) 是Windows Vista(及微软更高版本操作系统)中一组新的基础结构技术,可以帮助阻止恶意程序损坏系统,同时也可以帮助组织部署更易于管理的平台。
使用 UAC,应用程序和任务总是在非admin管理员帐户的安全上下文中运行,但管理员专门给系统授予管理员级别的访问权限时除外。UAC 会阻止未经授权应用程序的自动安装,防止无意中对系统设置进行更改,可以有效限制云终端用户修改系统。
注意:
- 管理员账户(Administrator)必须设置复杂密码
- 云终端用户不得加入管理员用户组,避免获得admin权限,跳过UAC限制
- 请不要在云终端用户的桌面上打开需要admin权限的文件夹,因为输入管理员密码后,该用户将永久获得访问此文件夹的权限;例如user1想打开user2的用户文件夹(C:\Users\user2),输入admin管理员密码后,user1将不再需要密码就能进入user2用户文件夹
- UAC与限制访问C盘组策略搭配使用效果更佳,详情参考《限制访问C盘组策略》指导文档
配置步骤:
- 打开控制面板,点击用户账户和家庭安全
- 点击用户账户
- 点击更改用户账户控制设置
- 将级别调节至第三级或最高级,点击确定
- UAC设置完成,重启主机
测试:在云终端登录用户,尝试访问或删除系统文件夹(Program Files,Program Files(x86),Windows,用户等)内的文件,是否需要admin权限
下载详细文档