Чем отличается отключение UAC и включение учетной записи администратор
 

На сайте представлена инструкция для включения скрытой учетной записи "администратор", открывающей все возможности для внесения изменений и выполнения действий. Суть вопроса, в общем, отражена в названии темы. Хотелось бы понять разницу между этими двумя действиями, а также определить последствия, как положительные, так и не очень. Спасибо всем за обстоятельные объяснения и полезные ссылки по вопросу.

результат практически ничем... при отключении UAC не выдается запрос на повышение прав, при работе во встроенной учетной записи администратора делегирование полномочий производится автоматически, без запроса - так и эдак результат один

другое дело, что достп к некоторым системным папкам/файлам в учетной записи с правами администратора возможн ограничено тогда как во встроенной учетке ограничений нет

я так понимаю, это и есть суть отключения UAC? То есть, при включении учетной записи "администратор", такой пользователь получает доступ ко всему содержимому компьютера, тогда как с "UAC-off" :) (каламбур) доступ необходимо открывать?

Не совсем, к некоторым объектам имеет доступ только системная учетная запись например.

а что это такое, и как она себя проявляет?

Насколько я понял, на пальцах, конечно, ни один пользователь не может получить статус системной учетной записи. Это получается "учетная запись" самОй системы. За ссылку спасибо.

слава богу нетда

Но ведь можно стать владельцем объекта (папки, файла), владельцем которой является SYSTEM? Или нет?
Вопрос чисто теоретический, никакой практической целенапрвленности

можно

Использование встроенного администратора позволяет избежать запросов UAC, но для всех остальных учетных записей UAC продолжает работать. Если же UAC отключить, то запросов не будет вообще - ни для каких учетных записей.

Последствия - снижение безопасности. Работать под встроенным администратором не рекомендуется. Он неспроста отключен.

А если только один пользователь? Или это больше имеет значение при сетевой конфигурации?

Тогда тем более глупо работать под встроенным админом - если что-то случится с профилем, придется переустанавливать ОС или как минимум долго плясать с бубном. Замечу, что такая ситуация (единственный пользователь - встроенный админ) возможна только при автоматической установке.

а как тогда избежать надоедливых вопрошающих окон типа "Если эта программа..."

Не запускать "эта программа" или отключить UAC.

В таком случае круг замыкается - отключаешь UAC - получаешь админские права.

Ничего подобного. Отключение UAC не дает обычным учетным записям прав администратора. Просто администраторам не требуется повышение привелегий для выполнения административных задач, а ограниченным учетным записям не будет предлагаться ввести учетные данные адмнистратора при попытке выполнения таких задач (но это не значит, что им хватит прав на выполнение операций). Я думаю, вам пора изучить литературу по этому вопросу Безопасность : Управление учетными записями пользователей Windows Vista: взгляд изнутри

Спасибо, то что нужно, думаю после прочтения вопросы еще появятся.

Это не имеет смысла, если UAC выключен. В этом случае все администраторы работают в одинаковом режиме, хоть встроенные, хоть нет, и все задачи выполняются от имени администратора.
Как раз на нее и надо грешить :) Начать нужно с ее названия...

И что? Там и дальше по тексту.

Сами проверьте - отключите UAC, перезагрузитесь, запустите командную строку обычным образом - в заголовке окна написано "Администратор". Теперь включите, перезагрузитесь и запустите снова - такого эффекта вы добьетесь, только запуская ее от имени администратора.

Поэтому я и говорю, если UAC отключен, то у всех администраторов полные права. И нет смысла работать встроенным админом.

Вот и вопросы.
или, нужно понимать, - обычные пользователи не становятся администраторами
или все-таки становятся?

Не вижу разницы в формулировках... Неадминистративные учетные записи не становятся административными и не получают прав администратора. Точно так же, как это было в пред. ОС - обычный пользователь не имеет прав администратора.
Я не понимаю, что вас смущает... Или вам не нравятся мои формулировки? У администраторов и так полные права, но они реализуются только при подтверждении запроса UAC. Все администраторы (Administrators), кроме встроенного, работают в "Режиме одобрения администратором" (admin approval mode). Это значит, что для выполнения задач, требующих админ. прав, они должны запускаться от имени администратора. То же самое должны делать обычные пользователи (Users), если они хотят выполнять административные задачи. Встроенному администратору это не требуется, но если вы работаете только в этой учетной записи, то проще отключить UAC и работать под другой административной учетной записью (см. сообщение 13).

это имеет смысл просто для проверки - выключен ли UAC ;-)

"все задачи выполняются от имени администратора" - это нечеткая формулировка, как я понимаю? задач выполняются от имени используемой учетной записи, но с одинаковыми административными правами

Формулировка такая же, как в пункте контекстного меню.

Хорошо, тогда вопрос немного по-другому: "Что обычные пользователи не смогут сделать даже с отключенным UAC и потребуется включение встроенного админа?"
Я просто хочу разобраться: кто я есть на своем компьютере? Систему устанавливаю, прописываю одного пользователя, который, как я понимаю, как бы считается администратором, но на самом деле таковым не является. Затем происходит отключение UAC, и ... Я становлюсь админом или нет? Существуют ли еще ограничения?

Вопрос поставлен некорректно. Видимо, из-за недопонимания терминологии.

При включенном UAC и его политиках по умолчанию:

Обычный пользователь - принадлежит к группе Пользователи (Users). Задачи, запущенные обычным путем, выполняются в контексте обычного пользователя. Задачи, запущенные от имени администратора, запрашивают учетные данные администратора. После ввода учетных данных эти задачи выполняются в контексте администратора.

Администратор - принадлежит к группе Администраторы (Administrators). Задачи, запущенные обычным путем, выполняются в контексте обычного пользователя. Задачи, запущенные от имени администратора, запрашивают подтверждение действия. После подтверждения эти задачи выполняются в контексте администратора.

Встроенный администратор - принадлежит к группе Администраторы (Administrators). Задачи, запущенные обычным путем или от имени администратора, выполняются в контексте администратора.

Это зависит от его принадлежности к группе. Если он принадлежит только к группе Администраторы, он является администратором. Остаетесь админом.

ааа... понятно. Вы имели в виду команду Run as administrator (кстати, чтобы её использовать, совершенно необязательно разрешать учетную запись Administrator), а я ориентировался на вашу (процитированную) фразу, где упоминался UAC :-)

Я имел в виду, что выполнение задачи под встроенным администратором хоть с этой командой, хоть без этой, эквивалентно выполнению задачи под любым другим администратором с помощью этой команды.