Архив за день: 12.11.2016



Windows 10: Настройки UAC через GPO

Некоторое время назад я заметил, что при попытке какой-то программой запросить повышение привилегий, диалоговое окно UAC появляется, но экран не темнеет, а остаётся прозрачным. Это было неудобно хотя бы потому, что периодически оно теряло фокус. Началось это после какого-то обновления. Я выставил настройки UAC на уровень 4 и перезагрузил комп. Через некоторое время (было еще несколько перезагрузок) диалог UAC опять стал появляться без затемненного экрана, т.е. режим «Switch to the secure desktop when prompting for elevation» не работал.
Я решил попробовать настроить поведение UAC через политики.
Computer Configuration -> Windows Settings -> Security Settings-> Local Policies -> Security Options -> User Account Control: *

Admin Approval Mode for the Built-in Administrator account = Disabled
Allow UIAccess applications to prompt for elevation without using the secure desktop = Disabled
Behavior of the elevation prompt for administrators in Admin Approval Mode = Prompt for consent on the secure desktop
Behavior of the elevation prompt for standard users = Prompt for credentials
Detect application installations and prompt for elevation = Enabled
Only elevate executables that are signed and validated = Disabled
Only elevate UIAccess applications that are installed in secure locations = Enabled
Run all administrators in Admin Approval Mode = Enabled
Switch to the secure desktop when prompting for elevation = Enabled
Virtualize file and registry write failures to per-user locations = Enabled

Применил полики:

gpupdate /force

Но когда запустил gpedit.msc снова, то увидел, что все значения опять были выставлены по дефолту!
Я подумал, что это KIS «балуется» и отключил его, но ничего не изменилось — политики не применялись. Причем не применялись только настройки UAC. Я проверил на других значениях — они успешно сохранялись!

Пока не понял, кто виноват…
Попробовал следующий способ:

  1. Нажать Win+R
  2. Ввести «msconfig» (без кавычек) и нажать Enter
  3. В появившемся окне перейти на вкладку «Tools»
  4. Выбрать пункт «Change UAC Settings» и затем нажать на кнопку в правом нижнем углу «Launch»
  5. Выставить желаемый уровень UAC и перезагрузить компьютер.

Теперь после перезагрузки у меня в GPO заданы три позиции:

  • Behavior of the elevation prompt for administrators in Admin Approval Mode = Prompt for consent on the secure desktop
  • Run all administrators in Admin Approval Mode = Enabled
  • Switch to the secure desktop when prompting for elevation = Enabled

Ну это уже лучше!

Настройки через реестр.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000001
"ConsentPromptBehaviorAdmin"=dword:00000002
"PromptOnSecureDesktop"=dword:00000001