Windows VIsta RC1 内建管理员账号规则
本文主要内容翻译自,纯属研究,谢绝转载。
Built-in Administrator Account Disabled
Darren Canavor, Program
Manager, Windows Security Core
http://blogs.msdn.com/windowsvistasecurity/archive/2006/08/27/windowsvistasecurity_.aspx
在Windows XP中有一个内建的管理员账号,而且该账号默认的密码为空,这一点是相当不安全的。而在Windows Vista Beta2中,默认情况下内建的管理员账号已经被禁用,但是在安全模式下,仍然可以直接用内建的管理员账号登陆到系统,当然,默认的密码为空。这样,如果不对计算机账号进行进一步的管理,可以接触到计算机的普通用户就可以轻易的提升自己为管理员。例如:孩子如果可以获得管理员权限,家长控制功能就失去了意义。
在Windows Vista RC1中,发生了众多的改变,其中针对内建管理员账号,进行了一系列规则的修改(这些规则针对的是安装时默认建立的管理员账号Administrators)。主要的规则有这么几点:
- 在全新安装一个Windows
Vista系统时,内建管理员账号将是默认被禁止的。
- 如果需要从Windows
XP升级至Windows Vista的过程中,XP的内建管理员账号是系统中唯一被激活的本地管理员帐号,Windows Vista将仍旧启用该帐号,并且通过管理核准模式(Admin
Approval Mode)管理这个账号(也就是UAC)。默认情况,内建的管理员帐号不能在安全模式登陆这台计算机。
- 如果计算机没有加入域,并且至少有一个启用的本地管理员帐号时,安全模式将禁止默认的内建管理员帐号的登陆。相反,任何本地管理员帐号都可以登陆。如果最后一个本地管理员帐号被无意中降级、禁用或者被删除了,那么系统将允许内建管理员帐号登陆安全模式以进行灾难恢复。
- 如果计算机已经加入了域,禁用的内建管理员帐号将不能登陆安全模式。默认情况下,如果没有其他的本地管理员帐号,Domain Admins组成员的用户帐号可以登陆这台计算机并创建一个本地管理员帐号。如果该域的管理员帐号先前并没有登陆过该计算机,那么该计算机必须在带有网络连接的安全模式下启动,因为帐号凭据并没有被缓存。
经过实验,在一台没有加入域的机器上,进入安全模式,发现Administrator账号仍然列举在屏幕上,只是当你点击该账号时,出现无法登陆,该账号已经锁定的提示。此时,你可以使用其他本地管理员账号登陆。在这种规则限制下,需要提醒大家注意的是,绝对不能忘记其他本地管理员账号的用户名和密码,注意是用户名和密码,如果系统中存在内建管理员账号以外的本地管理员账号,而你又忘记了用户名或者密码,这时你将不能对系统进行管理甚至无法登陆。因此用户需要参考以下建议:
- 在User
Accounts Control Panel通过Forgotten Password wizard来为你的帐号创建一个密码恢复磁盘。将这些信息保存在磁盘上或者USB设备上,并放置在一个安全的地方。
- 为你的帐号创建一个密码提示。
- 记下你的用户名和密码,并将其保存在一个安全的地方。