Proč nevypínat UAC ve Windows Vista

Na mnoha serverech jsem již četl návody na vypnutí funkce Řízení uživatelských účtů neboli UAC (User Account Control) v operačním systému Windows Vista. A na mnoha serverech jsem již brojil proti tomuto počínání. Domnívám se totiž, že radit běžným uživatelům vypnutí této funkce není zrovna správné. Ostatně uživatel, který potřebuje radu na to jak tuto funkci vypnout a nedokáže to udělat sám, potřebuje tuto funkci zřejmě mnohem více, než uživatel který podobné rady pro vypnutí UAC nepotřebuje a umí si řešení najít přímo v systému. I když jsem tedy důvody pro nevypínání UAC popisoval již na mnoha serverech, rozhodl jsem se sepsat na toto téma krátký článek i zde na blogu. Stále totiž slýchám názory, že UAC je otravné zlo", byť jde o jednu z nejlepších novinek ve Windows Vista.

Základy: Systém oprávnění

Již od dob Windows NT se dají Windows považovat za skutečný víceuživatelský operační systém. Takový systém přiděluje každému uživateli určitou míru práv v operačním systému. Pokud to zjednodušíme, lze říci, že uživatel počítače může využívat dva druhy uživatelských účtů. Jde o účet správce počítače (administrátora) a účet se standardním oprávněním. Rozdíl mezi těmito profily je v tom, že uživatel s oprávněními administrátora může v systému provádět vše zcela neomezeně. Může měnit nastavení celého operačního systému, může měnit systémové soubory, může je mazat a může – když bude chtít – systém zcela zničit. Naproti tomu uživatel se standardním oprávněním může používat nainstalované programy, může měnit jejich nastavení, může ovlivňovat vše co se týká jeho uživatelského účtu. Ale to je vše. Standardnímu uživateli není umožněno instalovat nebo odinstalovávat programy, nemůže měnit, nebo mazat systémové soubory, atd. Za normálních okolností by tedy každému uživateli operačního systému měli ke spouštění programů a jejich používání stačit standardní uživatelská oprávnění. Alespoň tak to funguje v ideálním případě. Bohužel nic není ideální.

Faktem totiž je, že mnoho programátorů si zvyklo programovat pro operační systémy řady Windows 9x (95, 98, ME) a bohužel stejným stylem programují stále. Jenže Windows 9x je zcela jiná řada operačního systému! Jde o jednouživatelský operační systém postavený ještě nad zastaralým operačním systémem DOS a krom jména, některých rozhraní a (téměř) totožného vzhledu nemá s moderními operačními systémy řady Windows NT (NT, 2000, XP, Vista, Windows 7) mnoho společného. Systém oprávnění v systému Windows 9x není vůbec přítomen! Z toho poté vznikají problémy, které mnoha lidem znemožňují efektivně používat standardní uživatelský účet, jelikož spousta programů s těmito sníženými právy není schopna pracovat, bez dodatečných nastavení. Přemluvit" takové aplikace k fungování na standardním uživatelském účtu je pro zkušenějšího uživatele sice relativně snadné, ale běžný uživatel postupy pro změny oprávnění obvykle nezná a v domácích edicích operačních systémů Windows ani nemá nástroj (krom utility pracující na příkazovém řádku), s nímž by mohl oprávnění snadno editovat.

Osobní zkušenost

Já osobně pracoval mnoho let na Windows XP z běžným uživatelským účtem a vím, že není zcela snadné jej používat. Veškerou konfiguraci, instalace, atd. jsem musel dělat s pomocí funkce Spustit jako (RunAs) a často ještě měnit přístupová práva u programů, jejichž programátor si asi myslel, že i dnes je doba Windows 95 a zapisovat nastavení aplikace do systémových adresářů je normální. To vyžadovalo samozřejmě pozornost z mé strany, tj. např. myšlení na to, že každou instalaci a konfiguraci musím provádět pomocí RunAs a zadávání hesla, nebo na to, že zástupce aplikací bude potřeba přesunout z profilu admina do profilu All Users a následně jim ještě taktéž změnit oprávnění. Když si na tento postup člověk zvykne, je to otázka půl minuty, ovšem je pochopitelné, že běžného uživatele tyto postupy nenaučíte: Ostatně on nemá důvod se je učit – chce totiž počítač jen používat, ne mu dělat správce.

Nové možnosti díky UAC

Vista a její UAC je v tomto mnohem lepší, jelikož myšlení na toto odpadá a systém si sám zvýšená oprávnění vyžádá, načež je stačí jen potvrdit a to dokonce bez zadávání hesla. Vše je tedy nepoměrně rychlejší a navíc není třeba mít dva oddělené uživatelské účty pro správce počítače a pro standardního uživatele. Toto vše se ale vypnutím UAC vrací zpět na úroveň systému Windows 2000/XP.

Chápu, že pro lidi, kteří si zvykli pracovat ve starších Windows trvale pod administrátorským účtem, je UAC otrava, jenže toto je rozumný kompromis a zároveň páka na programátory, jak je konečně naučit psát programy tak, aby nevyžadovali admin práva, pokud je skutečně nepotřebují.

Vím, že UAC není dokonalé a zasloužilo by si např. možnost povolit některým aplikacím trvale zvýšená práva, nebo časový limit, během nějž by se dotaz na elevaci práv nezobrazoval, ale pořád si myslím, že je lepší UAC, než práce pod účtem správce počítače. Chápu, že určité zmírnění funkce UAC by mohlo snižovat její potenciál, jelikož mnoho nezkušených uživatelů by potvrdilo trvale zvýšená práva čemukoliv. Na druhou stranu by tato mírná sleva z požadavků UAC mohla zabránit tomu, aby lidé tuto funkci hromadně vypínali. Velmi mě proto těší, že v nově připravovaném operačním systému Windows 7 se Microsoft poučil a plánuje zjemnění funkce UAC, které by mohlo většině uživatelů již vyhovovat.

UAC bez otravností?!

Musím upozornit ještě na jednu věc. Psal jsem, že u Visty s UAC nemusí mít člověk zřízeny dva uživatelské účty a může používat jen ten jeden – správcovsko-uživatelský. Ovšem nadále je tu možnost vytvořit i samostatný uživatelský účet a používat ten. Jakou že to má výhodu? Při dotazu UAC na elevaci práv musí sice v takovém účtu člověk krom pouhého kliknutí zadat i heslo správcovského účtu, ale zároveň je těchto dotazů mnohem méně.

Např. když ve správcovském účtu s UAC chci spustit regedit, tak mě vždy čeká dotaz UAC na zvýšení oprávnění. Když regedit spustím pod čistě standardním účtem, pak se dotaz UAC vůbec nezobrazí. Pokud se tedy chce člověk např. jen na něco podívat, nebo chce editovat jen klíč svého uživatelského účtu, pak není zdržován UAC dotazem. Pokud naopak budu chtít měnit konkrétní nastavení pro všechny uživatele a celý systém, pak si spuštění pod administrátorskými právy explicitně vyžádám přes kontextovou nabídku, či spuštění přes klávesovou zkratku, vyplním heslo správce a spustím regedit (či jiný program) s plnými právy…

Komentáře

Sdílet článek

8 komentářů u „Proč nevypínat UAC ve Windows Vista

  1. dadajax

    Hezky napsáno, snad si tohle přečte co nejvíce lidí. Osobně mi UAC nevadí a jsem za něj rád. Jsem totiž líný používat neadmin účet a UAC to řeší za mě perfektně :)

  2. pc.ov

    Nechci pruditAle některé softy nejdou se zaplou správou naistalovat, případně se nainstalují zmršeně. Když už se bez toho někdo neobejde tak ať si raději přečte install.txt dané aplikace aby se potom nedivil jak se mu podařilo Visty rozbořit.

  3. Přemek V.

    Problémy s UACMě osobně UAC také nevadí, ba napak mi usnadňuje každodenní použití počítače. Myslím, že na UAC nadavají většinou fanatičtí stahovači a \“instalovači\“ každé pitomosti, která se kde na internetu zrovna ukáže, stejně tak jako lidé, pro něž je warez každodenním chlebem. Jinak si totiž nedovedu vysvětlit, proč by měl někdo pořád potřebu zapisovat něco do systémových adresářů, jako jsou Program Files, nebo Windows. Osobně se s dialogem UAC potkávám spíše zřídka a obecně si myslím, že těch několik (desítek) hlášek při prvotní instalaci počítače se dá s klidem přežít. Ostatní mohou při první instalaci UAC vypnout, ale pak rozhodně doporučuji opět funkci povolit. Bez ní je totiž podlomen jeden z pilířů bezpečné práce, totiž nepracování pod admin účtem.Pokud jde o software, který s funkcí UAC nechce korektně pracovat. Ano – jistě se takový najde. Pokud jde o nutný, nebo jinak produkční software, pak je jistě nejlepší UAc vypnout a používat daný program. V opačném případě si však myslím, že se ke každému programu dá najít dostatek alternativ, z nichž mnohé nebudou mít jistě s UAC problém.

  4. wooder

    UACUAC a veškeré ty hlášky jsou naprosto otravné a okamžitě jsem je vypnul. Mám počítač jen sám pro sebe, nikoho sem nepouštím, proto myslím nemá smysl mít UAC zapnutý. Program files není systémový adresář, to mi nikdo nenamluví :) Když ho po instalaci Windows smažu, tak se nestane lautr vůbec nic.

  5. Přemek V.

    Smysl UACSmysl UAC ale není v tom, že by snad chránil uživatele před někým jiným u počítače. To, že k PC nikoho nepouštíš neznamná, že Tvůj systém je v bezpečí. Cokoliv co spustíš (nebo se díky nějaké chybě spustí samo z internetu) může v případě práce pod administrátorským účtem provádět cokoliv – klidně celý systém zlikvidovat, či skrytě sledovat co na počítači děláš, jak a s jakými přihlašovacími údaji se kam připojuješ, atd.Vypnutí UAC je samozřejmě Tvoje volba, ovšem uvědom si, že takovým postupem se dobrovolně vystavuješ riziku a zároveň se ohledně bezpečnosti systému vracíš do dob Windows 98, případně i 2000/XP, pokud jsou tyto provozovány v režimu admina.V této oblasti je Linux a Unix-based systémy mnohem dále, stejně tak jako jeho uživatelé a samozřejmě i software, který prostě admin práva nepotřebuje. Není na škodu, že se Windows těmto bezpečnostním zásadám snaží alespoň blížit.

  6. Zed

    hmmakorát nechápu proč mi UAC nechce dovolit netstat -b, co je proboha na tom nebezpečné?

  7. Král L. - CooL

    UACHned co jsem si nainstaloval systém Win7, jsem si svůj obyčejný uživatelský účet smazal a povolil Administrátor účet, tak funguji pod tímto acc.Je známo, že v Admin. acc se nic neptá na to co spustit/nespustit. A o to mi šlo, počítač používám jen já (funguje i jako dočasný menší herní a webový server), tak mám kontrolu nad tím, co se děje. Vím kam lezu, co instaluji atp. Nechodím na nějaké podezřelé stránky, neinstaluji kdejaké volovinky, nestahuji ze stránek, které vypadají fakt \"divně\" :-).Používám ochranu ESET Smart Security (+ Smart Security FW).Systém je čistý jako dětská prdýlka :))Takhle funguji od dob Win Vista – výsledek stejný!Před x lety, ještě ve Win XP, jsem měl jen trojánky, žádné další problémy ;).No prostě jsem tímto chtěl říci, že UAC je pro mě zbytečnost, stačí používat mozek a hnedle je UAC z Vás samotného :-)Dobrou noc

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..