UAC یا User Account Control چیست و تنظیمات آن چگونه هست؟
UAC یک راه حل امنیتی کوچکی در ویندوز هست که از تغییرات ناخواسته ویندوز جلوگیری می کند. این تغییرات را برنامه،یوزرها،ویروس ها و شکل دیگری از بدافزارها می توانند شروع کنند. UAC بطور قطع اطمینان حاصل می کند که این تغییرات با تائید Admin انجام گرفته شده هست. اگر این تغییرات توسط Admin تائید نشده باشد یعنی فایلهای مربوطه اجرائی نیستند و مابقیه فایلها بدون تغییر باقی می ماند در این حالت به نظر می رسد که هیچ اتفاقی نیفتاده است. UAC برای اولین بار در ویندوز ویستا اجرائی و پیاده سازی شد و از آن به بعد به ازای هر ورژن جدید ویندوز این ویژگی نیز گسترش پیدا کرد. تمامی یوزرهای معمولی و حتی یوزرهای Admin و یوزرهایی که عضو گروه Administrator هستند زمانیکه در حال کار کردن با ویندوز هستند مفهمومی ندارد که با اختیارات Admin بتوانند با ویندوز کار کنند و همه آنها سطح شان در کمترین حالت هست. زمانیکه یک یوزره معمولی بخواهد با سطح دسترسی Admin کاری انجام دهد باید توسط Admin شبکه این کار انجام گرفته شود و یوزره معمولی به خودی خود قادر به انجام این کار نیست. تنظیمات UAC برای تمامی یوزرها معمولی قابل تنظیم نیست و فقط Admin های ویندوزی قادر به انجام این کار هستند آن هم متناسب با سیاست سازمان و یا شرکت.

زمانیکه شما بر روی یک فایل و یا تنظیمات یک برنامه ای که می خواهد تغییراتی مهمی را در سیستم شما اعمال کند کلیک کنید سریعا UAC پیغامی را به شما نمایش می دهد که اگر یوزره شمایک یوزره Admin باشد پیغامی همانند شکلهای زیر به شما نمایش داده می شود، حالا متناسب با نوع سیستم عامل پیغامها متفاوت می باشد.

اگر ویندوز 10 باشد

اگر ویندوز 8.1 باشد

اگر ویندوز 7 باشد

نام برنامه ای که به جهت ایجاد تغییرات سیستمی درخواست هایی را برای تائید به ادمین می فرستد UAC سریعا آن را نمایش می دهد، نام آن برنامه به همراه فایل مربوطه انتشار می یابد (اگر سعی کنید که فایل را اجرا کنید). همه چیز بستگی و یا نیاز به Admin دارد که می تواند بر روی گزینه NO کلیک کند و یا فراتر بر روی گزینه Yes کلیک کند که در این حالت به برنامه و یا فایلها اگر بخواهند اجازه تغییرات را می دهد. اگر یوزره مربوطه Admin نباشد UAC Prompt متفاوتی نشان داده می شود، برای مثال اگر در ویندوز 10 درخواست UAC Prompt شود User name و Password یوزره Admin درخواست می شود.

با توجه به شکل بالا یوزره PIN عضو گروه Administrator می باشد.
در ویندوز7 و 8.1 هم UAC Prompt همیشه درخواست پسورد یوزره ادمین می کند، همانطور که در شکل زیر نشان داده شده است

زمانیکه این اتفاق می افتد، شما احتیاج دارید پسورد یوزره ادمین PIN را وارد کنید و گزینه Yes را انتخاب کنید، مگر اینکه هر دو عملیات انجام شود یعنی تغییر اینکه درخواست ها انجام گرفته شده ولی اعمال نشده اند.
UAC Prompt همچنین دارای لینک هایی هست که اشاره می کند به “Show more details ” که این پیغام در ویندوز های 10 نشان داده میشود و پیغام “show details” که در ویندوزهای7 و 8.1 نشان داده می شوند. اگر شما بر روی آن کلیک کنید اطلاعات بیشتری می بینید که شامل مکان دقیق برنامه بر روی دیسک یا فایل و مدارک دیجیتالی منتشر کننده آن و اینکه در مورده کسی که ایجاد کرده آن چیزی که شما می خواهید آن را اجرا کنید، اطلاعات بیشتری نشان می دهد.

اگر سیستم عامل 10 باشد

اگر سیستم عامل 8.1 باشد
اگر سیستم عامل 7 باشد

من چگونه بدانم که یک فایل یا تنظیماتش باعث UAC Prompt خواهد شد؟

فایلی که باعث UAC Prompt می شود زمان اجرای آن سیمبول UAC در گوشه پایین سمت راست از آن آیکون همانند شکل زیر نمایش داده می شود.

برنامه یا تنظیمات سیستمی که باعث UAC Prompt می شوند نیز در کنار نام آیکون برنامه لوگو یا سیمبول UAC را دارند. شما می توانید بعضی از مثالهایی که در شکل زیر مشخص شده اند را مشاهده کنید که با این مثالها در داخل بخش Control Panel ویندوز مواجه می شوید.

یادآوری کردن آیکون UAC و هر زمانیکه شما آن را می بینید بیش از آن خواهید فهمید که به تائید یوزرهای Admin احتیاج خواهید داشت.
در ویندوز برنامه های اجرا شده بصورت پیش فرض دارای اختیارات Admin نیستند بلکه اختیاراتشان شبیه اکانت های standard User می باشد. اکانت های standard User دارای هیچ اختیاراتی نسبت به تغییر سیستم عامل نمی باشند، آن تغییرها می تواند فایلهای سیستمی یا تنظیمات رجیستری باشند. همچنین آنها نمی توانندچیزهایی که مالکیت شان خودشان نیستند را تغییر بدهند. برنامه ها فقط می توانند فایلهای خودشان و تنظیمات رجیستری و یا فایلهای یوزرها وتنظیمات رجیستری آنها را تغییر بدهند.
زمانیکه یک برنامه ای می خواهد تغییرات سیستمی مانند موارد زیر را انجام دهد UAC برای دریافت اختیارات قوی نسبت به آن برنامه نمایش داده می شود. آن اختیارات به ترتیب زیر می باشند:

1) تغییری که بر روی User Account های دیگر تاثیر می گذارد.
2) تغییرات فایلها و فولدرهای سیستمی
3) نصب یک نرم افزار جدید

اگر کاربر بر روی گزینه No کلیک کند تمامی تغییرات مد نظر اعمال نخواهد شد واگر بر روی Yes کلیک کند ( و پسورد یوزره Admin را اگر درخواست کرده باشد وارد کند ) در اینصورت برنامه اختیارات Admin را دریافت می کند و می تواند هر تغییرات سیستمی را که بخواهد اعمال کند. این اختیارات تا زمانیکه اجرای برنامه متوقف نشده یا اینکه برنامه توسط یوزره بسته نشده ادامه می یابد و همینطور برای فایلهایی که باعث ایجاد UAC Prompt می شوند. برای درک و فهم آسان موضوع، الگوریتم UAC در دیاگرام زیر توضیح داده شده است.

کدام تغییرات با عث ایجاد UAC Prompt در ویندوز می شوند؟

تغییرات زیادی وجود دارد که باعث درخواست اختیارات Admin می شوند، بسته به اینکه UAC Prompt در ویندوز شما چگونه تنظیم شده می تواند سبب UAC Prompt شود و پیغامشان را برای دریافت اختیارات Admin نمایش دهند. سبب ها دلایلی که گفته شده در زیر بیان شده اند.

ü اجرا کردن برنامه بصورت Admin
ü تغییرگسترده تنظیمات سیستم یا فایلها در ویندوز یا فولدرها و یا فایلهای برنامه
ü نصب و از حالت نصب درآوردن درایورهای سخت افزاری و برنامه ها
ü مشاهده یا تغییر فولدرهای یوزرهای دیگر و فایلها
ü اضافه و حذف User Accounts
ü یکربندی آپدیت های ویندوز
ü تغییر تنظیمات فایروال ویندوز
ü تغییر تنظیمات UAC
ü تغییر نوعUsers Account
ü اجرا کردن Task scheduler
ü باز گرداندن بکاپ System File
ü تغییر دادن ساعت و تاریخ سیستم
ü کنترل امنیت و کنترل والدین
ü نصب کردن یک تعداد Activex Control ها ( در مرورگر Internet Explorer )

نوع اعلانهای UAC به دو صورت می باشد:

1) Approval Mode یا همان Consent
2) Credential for Prompt

این دو اعلان بر اساس سیاست های سازمان ها و شرکت ها انتخاب و پیاده سازی می شوند.

توضیح حالت1) زمانیکه شما با یک یوزره Admin و یا یوزری که عضو گروه administrators هست وارد ویندوز شدیدو می خواهید تنظمیات ویندوزی انجام بدهید که منظور از تنظیمات ویندوزی همان تنظیماتی هست که مخصوص Admin ها هست، مثلاً تنظیمات کارت شبکه و یا ساعت و تاریخ سیستم را تغییر دهید، در این حالت با اینکه یوزره مربوطه دارای اختیارات Admin هست با این همه UAC بر اساس تنظیماتی که از قبل به آن اعمال شده پیغامی را به کاربرمی دهد مبنی بر اینکه آیا اجازه این تغییرات را می دهید یا نه؟ که این پیغام بصورت Yes یا No هست، اگر یوزر گزینه Yes را انتخاب کند در اینصورت این اجازه به کاربر داده می شود که این تنظیمات مربوطه را انجام دهد.
مثال: با یوزری که عضو گروه Admin هست به ویندوز لاگین کرده ایم و می خواهیم بر فرض مثال وارد بخش Microsoft Management Console که به اختصار MMC نشان می دهند شویم، به همین دلیل وارد بخش Run ویندوز می شویم و دستور MMC را وارد می کنیم بر اساس تنظیماتی که در UAC انجام گرفته شده با پیغام زیر مواجه می شویم.

پیغام داده شده در این عکس می گوید که آیا شما اجازه می دهید که این برنامه تغییرات مورده نظر را اعمال کند؟ که با زدن گزینه Yes برنامه MMC باز می شود.

تو ضیح حالت2) با یک یوزره معمولی و محدود وارد ویندوز شده ایم و می خواهیم تغییراتی در ویندوز اعمال کنیم مثلاً می خواهیم وارد تنظیمات کارت شبکه سیستم شویم و تغییراتی را در آن اعمال کنیم ، اگر با یوزره معمولی این کار را انجام دهیم UAC پیغام زیر را به ما نشان می دهد.

این پیغام می گوید که یک یوزره معمولی برای اینکه بتواند تغییراتی را در سیستم عامل اعمال کند باید توسط یک یوزره Admin این اختیارات به آن داده شود به همین دلیل این پیغام نمایش داده می شود و در داخل این پیغام مشخصات یک یوزره Admin را از کاربر پرسیده می شود. به پیغامی که در این حالت با آن مواجه می شویمPrompting for Credential می گویند.
تنظیمات مربوط به UAC به دو حالت هست، در حالت اولی از طریق Control Panel انجام می دهیم بدینصورت که بعد از وارد شدن به بخش Control Panel وارد بخش User Account می شویم ودر صفحه ای که باز می شود گزینه Change User Account Control Setting را انتخاب می کنیم و بعد از انتخاب، صفحه مربوطه باز می شود.


ر صفحه User Account Control Settings یک خط عمود چهار قسمتی خواهیم دید که عنوان هر چهار قسمت آن به صورت زیر هست.

1) Always notify
2) Notify me only When Program try to Make Changes to my Computer(Default)
3) Notify me only When Program try to Make Changes to my Computer( Do not dim Desktop)

توضیح هر یک از موارد بالا به شرح زیر می باشد.

تو ضیح 1 ) این گزینه بالاترین سطح امنیتی را ویندوز بوجود می آورد، یعنی اگر بخواهیم نرم افزاری نصب کنیم که نیاز به دسترسی Admin باشد UAC پیغام مربوطه را می دهد و یا اگر فایل یا فولدری قابل تغییر باشد باز هم UAC پیغام می دهد، در کل اگر بخواهیم هر تغییری را در سیستم اعمال کنیم UAC وارد عمل می شود ، البته این نکته هم قابل ذکر هست که نشان دادن پیغام UAC همراه با Dim ( یا تاریک شدن) Desktop همراه می باشد.به Dim یا تاریک شدن دسکتاپ ویندوز Secure Desktop گفته می شود علت این کار به این دلیل هست که زمانیکه UAC پیغام مربوطه را به کاربر می دهد کاربر تا زمانیکه تکلیف این پیغام را مشخص نکند قادر به انجام هیچ کاری نیست یعنی سیستم، کاربر را اجبار به پاسخگویی به این پیغام می کند و اگر کاربر به مدت 150 ثانیه به این پیغام پاسخ ندهد ویندوز رد درخواست می دهد.

توضیح 2) زمانیکه برنامه ای می خواهد تغییری را در سیستم اعمال کند UAC طی یک پیغامی از کاربر درخواست دسترسی های Admin می کند. در حالت کلی هر تغییری که قرار هست در سیستم اتفاق بیفتد پیغام UAC داده خواهد شد که این پیغام UAC به همراه Secure Desktop خواهد بود و اگر کاربر جوابی به این پیغام ندهد ویندوز بعد از 150 ثانیه رد درخواست خواهد داد.

توضیح 3 ) مرحله سوم همانند مرحله دوم هست یعنی اگر برنامه ای قصد تغییر در ویندوز با افزایش سطح دسترسی باشد UAC پیغامی را همراه با Secure Desktop می دهد ، اما تنها تفاوتش با مرحله دوم این هست که در مرحله سوم دیگر خبری ازSecure Desktop و یا همان Dim شدن دسکتاپ نیست و کاربر می تواند همزمان با پیغام UAC با سیستم خود کار کند.

توضیح 4 ) این مرحله برای یوزرهای عادی می گوید که اگر نیاز به تغییراتی با سطح دسترسی Admin هستید که بصورت درخواست اعلام می شود، این درخواست رد می شود و برای Admin ها نیز این درخواست رد می شود چونکه Admin ها مدیران کل شبکه هستند و برای انجام هر تغییری نیاز به افزایش سطح دسترسی ندارند زیرا خودشان دسترسی های لازم و ضروری را دارند . انتخاب این مرحله به هیچ عنوان پیشنهاد نمی شود چونکه سطح امنیتی سیستم به طزر چشم گیری پایین می آورد.

تمامی تنظیماتی که در مورده UAC در اینجا ذکر شد به نوعی می توان گفت تنظیمات ساده ای از این قابلیت می باشد اما اگر بخواهیم تنظیمات Advance و پیشرفته ای از این قابلیت بخصوص در محیط های شبکه داشته باشیم بهترین راه حل این هست که از Group Policy استفاده کنیم که در اینصورت تنظیمات مربوط به UAC در کل سیستم های شبکه اعمال می شود و نیازی نیست که تنظیمات مربوطه را تک به تک در سیستم ها بصورت جداگانه اعمال کنیم. برای وارد شدن به بخش تنظیمات پالیسی UAC بصورت زیر پیش می رویم:

1) وارد بخش Run ویندوز می شویم
2) دستور gpedit.msc را وارد می کنیم و سپس دکمه Enter را می زنیم
3) بعد از مرحله دوم صفحه مربوط به Local Group Policy Editor باز می شود که در این صفحه وارد مسیر زیر می شویم:
Compute Configuration – Windows Settings – Security Settings – Local Polices – Security options

زمانیکه وارد بخش Security options شدیم در سمت راست صفحه گزینه های متفاوتی را خواهیم دیدکه از این گزینه ها 10 تای آنهامربوط به پالیسی های UAC می شود، برای اینکه 10 تا پالیسی مربوطه را ببینیم به پایین صفحه سمت راست مراجعه می کنیم که 10 تا پالیسی های آخر مربوط به UAC می با شند که در ابتدای همه آنها User Account Control نوشته شده. اسم تمامی 10 تا پالیسی مربوطه به ترتیب زیر هستند:

1) User Account Control: Admin Approval Mode for the Built-in Administrator account
2) User Account Control: Allow UI Access Application to Prompt for elevation Without using the Secure Desktop
3) User Account Control: Behavior for the elevation Prompt for Administrators in Admin Approval Mode
4) User Account Control: Behavior for the elevation Prompt for Standard user
5) User Account Control: Detect Application Installation and prompt for elevation
6) User Account Control: only elevation executable files that are signed and validate
7) User Account Control: only elevate UI Access Application that are Installed in Secure Location
8) User Account Control: Turn on Admin Approval Mode
9) User Account Control: Switch to the Secure desktop When prompting for elevation
10) Virtualize file and registry write failures to per-user Location

تو ضیح پالیسی 1) این Policy مشخص می کند که رفتار یوزرهایAdministrator Built-in سیستم نسبت به حالت Approval Mode سیستم UAC چگونه باشد که این رفتار دو حالت دارد یعنی Enable و Disable. توضیح Enable بدینصورت می باشد که اگر یوزره Built-in Administrator بخواهد برای انجام عملیاتی دارای اختیارات Admin باشد UAC پیغام مربوطه را می دهد یعنی در حالت کلی فعال می شود و توضیح حالت Disable هم بدین صورت هست که اگر یوزره Built-in Administrator برای انجام عملیاتی نیازمند اختیارات بالا باشد UAC پیغام مربوطه را نشان ندهد. در حالت کلی برای اینحالت بهتر هست که بر روی Disable باشد چونکه یوزرهای مورده بحث در این Policy همانا Admin ها می باشند و یوزرهای Admin به خودی خود دارای اختیارات Admin می باشند و دیگر لازم نیست که برای دریافت این اختیارات از جائی تائیدیه بخواهند.

توضیح پالیسی 2) در این Policy منظور از UI ای که در کنار Access قرار گرفته شده همان User Interface می باشد، حالا منظور از این Policy این هست که اگر برنامه ای که دارای UI یا همان User Interface باشد و برای انجام عملیاتی نیاز به اختیارات Admin باشد توسط UAC یک پیغامی برای کاربر نشان داده می شود که توسط این پیغام از کاربر درخواست یورزنیم و پسورد Admin می کند یا در حالت کلی مشخصات یوزری را می خواهد که اختیارات Admin را به این برنامه بدهد. حال اگر این Policy را Enable کنیم در اینصورت برنامه ای که دارای UI هست اگر برای انجام عملیاتی نیاز به اختیارات Admin باشد UAC توسط پیغامی مشخصات یوزره Admin را از کاربر خواهد پرسید و اگر این Policy را Disable کنیم توضیحاتی که ارائه دادیم دیگر اتفاق نخواهد افتاد ، یعنی منظور این هست که برنامه ای که دارای UI هست بخواهد برای انجام عملیاتی نیاز به اختیارات Admin باشد در اینصورت UAC دیگر از کاربر مشخصات یوزره Admin را نخواهد پرسیدو این برنامه بدون هیچ اعلانی با دارا بودن اختیارات Admin خواهد توانست تغییراتی توسط این برنامه را ایجاد کند که شاید یکی از این تغییرات همانا تغییر فایلهای رجیستری ویندوز باشد.
در ادامه توضیحات این پالیسی این توضیحات رو هم می توان اضافه کرد بدینصورت که تمامی سیستم عاملها چه ویندوزی و چه غیره ویندوزی در حالت کلی خودشان دارای User Interface یا همان UI هستند، زمانیکه کاربر می خواهد در داخل سیستم عامل ویندوز گیم بازی کند در مرحله اول باید وارد محیط گیم شود که محیط UI گیم ها و ویندوز ها تا حدودی فرق می کند که اگر بعد از اتمام بازی گیم به محیط سیستم عامل ویندوز بر گردیم در برخی از موارد مشاهده خواهیم کرد که محیط UI ویندوز فرق کرده یا اینکه صفحه دسکتاپ ویندوز قاطی کرده ، عین همین اتفاق در بحث UAC زمانی اتفاق می افتد که دسکتاپ ویندوز به صورت Secure Desktop در بیاید که در اینصورت زمانیکه از حالت Secure Desktop خارج شویم در برخی از موارد مشاهده می کنیم که دسکتاپ ویندوز کلاً قاطی می کند، حال برای اینکه دچار چنین مشکلی چه در محیط گیم و چه در بحث UAC نشویم باید تنظیمات این پالیسی را بر روی Disable قرار دهیم تا اینکه اگر سیستم elevation prompt بخواهد دیگر صفحه دسکتاپ Secure Desktop نشود اما اگر تنظیمات بر روی Enable باشد باز هم همین مشکل را خواهیم داشت.

توضیح پالیسی3) منظور از این Policy این هست که رفتار یوزرهایی که عضو گروه administrator هستند بغیر از یوزره Administrator چگونه باشد، چونکه در Policy شماره 1 رفتارش را نسبت به حالت Approval Mode مشخص کردیم.
تمامی رفتارهای موجود در این Policy تعدادشان شش تا می باشد که به ترتیب زیر می باشند:

1) Elevate Without prompting
2) Prompt for Credentials on the Secure desktop
3) Prompt for Consent on the Secure desktop
4) Prompt for Credentials
5) Prompt for Consent
6) Prompt for Consent for non-windows binaries

1) برای یوزرهایی که عضو گروه administrator هستند پیغام elevation Prompt سیستم UAC برای دریافت یوزرنیم و پسورد Admin نشان داده نشود که اگر این اتفاق بیفتد در واقع یوزر بصورت اتوماتیک دارای اختیارات Admin شده و تغییرات مورده نظر را می تواند انجام دهد. این گزینه در حالت کلی می گوید که هر یوزری که عضو گروه administrator شده دارای این اختیارات می باشد که هر تغییری که می خواهد انجام دهد، دیگر لازم نیست که UAC به آن پیغام elevation prompt را نشان دهد.
1) یوزری که عضو گروه administrator هست و می خواهد برنامه ای را اجرا کند، حال این برنامه برای اینکه اجرا شود باید تغییراتی را در سیستم ایجادکند که برای این تغییرات نیازمند اختیارات Admin ای هست.اگر ما گزینه Prompt for Credentials on the Secure desktop را انتخاب کنیم در اینصورت پس زمینه سیستم کلاً تاریک می شود و UAC پیغام elevation prompt را برای دریافت یوزرنیم و پسورد یوزره Admin ظاهر می کند. هدف از این تاریک کردن پس زمینه سیستم این هست که کاربر باید در مرحله اول این پیغام را از لحاظ پاسخ دادن و یاندادن تعیین تکلیف کند سپس کارش را ادامه دهد.
1) یعنی اینکه برای افزایش اختیارات، یوزرنیم وپسورد Admin را درخواست نکن و فقط در حد Yes یا No درخواست بکن (منظور از Consent همان Approval Mode هست) که این درخواست همراه با Secure desktop می باشد.
2) یوزرنیم و پسورد را درخواست بکن اما بدون secure Desktop
3) Consent یا همان Approval Mode را درخواست بکن اما بدون Secure Desktop
4) در داخل سیستم عامل هم فایلهای ویندوزی قرار دارد و هم فایلهای غیره ویندوزی، اگر بخواهیم یک مثالی برای فایلهای غیره ویندوزی بزنیم مثال فایل نصبی بر فرض مثال برنامه فتوشاپ را مثال می زنیم. یک یوزر هست که عضو گروه administrator هست و می خواهد برنامه فتوشاپ را نصب کند حال برنامه فتوشاپ برای اینکه نصب شود باید تغییراتی را در سیستم عامل ایجاد کند، حالا UAC برای اینکه کاربر را در جریان این تغییرات قرار دهدیک پیغامی مبنی بر اینکه این برنامه می خواهد تغییراتی را اعمال کند آیا این کار را تائید می کنید؟یا خیر؟.

توضیح پالیسی 4) این Policy رفتار UAC در قبال یوزرهای standard را مشخص می کند، یعنی اگر یک یوزره استاندارد بخواهد عملیاتی را انجام دهد رفتار UAC در قبال این عملیات چطور خواهد بود. این Policy سه حالت دارد یعنی:
1) Automatically deny elevation request
2) Prompt for Credentials on the Secure desktop
3) Prompt for Credentials

1) زمانیکه یک یوزره معمولی یا همان Standard User می خواهد عملیاتی انجام دهد که به جهت این عملیات نیاز به elevation prompt باشد همانا UAC در قبال این elevation prompt بصورت اتوماتیک این یوزر را در قبال تغییرات مورده نظر deny می کند.
2) اگر یک یوزره standard ای بخواهد عملیاتی را انجام دهد که به واسطه آن نیاز به Prompt for credentials باشد در اینصورت صفحه Desktop را تاریک یا همان dim کن، که به این حالت Secure Desktop گفته میشود.
3) از یوزره Standard فقط Credential خواسته شود اما بدون Secure Desktop .
برای یوزرهای استاندارد بهترین حالت این هست که گزینه Automatically deny elevation request را انتخاب کنیم چونکه در حالت کلی یوزرهای استاندارد حق تغییرات را ندارند.

توضیح پالیسی 5) همانطور که گفتیم یوزرهای Standard در حالت کلی حق نصب هیچ نرم افزاری را ندارند اما اگر در پالیسی شماره 4 رفتار UAC در قبال یوزرهای استاندارد را Prompt for Credentials انتخاب کنیم
و در پالیسی شماره 5 تنظیماتش را Enable کنیم در اینصورت اگر برنامه ای توسط یوزره Standard در حال نصب باشد و UAC آن را Detect کند در اینصورت UAC همانا elevation prompt را برای نصب برنامه توسط یوزره استاندارد درخواست می کند، اما اگر تنظیمات پالیسی شماره 5 روی Enable باشد و در پالیسی شماره 4 رفتار پالیسی بر روی Automatically deny elevation request باشد در اینصورت یوزره استاندارد اگر بخواهد برنامه ای را نصب کند با پیغام deny مواجه خواهد شد. در پالیسی شماره 5 اگر تنظیماتش را Disable کنیم هیچ یک از توضیحاتی که ارائه دادیم اتفاق نخواهد افتاد.

توضیح پالیسی6) تمام نرم افزارهایی که فایلهای اجرائی آنها Signed و Valid هستند ( منظور از Singed این هست که تمامی فایلها مورده تائید هستند و هیچ نوع مشکلی ندارند ) اگر تنظیمات را بر روی Enable قرار دهیم UAC نسبت به این فایلها elevation prompt را نمایش می دهد و اگر بر روی Disable قرار دهیم UAC نسبت به این فایلها elevation prompt را نمایش نمی دهد. در حالت کلی بهترین حالت این هست که بر روی Disable باشد چونکه فایلی که از هر لحاظ تائید شده دیگر لازم نیست که UAC نسبت به آن فایل گیر دهد.

توضیح پالیسی7) یک تعداد نرم افزارهایی هستند که دارای محیط گرافیکی می باشند و یک تعداد نرم افزارهایی هم هستند که دارای محیط گرافیکی نیستند ، اگر مثالی برای این حالت بزنیم می توان می توان از نرم افزار Winrar نام برد که هم محیط گرافیکی دارد و هم محیط غیره گرافیکی، برای اینکه از محیط غیره گرافیکی اش استفاده کنیم باید وارد محیط Command line مربوطه اش شویم. با توجه به توضیحاتی که داده شد نرم افزراهایی که دارای محیط گرافیکی می باشند اصطلاحا به آنها UI یا User Interface گفته می شود ( در پالیسی شماره 2 توضیحاتی در این مورد داده شده هست). حالا با توجه به این توضیحات، این پالیسی می گوید که نرم افزارهایی که دارای محیط UI باشند و در مکانهای امن یا همان Secure Location نصب شده اند UAC از آنها elevation prompt بخواهد و یا نخواهد.در اینجا یک سوال پیش می آید و آنهم این هست که منظور از مکانهای امن یا همان Secure Location چه مکانهایی می باشد؟بر روی پالیسی مورده نظر کلیک می کنیم تا اینکه صفحه مربوطه باز شود در این صفحه وارد تب Explian می شویم، در این تب توضیحات زیادی نوشته شده است که اگر در وسط صفحه دقت کنیم موارد زیر را مشاهده خواهیم کرد:
-\Program files\. Including subfolder
-\Windows\system32\
-\Program files(x86)
اینها مسیرهایی هستند که بصورت پیش فرض در پارتیشن ای که ویندوز نصب شده قرار دارند که به این مسیرها مکانهای امن یا همان Secure Location گفته می شود و نرم افزارهایی که در این مسیرها نصب می شوند مکانهایشان امن می باشد. حالا فرض کنیم که نرم افزارهایی در این مکانها نصب شده و یوزری می خواهد از این نرم افزار استفاده کند اگر تنظیمات این Policy بر روی Enable باشد هنگام اجرای نرم افزار توسط کاربر UAC از کاربر elevation prompt درخواست خواهد کرد اما اگر تنظیمات مربوطه بر روی Disable باشد کاربر هنگام اجرای برنامه، UAC از آن elevation prompt را درخواست نخواهد کرد. در حالت کلی بهترین حالت این هست که تنظیمات این Policy بر روی Disable باشد دلیلش این هست که چونکه نرم افزار بر روی یک مکان امن ذخیره شده است و از لحاظ امنیتی تائید شده است و اگر با این حال باز هم UAC از کاربر elevation prompt بخواهد باعث آزار کاربر خواهد بود چونکه کاربر در هر بار اجرای برنامه باید به elevation prompt پاسخ دهد.

توضیح پالیسی 8 ) این پالیسی در حکم دکمه خاموش و روشن UAC در داخل یک سیستم هست بدینصورت که اگر تنظیماتش Enable انتخاب کنیم در اینصورت UAC هم برای یوزرهای Admin فعال خواهد شد و هم برای یوزرهایی که عضو گروه administrator هست فعال خواهد شد و اگر در تنظیماتش گزینه Disable را انتخاب کنیم در اینصورت UAC برای کل سیستم غیره فعال خواهد شد و اگر در پالیسی های شماره 1 و شماره 2 هر تنظیماتی انجام بدیم هیچ تغییری در سیستم اعمال نخواهد شد.

توضیح پالیسی9 ) در این پالیسی می توانیم مشخص کنیم که زمانیکه UAC از کاربر elevation prompt می خواهد صفحه Secure Desktop شود یا خیر؟ که اگر Enable را انتخاب کنیم صفحه Secure می شود و اگر Disable را انتخاب کنیم صفحه Secure نمی شود

توضیح پالیسی 10) کاربران ویندوز XP یک مشکلی با این ویندوز داشتند و آن هم این بود که بعد از مدتی کار با این ویندوز احساس می کردند که این سیستم عامل سرعتش خیلی کند شده و یا حتی بعضی از وقت ها سیستم عامل اصلاً Load نمی شود، اما بعد از سیستم عامل ویستا و پیشرفته تر از آن یعنی از ویندوز7 به بعد دیگر شاهد این کندی نبودیم، علت این کار این هست که تمامی تنظیمات مربوط به رجیستری و فایل های سیستمی بعد از ویندوز ویستا به بعد مخصوصا از ویندوز 7 به بعد به ازای هر یوزر مجازی سازی یا همان virtualize می شد یعنی اگر بصورت واضح بیان کنیم به ازای هر یوزر تمامی این تنظیمات در پروفایل آنها بصورت مجازی ذخیره می شود. اگر در یک سیستم بر فرض مثال قرار باشد که پنج یوزر به صورت مجزا Login کنند تمامی این تنظیمات در پروفایل هر یوزر بصورت مجازی ذخیره می شود و اگر یک یوزر هنگام کار با سیستم عامل احساس کند که سیستم اش کند شده به راحتی می تواند پروفایل یوزر را پاک کند و یوزره دیگری را ایجاد کند که در این حالت اصطلاحاً می گویند که سیستم Fresh شده و کاربر می تواند بدون هیچ احساس کندی ای به کار خود با سیستم ادامه دهد و هیچ نارضایتی نکند. مجازی سازی تنظیمات گفته شده به ازای هر یوزر در ویندوز XP وجود ندارد به همین دلیل کندی گفته شده اگر در ویندوز XP اتفاق بیفتد یکی از راه حل هایش این هست که باید ویندوز عوض شود تا اینکه ویندوز عین روز اول بدون هیچ کندی ای کار کند. حال اگر وارد تنظیمات این Policy شویم گزینه های Enable و Disable خواهیم داشت که اگر گزینه Enable را انتخاب کنیم تمامی تو ضیحات گفته شده در مورده مجازی سازی تنظیمات، اتفاق خواهد افتاد و اگر گزینه Disable را انتخاب کنیم تمامی توضیحات گفته شده به هیچ وجه اتفاق نخواهد افتاد. در حالت کلی بهتر هست که تنظیم این Policy بر روی Disable باشد.

و در آخر راه حل اینکه چگونه این سیستم را در ویندوز غیره فعال کنیم را خدمتتان عرض می کنم.
برای غیر فعال سازی ویژگی User Account Control یا UAC از دستور زیر استفاده کنید:

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System /v EnableLUA /t REG_DWORD /d 0 /f
نکته: هیچ وقت ویژگی UAC را بدون دلیل غیر فعال نکنید چرا که سبب میشود ویروس ها و بد افزارها بدون دردسر سیستم عامل شما را آلوده کنند.
به این جهت برای فعال سازی ویژگی UAC با CMD باید از دستور زیر استفاده کنید:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System /v EnableLUA /t REG_DWORD /d 1 /f
بعد از انجام تغییرات سیستم خود را یکبار Reastart یا راه اندازی مجدد بفرمایید