就像wvista可以限制管理员没有允许不能做一项操作，可以限制一个普通用的能力，你可以控制当普通用户操作一项需要提升权限的操作是否允许提升UAC：标准用户的提升提示行为。具体说明看下图 

　　虽然vista涉及执行相关操作需要提升权限，但是有些操作能被设置不需要提升权限，一个例子就是安装软件。这个设置是:检测应用程序行为并提示提升。

　　软件安装不提示提升似乎有点莫顿，但有一些情况使用比较适当。在一个管理环境，有些软件通过组策略，Sms等等用来分发。在这种环境，就不需要在买个桌面提示提升行为。因此你可以禁止这个。

　　在前面的文章中，我讲啦关于UAC的组策略如何工作的。虽然vista和2008比xp和2003提供啦数以百计的新组策略，但是UAC是其中最重要的组策略。因为UAC可以帮助用户抵制恶意软件的威胁。我们接着讲组策略中关于UAC其他的设定。

　　UAC:只提升签名并验证的可执行文件

　　如果你真的要想想，把UAC放在首位的原因是为啦防止未授权的代码在网络工作站运行。但是如何界定代码是否授权又是个问题。

　　一般时候来界定代码是否安全就是看代码是否有数字签名。大部分的软件不是所有的都有数字签名来证明代码是由发行者发行的，不是由别人修改过的。数字签名也证明了代码并没有被改变，因为这是签名。

　　只因为一部分代码签名并不一定意味着该守则是值得信赖。对我们来说是否信任该数字签名仍然是个问题。当你决定信任该数字签名该数字签名的发布者将添加到windows信任当中。

　　这就是UAC:只提升签名并验证的可执行文件。当你启用它后，这个组策略的设置进行pki签名关注任何需要提升权限的交互的应用程序。如果他的数字签名已经被允许，则提升权限得到允许。反之则拒绝。

　　还有一点需要注意的是：在ms文档中说明这个策略只对交互的应用程序起作用，对服务和脚本不会起作用如果文档正确的话。