回答:
Windowsマシンに正常にログインすると、そのログインセッションを表すアクセストークンが生成されます。とりわけ、このトークンにはユーザー名とユーザーがメンバーになっているグループが含まれています。
そのセッション中に起動するすべてのプログラムには、このトークンへの参照があります。プログラムが何かを実行したい場合、アクセストークンをWindowsに提示し、Windowsはそれを使用して、ユーザーがそのアクションの実行を許可されていることを確認します。
これに関する問題は、管理者としてログインすると、起動するすべてのプログラムが管理者として実行されることです。これは便利ですが、メールリーダー、テキストエディター、およびダウンロードして実行するすべてのランダムなプログラムには、必要に応じてシステムをホース接続する機能があります。
Windows Vista以降、管理者がログインすると、管理者には2つの個別のアクセストークンが割り当てられます。
通常の使用時には、標準アクセストークンが使用されます。このトークンを使用してプログラムを起動すると、標準ユーザーと同じ権限が与えられます。管理者のみがアクセスできるものを実行しようとすると、標準トークンには管理者のメンバーシップが含まれないため、Windowsはアクセスを拒否します。
「管理者として」プログラムを起動すると、Windowsは標準のトークンの代わりに昇格したトークンをプログラムに提供します。これで、アプリが管理者に制限されたものにアクセスしようとするたびに、トークンにそのメンバーシップが含まれ、操作が成功します。
UACの目的は、プログラムが管理者特権を利用しているときにユーザーに通知することです。通常、テキストエディターとメールリーダーは管理者として実行する必要はないので、これらのプログラムのUACダイアログが表示されるのを見ると、アラームが発生するか、少なくとも調査が必要になります。
UACについてのマイクロソフトの説明とそれに対処するためのいくつかの手順も利用できます。
アイデアは、最小限の特権を提供することです。
最小特権の原則は、障害(フォールトトレランス)および悪意のある動作(コンピューターセキュリティ)からのデータおよび機能の保護を強化する際の重要な設計上の考慮事項として広く認識されています。管理者の資格情報で実行されるプログラムが多いほど、障害のあるソフトウェアや悪意のあるソフトウェアに対して脆弱になります。そのアクセスレベルですべてのアクションを実行せずに管理アクセスを必要とすることを可能にする妥協案は、ケースバイケースで明示的にプロンプトを出すことです-あなたが管理グループにいるという理由だけで、すべてのプログラムを提供したいわけではありません完全な管理権限で使用します。