20、账户管理与维护及活动目录信任关系配置

账户管理与维护及活动目录信任关系配置

1. 受保护的管理员账户

早期的 Windows Server 版本在使用非管理员账户时执行任务的能力受限，导致许多用户无论是否需要，都会使用管理员账户。这种做法使服务器容易受到各种恶意软件（如病毒、特洛伊木马和间谍软件）的攻击。

从 Windows Vista 开始，并在 Windows Server 2008 中延续，引入了用户账户控制（UAC）功能。该功能要求执行管理任务的用户确认是他们主动发起的任务。除了安装 Windows Server 2008 时创建的默认管理员账户，或在新森林中创建第一个域控制器时创建的默认账户外，所有管理员账户都受此限制。

微软建议不要使用默认的管理员账户，而是创建一个不同的管理员账户用于日常的域管理活动，即受保护的管理员账户。该账户以标准用户权限运行，可防止许多类型的攻击。当需要执行管理任务时，Windows 会显示 UAC 提示框，点击“继续”执行操作，或点击“取消”退出。如果恶意程序试图运行，UAC 提示框会显示程序名称，提醒用户有程序请求权限，此时可取消该意外提示，避免可能的损害。

如果以非域管理员组成员的用户身份登录，会收到略有不同的 UAC 提示框，要求输入管理员账户的用户名和密码以继续执行所需任务。

注意事项

当收到 UAC 提示时，务必确保提示的操作是你想要执行的。如果 UAC 提示意外出现，可能表示有恶意软件试图运行，此时应点击“取消”，并使用一个或多个恶意软件检测程序扫描计算机。

2. 本地组与域组

与早期 Windows 版本类似，Windows Vista 和 Windows S