Начиная с Windows 8, перемещение ползунка в нижнее положение в диалоге настройки UAC не отключает контроль учетных записей. Строго говоря, написанное на экране этого и не обещает. Причем в Windows 8 из информационного блока убрали фразу о том, что этот уровень имеет смысл использовать только в том случае, если приложения не поддерживают работу с UAC.
В этом положении отключаются только запросы UAC с вопросом Да/Нет.
Точно ли работает UAC?
В работе контроля учетных записей легко убедиться, сдвинув ползунок вниз и выполнив простые действия для проверки. Например, запустите cmd — в заголовке окна не будет написано «Администратор». Для полноты картины посмотрите в Process Explorer уровень целостности процесса — он будет средним.
Или скопируйте какой-нибудь файл в System32 в проводнике или стороннем файловом менеджере. Появится диалог, где будет кнопка со щитом, ведущая к успеху. Занятно, что запроса UAC вроде как нет, но все-таки от вас требуют подтвердить операцию правами администратора.
Это происходит потому, что по возможности используется токен обычного пользователя, а административный выдается только при запросе процессом полных прав. Когда вы копируете файлы, используются обычные права, но их не хватает для записи в системную папку. Поэтому Windows запрашивает полные права, а файловый менеджер делегирует решение вам.
Виртуализация UAC
Виртуализация UAC тоже работает при отключении уведомлений. У меня самурайский менеджер буфера обмена Charu установлен в Program Files, там же он пытается создавать папки для пользователей и писать данные в них. Но виртуализация UAC перенаправляет все в профиль вне зависимости от положения ползунка.
Как процессы получают полные права
Попробуйте запустить командую строку от имени администратора с ползунком UAC в нижнем положении. В заголовке окна написано «Администратор», но при запуске запрос не появляется. В этом примере вы сами указываете желаемые права, но иногда за вас это делает приложение.
Установщики подавляющего большинства программ прописывают в манифесте уровень highestAvailable. В этом случае у администраторов установщик запускается с полными правами сразу, поэтому запись в системные расположения (Program Files) ведется без подтверждений.
В этом и заключается недостаток работы с отключенными уведомлениями UAC. Вы никак не контролируете запуск процессов с полными правами.
Резюме
Microsoft нашла баланс между комфортом пользователей и совместимостью приложений – старых и современных.
Именно магазинные приложения в Windows 8 подтолкнули к этому изменению!
С реально выключенным контролем учетных записей они не работают, и компания явно не хотела, чтобы ненависть к уведомлениям UAC блокировала встроенныe в ОС приложения и весь магазин. При этом в Microsoft предусмотрели вариант обновления со старой ОС, где единственный пользователь — встроенный администратор.
UAC отключается, конечно, но только политикой или в реестре. Однако дома никакого смысла в этом нет. Тем более, что Microsoft даже не рассматривает такой вариант работы.
Этому изменению в Windows уже 6 лет, и я подумывал написать о нем каждый раз, когда видел в форумах людей, пребывающих в ложной уверенности, что контроль учетных записей у них полностью отключен. Вот увидел в очередной раз и написал :) В комментариях хотелось бы услышать тех, кто:
- сдвинул ползунок вниз, думая, что отключает UAC – вам комфортно работается?
- отключает UAC полностью – какую цель вы преследуете?
Источник: http://www.outsidethebox.ms/19079/