Короткий ответ заключается в том, что, если пользователь не является администратором, для представления пользователя присутствует только один токен.
Когда стандартный пользователь регистрируется на компьютере, создается новый сеанс входа в систему, и им предоставляется приложение оболочки, такое как проводник Windows, созданное системой и связанное с новым сеансом входа пользователя с помощью маркер. Это эффективно ограничивает возможности пользователя, так как Windows Explorer может запускать только те приложения и получать доступ к тем ресурсам, которые разрешено сеансом входа в систему пользователя, на основе разрешений и привилегий, заданных токеном.
Когда администратор входит в систему на компьютере, все немного отличается, и именно здесь Windows Vista (и Windows 7) резко отличается от предыдущих версий. Хотя система создает новый сеанс входа в систему, он создает не один, а два разных токена, представляющих один и тот же сеанс входа в систему. Первый токен предоставляет все разрешения и привилегии, предоставляемые администратору, а второй токен - это ограниченный токен, иногда называемый фильтрованным токеном, предлагающий гораздо меньше прав и привилегий. Этот ограниченный токен предлагает практически те же возможности и ограничения, которые предоставляются стандартным пользователям. Затем система создает приложение оболочки с использованием ограниченного токена. Это означает, что, хотя пользователь зарегистрирован как администратор, приложения по умолчанию работают с ограниченными правами и привилегиями.
Когда администратор должен выполнить какую-либо задачу, требующую дополнительных разрешений или привилегий, не предоставляемых ограниченному токену, он или она может выбрать запуск приложения с использованием полного контекста безопасности, предоставляемого неограниченным токеном. Что защищает администратора от вредоносного кода, так это то, что это возведение в неограниченный токен разрешено только после того, как администратор подтвердил желание использовать неограниченный токен с помощью безопасного приглашения, предоставленного системой. Вредоносный код не может подавить это приглашение и, таким образом, получить полный контроль над компьютером без ведома пользователя.
Когда встроенная учетная запись администратора входит в систему на компьютере, она выглядит так, как если бы она обрабатывалась по-разному с другими пользователями, входящими в группу «Администраторы», потому что она не получает приглашений на повышение. Это контролируется параметром групповой политики под названием «Контроль учетных записей пользователей: режим одобрения администратора для встроенной учетной записи администратора». Режим утверждения администратором относится к приглашению на возвышение, которое требует от администратора одобрения возвышения к неограниченному токену. По умолчанию этот параметр групповой политики отключен, что означает, что когда встроенный администратор входит в систему на компьютере, он получает только один неограниченный токен. Если вы включите этот параметр групповой политики, то встроенная учетная запись администратора получит новый сеанс входа в систему с двумя токенами, как и другие пользователи, входящие в группу «Администраторы».
Отличный ответ, Кенни. Вы также можете включить, что происходит, когда вы входите в учетную запись администратора (в отличие от другой учетной записи, которая находится в группе «Администраторы»)? –
Спасибо, Кейт. Я включил некоторую информацию об этом в свой ответ выше. –
Хороший ответ и поддержка. - «Вредоносный код не может подавить это приглашение и, таким образом, получить полный контроль над компьютером без ведома пользователя». Если вы не используете Windows 7 с настройками по умолчанию, где он может тривиально обойти подсказки UAC. :) –