---

一、本地用戶組介紹

本地工作組介紹

計算機的身份可以分為兩種：本地工作組和域。我們的電腦都是默認本地工作組的形式。
本地工作組的所有賬號、密碼、用戶組等信息均保存在電腦的本地文件中。即使沒有網絡，只要設備能夠開機，輸入本地賬戶和密碼即可登錄。

用戶與組的關系

在本地電腦中，一般有兩種角色：用戶和組。

• 用戶：具體的賬戶，用于訪問系統。
• 組：用于管理權限，可以包含多個用戶。

一個用戶可以屬于多個組，而一個組也可以包含多個用戶。通過分配不同組的權限，可以間接控制用戶的權限級別。

---

二、四種用戶類型及權限比較

本地系統最高權限（System賬戶）

System賬戶是Windows系統內置的專用賬戶，專為系統服務和進程設計，權限極高。

特性

• SYSTEM賬戶是本地權限最高的賬戶。
• 系統關鍵服務和進程均以System用戶運行，如winlogon.exe、svchost.exe等。
• 注冊表中某些關鍵位置僅SYSTEM賬戶可訪問。

Administrator與System賬戶的區別

• Administrator賬戶：系統內置的超級管理員，主要用于日常管理任務，例如安裝程序、修改系統設置等。
• System賬戶：系統核心賬戶，運行操作系統服務，能夠執行內核級別的操作和系統服務任務，幾乎能夠訪問所有系統資源。

---

本地最高管理員（Administrator用戶）

Administrator是Windows系統內置的超級管理員賬戶，默認權限最高，具備完全控制系統的能力。

特性

1. 默認狀態：
   • 家庭版：Administrator賬戶默認禁用。
   • 專業版：默認啟用。
   • Server版本：默認啟用。
2. 唯一標識：Administrator賬戶的安全標識符（SID）尾號為500。
3. 權限所屬：默認加入Administrators組，擁有該組的全部權限。

---

本地普通管理員

普通管理員是加入了Administrators組的用戶，與Administrator賬戶相比權限稍受限制，主要受UAC機制影響。我們的個人電腦通常就是本地普通管理員用戶。

特性

1. 雖然普通管理員用戶可以執行多數管理操作，但某些任務需要額外確認（如修改系統關鍵配置）。
2. 必須右鍵選擇“以管理員身份運行”才能完成高權限任務。

---

本地普通用戶

普通用戶是系統中新建的默認用戶，權限受限，僅能完成一般任務，無法執行系統級操作。

特性

1. 默認屬于User組，缺乏管理員權限。
2. 在執行高權限任務（如安裝程序、修改系統設置）時，會彈出UAC提示，需輸入管理員賬戶和密碼完成操作。

操作示例：
嘗試安裝程序時，系統會提示輸入管理員憑據以繼續。

---

三、UAC認證介紹

UAC簡介

UAC（User Account Control，用戶帳戶控制）是微軟在Windows Vista及更高版本中推出的一種安全控制機制。其主要目的是防止未經授權的操作影響系統安全，例如：

• 防止惡意軟件修改系統關鍵配置。
• 提供用戶操作確認機制，增強系統防護能力。
  

---

UAC觸發條件

以下場景會觸發UAC提示：

1. 修改Windows Update配置；
2. 增加或刪除用戶帳戶；
3. 改變用戶的帳戶類型；
4. 改變UAC設置；
5. 安裝ActiveX；
6. 安裝或卸載程序；
7. 安裝設備驅動程序；
8. 修改和設置家長控制；
9. 增加或修改注冊表；
10. 將文件移動或復制到Program Files或是Windows目錄；
11. 訪問其他用戶目錄

---

UAC提示類型

1. 許可提示：當管理員賬戶嘗試執行高權限任務時，系統僅彈出確認提示，無需額外憑據。
2. 憑據提示：普通用戶執行高權限任務時，需輸入管理員憑據。

---

UAC設置

UAC提供四種通知級別：

1. 始終通知：所有操作都會觸發提示，適用于最高安全需求。
2. 默認通知：僅在程序嘗試更改系統時觸發。
3. 低干擾模式：僅觸發關鍵提示，不影響桌面操作。
4. 從不通知：完全關閉UAC，不推薦使用。

設置方式：按Win+R，輸入msconfig，選擇UAC設置進行調整。

---

對比總結

用戶權限	UAC認證	備注
超級管理員（Administrator）	無需認證	權限最高，不受限制
普通管理員	許可提示	需右鍵“以管理員身份運行”
普通用戶	憑據提示	需管理員賬戶和密碼認證