了解Vista的用户安全修订

和一些用户最经常要执行的任务不同，这些新特权将更少的麻烦到系统管理员。如果你认为这给予了你的终端用户太多的自由，也不用过于担心：系统管理员随时可以通过组策略限制这些特权。

不过，许多程序依旧需要用户具备管理员权限。这些程序一般都需要在操作系统的非系统区域有写入能力，而这超出了系统赋予标准用户的写入权利——绝大多数时候这些区域是Program files目录或注册表中的一些受限区域。

Vista将这个过程进行虚拟，为程序提供一个私人文件拷贝或私人注册表键值，并将该拷贝放到用户的Profile之中。这个功能既扩展了古老软件或自定义软件的继续使用，又减少了以往需要运行指定软件时必须给予每个人管理员状态所导致的安全缺陷。

Vista为管理员和他们的权利提供了两种方法：管理批准模式（Admin Approval）和OTS信任方式（Over-the-shoulder Credential approach）。当在管理批准模式中（Admin Approval）进行操作时，系统管理员可以作为标准用户登录并运行类似Email或者网页浏览器这样的程序。

当某个任务或者软件需要系统管理员权限时，系统会自动以一个弹出窗口通知系统管理员。依据对域系统策略的不同配置，弹出窗口会询问用户是否同意该操作，或是输入额外的管理信任。

这削减了系统管理员额外保留一个单独用户帐号的需求。另外，在操作系统的层面来说，它确保了那些无须管理权限的任务只使用了最小的权限。

而对于第二种方式——OTS信任模式——使用管理信任可以协助标准用户获得管理员权限来执行一个任务，比如新软件的安装。系统会提示用户输入本地管理密码从而允许操作得以执行。

如果用户不知道本地的管理帐号密码，他（她）可以要求系统管理员的远程协助。另外，Vista也会在那些需要管理帐号权限的操作旁显示一个盾形图标，从而预先提示用户，这是一个管理员使用的功能。

总结
微软最终给予了用户相应的权利和能力以完成一些日常的工作，同时不缩减工作站或域的整体安全性。在用户模式自动运行程序——无论用于登陆的帐户是什么——将减少面向管理员为目标的攻击，尤其是对那些懒得使用用户信任来登录进入系统使用Email收信或浏览网页的管理员的攻击。