如果不是对UAC了解，其实UAC就是一个用来减少用户过多特权来保护windows的安全特性。在windows xp中，用户经常需要本地管理员来完成他们的任务。

　　在开发vista的时候，微软花啦很长时间关注标准用户实际需要的权限而不必要赋予本地管理员权限。举例来说，在vista中一个普通用户可以执行安装打印机，输入WEP密码，配置VPN连接，安装应用更新等操作无需本地管理员权限。

　　User Account Protection不只是给予用户额外权限，也是用来给本地管理员保护他们自己。即使有人实用本地管理员登陆，windows也会认为他是普通用户。如果用户想某些需要本地管理员权限的操作，windows会提示用户是否临时提升他的权限来执行这项操作。

　　管理员也可以作为普通用户登陆。如果一个普通用户想执行需要管理员权限的奥做，不需要实用RunAs命令，vista会自动提示用户输入一个可以执行这项操作的凭证。

　　刚才我们讲啦一下UAC的背景，现在我来看看关于UAC的组策略设置。和大部分我在这个系列讨论的组策略设置一样，只能在2008和vista上作用。因此2008面市而且基于2008的域控在你们的网络环境，否则这些组策略只能作为本地组策略来执行。

　　关于UAC的组策略在Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options中设置： 

　　首先设置关于UAC的组策略就是UAC:管理员批准模式和内置管理员设置。这个设置默认是开启的，管理员被认为是一个普通用户。任何需要管理员权限的操作windows都会提示用户是否执行。如果这个设置被关闭，vista就和XP一样，管理员可以完成所有的操作无需提示。

　　下一项设置是UAC:管理员批准模式中管理员的提升提示行为。因为你已经知道，vista是这样设置的，没有管理的统一是无法执行管理的操作。这个选项允许你控制管理员的提升提示行为。具体的说明请看下图，无提示提升不建议使用。