Отключить uac windows server 2016

UAC (User Account Control или контроль учетных записей) важный компонент системы защиты Windows. При запуске любого приложения или процесса, который требует прав администратора, пытается изменить системные настройки, ветки реестра или файлы, компонент контроля учетных записей UAC переключает рабочий стол в защищенный режим и запрашивает подтверждение этих действий у администратора. Тем самым UAC позволяет предотвратить запуск процессов и вредоносных программ, которые потенциально могут нанести вред вашему компьютеру.

На скриншоте ниже показано, что при запуске редактора реестра (
regedit.exe
) в Windows 10 появляется окно подтверждения UAC:

Контроль учетных записей
Разрешить этому приложению вносить изменения на вашем устройстве?

User Account Control
Do you want to allow this app to make changes to your device?

В этой статье мы рассмотрим, как управлять настройками UAC на отдельном компьютере, или на множестве компьютеров в домене с помощью групповых политик.

Ползунок User Account Control

В Windows 7 (и выше) настройки UAC на компьютере управляются с помощью специального ползунка (вызывается через панель управления или файлом
UserAccountControlSettings.exe
). С помощью ползунка вы можете выбрать один из четырех предопределенных уровней защиты UAC.

• Уровень 4 — Always notify — Всегда уведомлять (максимальный уровень защиты UAC);
• Уровень 3 — Notify only when programs try to make changes to my computer (default) – Уведомить только когда программа пытается внести изменения в мой компьютер (стандартный уровень защиты);
• Уровень 2 — Notify only when programs try to make changes to my computer (do not dim my desktop) – то же что и предыдущий уровень, но без переключения на Secure Desktop с блокировкой рабочего стола;
• Уровень 1 — Never notify – Никогда не уведомлять (UAC отключен).

По умолчанию в Windows 10 выбран 3 уровень защиты UAC, который выводит уведомление только при попытке изменить системные файлы или параметры.

Как отключить User Account Control в Windows через GPO?

В большинстве случае не рекомендуется полностью отключать UAC. Контроль учетных записей это простое, но довольно эффективное средство защиты Windows. В своей практике я никогда не отключаю UAC на компьютерах пользователей без реального подтверждения того, что UAC мешает нормальной работе. Даже в этих случая есть простые обходные решения по отключению UAC для конкретного приложения, или запуску программ без прав администратора и подавления запроса UAC.

Вы можете отключить UAC с помощью групповой политики. На отдельном компьютере можно использовать редактор локальный групповой политики
gpedit.msc
. Если нужно распространить политику на компьютеры в домене, нужно использовать консоль Group Policy Management Console —
gpmc.msc
(рассмотрим этот вариант).

1. В консоли управления доменными GPO щелкните по OU с компьютерами, на которых вы хотите отключить UAC и создайте новую политику;
2. ОтредактируйтеполитикуиперейдитевразделComputer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options;
3. В этом разделе есть несколько параметров, которые управляют настройками UAC. Имена этих параметров начинаются с User Account Control;
4. Для полного отключения UAC установите следующие значения параметров:

• User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode =
  Elevate without prompting
  ;
• User Account Control: Detect application installations and prompt for elevation =
  Disabled
  ;
• User Account Control: Run all administrators in Admin Approval Mode =
  Disabled
  ;
• User Account Control: Only elevate UIAccess applications that are installed in secure locations =
  Disabled
  .

1. Чтобы обновить настройки групповых политик на компьютерах и отключить UAC, нужно перезагрузить их. После перезагрузки UAC переключится в режим “Никогда не уведомлять”;

Также можно точечно отключать UAC только для некоторых пользователей/компьютеров через реестр, а настройки распространить через Group Policy Preferences.

Создайте новый параметр реестра в ветке GPO Computer Configuration -> Preferences -> Windows Settings -> Registry со следующими настройками:

• Action: Replace
• Hive: HKEY_LOCAL_MACHINE
• Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
• Value name: EnableLUA
• Value type: REG_DWORD
• Value data: 0

Затем перейдите на вкладку Common и включите опции:

• Remove this item when it is no longer applied
• Item-Level targeting

Нажмите на кнопку Targeting и укажите компьютеры, или доменные группы, на которые должна применяться политика отключения UAC.

Настройка параметров UAC в реестре

Вы можете управлять настройками UAC через реестр. Параметры, отвечающие за поведение контроля учетных записей, находятся в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Когда вы меняете значение ползунка UAC в панели управления, Windows меняет значение параметров реестра из этой ветки следующим образом (ниже приведены готовые REG файлы для разных уровней ползунка User Account Control:

UAC уровень 4 (Always notify):

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000002
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000

UAC уровень 3 (Notify only when programs try to make changes to my computer):

"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000

UAC уровень 2:

"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000

UAC уровень 1 (Never notify — UAC отключен):

"ConsentPromptBehaviorAdmin"=dword:00000000
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000

Вы можете изменить значение любого параметра из редактора реестра или из командной строки. Например, чтобы отключить UAC на компьютере (потребуется перезагрузка) можно выполнить команду:

reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.

Или аналогичная команда на PowerShell:

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force

Особенности использования UAC в Windows Server

User Account Control в Windows Server работает и управляется так же как в дектопных редакциях Windows.

Допустимо полностью отключать UAC в Windows Server 2016/209, если выполняются следующие условия.

• Только администраторы имеют удаленный доступ к рабочему столу сервера (RDP доступ к серверу для обычных пользователей должен быть отключен). На RDS серверах нужно оставлять UAC включенным;
• Администраторы должны использовать Windows Server только для выполнения административных задач. Работа с офисными документами, мессенджерами, веб браузером должна выполняться только на рабочей станции администратора под обычной учёткой пользователя с включенным UAC, а не на серверах (см. статью о лучших практиках по защите аккаунтов администраторов),

UAC всегда отключен в редакциях Windows Server Core.

При включенном UAC Windows Server запрещает удаленное подключение под локальными аккаунтами (через net use, winrm, Powershell Remoting). Токен такого пользователя будет отфильтрован включенным параметром UAC
LocalAccountTokenFilterPolicy
(об этом рассказано в предыдущей секции).

Ползунок User Account Control и параметры GPO

Вы можете управлять настройками UAC как с помощью ползунка, так и с помощью групповых политик. Но в редакторе групповых политик отсутствует единый параметр, позволяющий выбрать один из 4 уровней защиты (соответствующий положению ползунка UAC). Вместо этого предлагается регулировать настройки UAC 10 различными политиками. Как мы уже говорили выше, эти политики находятся в разделе:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики). Имена политик, относящихся к UAC, начинаются с User Account Control (Контроль учетных записей).

В следующей таблице представлен список политик UAC, и соответствующие им параметры реестра.

По умолчанию для стандартных настроек UAC (уровень 3) используются следующие настройки групповых политик:

UAC Уровень 3 (по умолчанию)

Admin Approval Mode for the Built-in Administrator account =
Disabled

Allow UIAccess applications to prompt for elevation without using the secure desktop =
Disabled

Behavior of the elevation prompt for administrators in Admin Approval Mode =
Prompt for consent for non-Windows binaries

Behavior of the elevation prompt for standard users =
Prompt for credentials on the secure desktop

Detect application installations and prompt for elevation =
Enabled
для рабочих групп,
Disabled
для домена
Only elevate executables that are signed and validated =
Disabled

Only elevate UIAccess applications that are installed in secure locations =
Enabled

Run all administrators in Admin Approval Mode =
Enabled

Switch to the secure desktop when prompting for elevation =
Enabled

Virtualize file and registry write failures to per-user locations =
Enabled

Mar
26

Add-PsSnapin -Name VeeamPSSnapIn
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system /v EnableLUA /t Reg_DWORD /d 0 

Microsoft Windows Server 2012 / 2016 Select Start > Control Panel. Click System Security. Under Action Center, choose Change User Account Control settings. Move the slider bar down to the Never notify selection and click OK. Reboot the machine for changes to take effect.

How do I turn off User Account Control?

Disable User Account Control (UAC) Choose Start > Control Panel. Click User Accounts, and then click User Accounts again. Click Turn User Account Control On Or Off. Deselect the Use User Account Control (UAC) To Help Protect Your Computer option, and then click OK. Click Restart Now.

How do I disable UAC on Windows Server?

You have the option to turn off UAC via registry by changing the DWORD “EnableLUA” from 1 to 0 in “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system”, and doing system reboot. After which you will get prompted to restart computer to activate the change.

How do I disable UAC on a domain controller?

Access the folder named Security options. Access the item named User Account Control: Behavior of the elevation prompt for administrators in Admin approval mode. Select the option Elevate without prompting. Disable the item named User Account Control: Detect application installations and prompt for elevation.

While we’ve explained how to disable UAC in the past, you shouldn’t disable it – it helps keep your computer secure. If you reflexively disable UAC when setting up a computer, you should give it another try – UAC and the Windows software ecosystem have come a long way from when UAC was introduced with Windows Vista.

How do I bypass User Account Control in Windows?

In order to bypass the UAC password, you have to log in to Windows with an administrator account. Go to the User Account panel. Click Change User Account Control settings. Click Yes when pops up a User Account Control window with no Admin password enter the request.

How do I tell if UAC is enabled in Windows 2016?

to see if UAC is enabled to the start menu and click the control panel. From there click User Accounts. You will see an option ‘Turn User Account Control on or off’ – click that and you will then see a checkbox to enable UAC. Under Security Settings choose Local Policies and then Security Options.

What happens if UAC is disabled?

If UAC is disabled, then IE Protected Mode is also disabled. What this means is if a vulnerability is triggered via Internet Explorer, then the resulting code that executes should have the same privileges as the logged-on user.

How do I enable UAC on Windows Server 2016?

Process Select Start > Control Panel. Select User Accounts > Turn User Account Control on or off. Deselect Use User Account Control (UAC) to help protect your computer and click OK. Reboot the machine for changes to take effect.

What is user control virtualization?

UAC Virtualization is essentially the process of fooling an app into thinking that it’s writing to a user path instead of a system one. When an app expects to be writing to, say “D:\Program Files\AppName” it’s actually writing to a completely different one.

How do I change the behavior of User Account Control by using the slider?

Click or tap Start. In the search box, type “Change User Account Control settings”. Click or tap Change User Account Control settings to open it. Move the slider to Never notify.

What are the disadvantages of User Account Control?

4 Reasons Why Windows UAC Is Useless People Click “Yes” Even if there’s a ton of text in bold on the screen, your average home user will click “Yes” if the dialog keeps repeating itself. People Are Smug/Annoyed. Malware Doesn’t Normally Knock on The Door. Not Everyone Knows It’s Malware.

What is the User Account Control in Windows used for?

User Account Control (UAC) helps prevent malware from damaging a PC and helps organizations deploy a better-managed desktop. With UAC, apps and tasks always run in the security context of a non-administrator account, unless an administrator specifically authorizes administrator-level access to the system.

Is User Account Control Safe?

Security impact: this level is even less secure as it makes it even easier for malicious programs to simulate keystrokes or mouse moves that interfere with the UAC prompt. Never notify – at this level, UAC is turned off, and it doesn’t offer any protection against unauthorized system changes.

How do I run command prompt without administrator privileges?

Find an icon to run the command prompt. Shift right click -> “Run as a different user” Then specify a non-admin user account.

How do I get my computer to stop asking me for an administrator password?

Alternatively, press the Windows key + R to open the Run text box, type netplwiz, and press Enter . In the window that appears, click the local administrator profile (A), uncheck the box next to Users must enter a user name and password to use this computer (B), and then click Apply (C).

What is RunAsRob?

RunAsRob is not only a Runas with password command. It offers four fundamentally different methods of login options to run a program with other user rights. RunAsRob can start the application with system account. This account has even more local privileges than an administrator.

How do I find User Account Control settings?

Follow these steps: Click in the search box on the taskbar. Type uac. A list of search results appears. Click “Change User Account Control settings”. The User Account Control Settings window appears. Set the UAC switch to the position you want. You can choose one of the following options: Click OK. Click Yes.

UAC (User Account Control) — это функция безопасности компьютера на базе операционной системы Windows Server 2016, которая предназначена для защиты от несанкционированного доступа и вредоносного ПО. Однако, в некоторых случаях, пользователи могут захотеть отключить UAC, чтобы упростить работу с системой и убрать дополнительные запросы подтверждений.

Отключение UAC может быть полезным, например, при установке некоторого ПО или выполнив определенные операции на сервере. Однако, важно помнить, что отключение UAC может снизить уровень безопасности системы и открыть двери для возможных атак и вредоносного ПО. Поэтому, рекомендуется включить UAC после завершения необходимых операций.

В данной статье мы рассмотрим подробные шаги, которые помогут вам отключить UAC на Windows Server 2016. Перед выполнением этих действий рекомендуется создать точку восстановления или сделать резервную копию системы, чтобы иметь возможность восстановить систему в случае непредвиденных проблем.

Шаг 1: Откройте «Панель управления» и выберите раздел «Учетные записи пользователей».

Шаг 2: В разделе «Учетные записи пользователей» выберите «Изменение параметров управления учетными записями».

Шаг 3: Переместите ползунок на «Никогда не уведомлять» и подтвердите ваше действие.

Шаг 4: Перезагрузите сервер, чтобы изменения вступили в силу.

Теперь UAC будет отключен на вашем Windows Server 2016. Рекомендуется быть внимательным при выполнении операций и включить UAC после завершения необходимых задач.

Откройте Панель управления

Для начала процесса отключения UAC (Контроля учетных записей) на Windows Server 2016, вам потребуется открыть Панель управления. Выполните следующие шаги:

1. Щелкните по кнопке «Пуск» в левом нижнем углу вашего экрана.
2. В появившемся меню выберите «Панель управления».

После того, как вы откроете Панель управления, вы будете готовы приступить к настройке UAC на Windows Server 2016.

Выберите «Учетные записи пользователей»

1. Нажмите на кнопку «Пуск» в левом нижнем углу экрана.

2. В открывшемся меню выберите «Панель управления».

3. В окне «Панель управления» найдите и выберите раздел «Учетные записи пользователей».

4. В открывшемся окне «Учетные записи пользователей» вы увидите список учетных записей, связанных с данным сервером.

5. Для выполнения изменений в UAC выберите опцию «Изменение параметров учетных записей».

6. В открывшемся окне «Изменение параметров учетных записей» выберите четвертую опцию — «Никогда не уведомлять».

7. Нажмите на кнопку «OK», чтобы сохранить изменения.

8. Теперь UAC на Windows Server 2016 будет отключена, и пользоваться сервером будет удобнее и без постоянных запросов подтверждения.

Примечание: Отключение UAC может повысить уязвимость системы, поэтому рекомендуется быть осторожными и проявлять осторожность при выполнении действий на сервере.

Нажмите «Изменить параметры управления учетными записями»

Для отключения UAC на Windows Server 2016 необходимо открыть «Панель управления» и перейти в раздел «Учетные записи пользователей». В этом разделе вы найдете различные параметры учетных записей, которые можно настроить.

1. Нажмите на кнопку «Панель управления» в меню «Пуск».
2. В открывшемся окне «Панель управления» найдите и выберите раздел «Учетные записи пользователей».
3. В разделе «Учетные записи пользователей» найдите ссылку «Изменить параметры управления учетными записями» и нажмите на нее.

После выполнения всех этих действий откроется окно «Параметры учетных записей». В этом окне вы сможете настроить различные параметры, включая отключение UAC.

Переместите ползунок вниз, чтобы отключить UAC

Шаг 1: Нажмите на кнопку «Пуск» в левом нижнем углу экрана.

Шаг 2: Введите в поисковой строке «UAC» и выберите приложение «Пользовательский контроль учетной записи (UAC)».

Шаг 3: В открывшемся окне «Пользовательский контроль учетной записи» переместите ползунок вниз до пункта «Никогда не уведомлять» и нажмите на кнопку «ОК».

Шаг 4: Перезагрузите сервер для применения изменений. UAC будет отключен после перезагрузки.

Обратите внимание, что отключение UAC может снизить безопасность вашего сервера. Будьте осторожны, прежде чем выполнить эту операцию.