管理帐户

　　管理帐户可以是属于一个或多个管理组的任何帐户。在加入域的计算机上，管理组包括：

　　•本地 Administrators 组

　　•本地 Power Users 组

　　•Domain Admins 组

　　•Network Configuration Operators 组

　　•具有任何本地管理组成员身份的任何域组

　　以一个或多个这些组的成员身份登录的任何用户都可以进行系统范围的更改。

　　注意 Power Users 组是 Administrators 组的子集，而不是 Users 组的超集。将用户放在 Power Users 组中不符合 LUA 原则。

　　受限用户

　　受限用户是本地 Users 组的成员，且“不是”任何管理组的成员。在加入域的计算机上，属于 Domain Users 组的帐户也都属于本地 Users 组。

　　受限用户帐户可显著缩小恶意软件的攻击面，因为这些帐户执行可影响操作安全性的系统范围更改的能力最低。尤其是，受限用户帐户不能打开防火墙上的端口，不能停止或启动服务，也不能修改 Windows 系统文件夹中的文件。

　　许多组织可能会声称他们已经实现了 LUA 方法，因为他们的用户以 Domain Users 组成员的身份登录。但是，如果这些用户同时也是本地 Administrators 组的成员，那么这些用户所运行的所有程序都将具有管理权利，从而可能导致意外更改。

　　了解登录过程

　　需要了解的另一个重要方面是 Windows XP 的验证过程。用户登录到计算机时，操作系统将验证用户的凭据，并启动 Windows 桌面实例，最常见的是 Windows 资源管理器。此桌面以登录用户的访问权利和权限在该用户的安全上下文中运行。在用户启动某个程序(如 Microsoft Internet Explorer)后，该程序也会在该用户的安全上下文中运行。

　　验证为管理员

　　如果用户验证为本地 Administrators 组的成员，则该用户启动的桌面实例和任何程序都将以管理员的完全访问权利和权限运行。具有管理权利的用户可以执行以下操作，这些操作是管理计算机的合法操作：

　　•安装、启动和停止服务以及设备驱动程序。

　　•创建、修改和删除注册表设置。

　　•安装、运行和卸载程序。

　　•替换操作系统文件。

　　•终止进程。

　　•控制防火墙设置。

　　•管理事件日志项。

　　•安装 Microsoft ActiveX® 控件。

　　•访问 SAM。

　　对于大多数计算机用户，这些权限都不是必需的，而且会明显增加计算机的风险。因为具有管理权利的用户可以进行系统范围的更改，具有管理权利的用户运行的任何程序也可以有意或无意地进行系统范围的更改。因此，如果用户验证为具有管理权利，恶意软件就更易安装到该计算机上。