কিভাবে গ্রুপ নীতির সাথে ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ নিষ্ক্রিয়/পরিবর্তন করবেন?

(ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ) উইন্ডোজ নিরাপত্তার একটি গুরুত্বপূর্ণ উপাদান। আপনি যখন কোনও অ্যাপ্লিকেশন বা প্রক্রিয়া চালান যার জন্য প্রশাসকের বিশেষাধিকার প্রয়োজন, সিস্টেম সেটিংস, সুরক্ষিত রেজিস্ট্রি কী বা সিস্টেম ফাইলগুলি পরিবর্তন করার চেষ্টা করে, তখন UAC উপাদানটি ডেস্কটপটিকে সুরক্ষিত মোডে (সিকিউর ডেস্কটপ) স্যুইচ করে এবং প্রশাসককে এই ক্রিয়াগুলির নিশ্চিতকরণের জন্য জিজ্ঞাসা করে। এইভাবে, UAC প্রসেস এবং ম্যালওয়্যার চালু হওয়া প্রতিরোধ করতে সাহায্য করে যা আপনার কম্পিউটারের সম্ভাব্য ক্ষতি করতে পারে।

নীচের স্ক্রিনশটটি দেখায় যে আপনি যখন রেজিস্ট্রি এডিটর চালানোর চেষ্টা করছেন (regedit.exe ) Windows 10 এ, একটি UAC নিশ্চিতকরণ উইন্ডো প্রদর্শিত হবে:

ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ আপনি কি এই অ্যাপটিকে আপনার ডিভাইসে পরিবর্তন করার অনুমতি দিতে চান?

বিল্ট-ইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টের জন্য UAC সক্ষম করা নেই, যা Windows 10-এ ডিফল্টরূপে নিষ্ক্রিয় থাকে।

এই নিবন্ধে, আমরা কীভাবে একটি একক কম্পিউটারে বা ডোমেনের একাধিক কম্পিউটারে গ্রুপ নীতিগুলি ব্যবহার করে UAC সেটিংস পরিচালনা করব তা দেখব৷

Windows 10-এ ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ স্লাইডার স্তরগুলি

Windows 7 (এবং নতুন) এ, কম্পিউটারে UAC সেটিংস একটি বিশেষ স্লাইডার ব্যবহার করে পরিচালিত হয় (যাকে কন্ট্রোল প্যানেল বা UserAccountControlSettings.exe দিয়ে ডাকা হয়। ফাইল)। স্লাইডার ব্যবহার করে, আপনি চারটি পূর্বনির্ধারিত ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ সুরক্ষা স্তরের মধ্যে একটি নির্বাচন করতে পারেন।

লেভেল 4 — সর্বদা অবহিত করুন — সর্বোচ্চ UAC সুরক্ষা স্তর;
লেভেল 3 - শুধুমাত্র যখন প্রোগ্রামগুলি মাইকম্পিউটারে পরিবর্তন করার চেষ্টা করে (ডিফল্ট) - ডিফল্ট সুরক্ষা স্তর;
লেভেল 2 — শুধুমাত্র যখন প্রোগ্রামগুলি আমার কম্পিউটারে পরিবর্তন করার চেষ্টা করে (আমার ডেস্কটপকে ম্লান করবেন না) - প্রায় আগের লেভেলের মতই, কিন্তু ডেস্কটপ লকিং সহ সিকিউর ডেস্কটপে স্যুইচ না করে;
লেভেল 1 - কখনই অবহিত করবেন না - UAC নিষ্ক্রিয়।

Windows 10-এ ডিফল্টরূপে, UAC সুরক্ষা লেভেল 3 ব্যবহার করা হয়, যা শুধুমাত্র যখন আপনি সিস্টেম ফাইল বা সেটিংস পরিবর্তন করার চেষ্টা করেন তখনই একটি বিজ্ঞপ্তি প্রদর্শন করে৷

জিপিও ব্যবহার করে উইন্ডোজে ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ কীভাবে নিষ্ক্রিয় করবেন?

বেশিরভাগ ক্ষেত্রে, UAC সম্পূর্ণরূপে নিষ্ক্রিয় করার সুপারিশ করা হয় না। ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ একটি সহজ কিন্তু কার্যকর উইন্ডোজ নিরাপত্তা টুল। আমার অনুশীলনে, UAC নির্দিষ্ট ফাংশনগুলিকে ব্লক করে তা নিশ্চিত না করে আমি ব্যবহারকারীদের কম্পিউটারে UAC কখনই নিষ্ক্রিয় করি না। এমনকি এই ক্ষেত্রে, একটি নির্দিষ্ট অ্যাপ্লিকেশনের জন্য UAC অক্ষম করার জন্য, বা অ্যাডমিন অধিকার ছাড়াই অ্যাপ্লিকেশনগুলি চালানোর এবং UAC প্রম্পটকে দমন করার সহজ সমাধান রয়েছে৷

আপনি গ্রুপ নীতি ব্যবহার করে UAC নিষ্ক্রিয় করতে পারেন। একটি স্বতন্ত্র কম্পিউটারে, আপনি স্থানীয় গ্রুপ নীতি সম্পাদক gpedit.msc ব্যবহার করতে পারেন . আপনি যদি ডোমেন কম্পিউটারে নীতি স্থাপন করতে চান, তাহলে আপনাকে গ্রুপ পলিসি ম্যানেজমেন্ট কনসোল - gpmc.msc ব্যবহার করতে হবে (আসুন এই বিকল্পটি বিবেচনা করা যাক)।

ডোমেন জিপিও ম্যানেজমেন্ট কনসোলে, আপনি যে কম্পিউটারগুলিতে UAC অক্ষম করতে চান এবং একটি নতুন নীতি অবজেক্ট তৈরি করতে চান সেগুলির সাথে OU-তে ক্লিক করুন;
নীতি সম্পাদনা করুন এবং বিভাগে যান কম্পিউটার কনফিগারেশন -> নীতি -> উইন্ডোজ সেটিংস -> নিরাপত্তা সেটিংস -> স্থানীয় নীতি -> নিরাপত্তা বিকল্পগুলি;
এই বিভাগে অনেকগুলি বিকল্প রয়েছে যা UAC সেটিংস নিয়ন্ত্রণ করে। এই প্যারামিটারগুলির নাম ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ দিয়ে শুরু হয়;
UAC সম্পূর্ণরূপে নিষ্ক্রিয় করতে, নিম্নলিখিত প্যারামিটার মান সেট করুন:
- ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:অ্যাডমিন অনুমোদন মোডে প্রশাসকদের জন্য উচ্চতা প্রম্পটের আচরণ =Elevate without prompting;
- ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:অ্যাপ্লিকেশন ইনস্টলেশন সনাক্ত করুন এবং উচ্চতার জন্য প্রম্পট করুন =Disabled;
- ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:সমস্ত প্রশাসককে অ্যাডমিন অনুমোদন মোডে চালান =Disabled;
- ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:শুধুমাত্র নিরাপদ অবস্থানে ইনস্টল করা UIAaccess অ্যাপ্লিকেশনগুলিকে উন্নত করুন =Disabled .
গ্রুপ পলিসি সেটিংস আপডেট করতে এবং UAC অক্ষম করতে আপনাকে ক্লায়েন্ট কম্পিউটার পুনরায় চালু করতে হবে। রিবুট করার পরে, UAC “Never notify” মোডে স্যুইচ করবে।

আপনি রেজিস্ট্রির মাধ্যমে শুধুমাত্র কিছু ব্যবহারকারী/কম্পিউটারদের জন্য UAC নিষ্ক্রিয় করতে পারেন এবং গ্রুপ নীতি পছন্দগুলির মাধ্যমে সেটিংস স্থাপন করতে পারেন।

GPO বিভাগের অধীনে একটি নতুন রেজিস্ট্রি প্যারামিটার তৈরি করুন কম্পিউটার কনফিগারেশন -> পছন্দগুলি৷ -> উইন্ডোজ সেটিংস -> রেজিস্ট্রি নিম্নলিখিত সেটিংস সহ:

ক্রিয়া:প্রতিস্থাপন করুন
Hive:HKEY_LOCAL_MACHINE
মূল পথ:সফ্টওয়্যার\Microsoft\Windows\CurrentVersion\Policies\System
মানের নাম:EnableLUA
মান প্রকার:REG_DWORD
মান ডেটা:0

তারপর সাধারণ-এ যান ট্যাব এবং বিকল্পগুলি সক্রিয় করুন:

এই আইটেমটি সরান যখন এটি আর প্রয়োগ করা হয় না
আইটেম-স্তরের টার্গেটিং

টার্গেটিং-এ ক্লিক করুন বোতাম এবং কম্পিউটার বা ডোমেন নিরাপত্তা গোষ্ঠী উল্লেখ করুন যেখানে আপনি UAC নিষ্ক্রিয় নীতি প্রয়োগ করতে চান৷

এমনকি UAC অক্ষম থাকা সত্ত্বেও, কিছু অ্যাপ্লিকেশানগুলি বার্তার সাথে লঞ্চ করা থেকে ব্লক করা হতে পারে আপনার সুরক্ষার জন্য এই অ্যাপটি ব্লক করা হয়েছে৷

UAC রেজিস্ট্রি কী সেটিংস

আপনি রেজিস্ট্রির মাধ্যমে UAC সেটিংস পরিচালনা করতে পারেন। ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণের আচরণের জন্য দায়ী প্যারামিটারগুলি রেজিস্ট্রি কী HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System-এর অধীনে অবস্থিত .

আপনি যখন কন্ট্রোল প্যানেলে ইউএসি স্লাইডারের মান পরিবর্তন করেন, তখন উইন্ডোজ এই রেজি কী থেকে রেজিস্ট্রি সেটিংসের মান পরিবর্তন করে নিম্নরূপ (নিচে ইউজার অ্যাকাউন্ট কন্ট্রোল স্লাইডারের বিভিন্ন স্তরের জন্য প্রস্তুত REG ফাইল রয়েছে):

UAC স্তর 4 (সর্বদা অবহিত করুন):

উইন্ডোজ রেজিস্ট্রি এডিটর সংস্করণ 5.00 [HKEY_LOCAL_MACHINE \ SOFTORY \ Microsoft \ Windows \ Currversion \ POLICIES \ SYSTEN] "ConsentPromptbehavioradmin" =DWORD:00000002 "Consentpromptbehavioruser" =DWORD:00000003 "ENEBLEINSTALEREDETTETITECTIONTETION =DWORD:00000001" ENABLELUA "=DWORD:00000001"EnableVirtualization"=dword:00000001"PromptOnSecureDesktop"=dword:00000001"ValidateAdminCodeSignatures"=dword:00000000"FilterAdministratorToken:0=0>0প্রে

UAC স্তর 3 (যখন প্রোগ্রামগুলি আমার কম্পিউটারে পরিবর্তন করার চেষ্টা করে শুধুমাত্র তখনই অবহিত করুন):

"Consentpromptbehavioradmin" =DWORD:00000005 "কনসার্টপ্রমটবেহিয়রউজার" =DWORD:00000003 "EnableInstallerEdetection" =DWORD:000000001 "=DWORD:0000001" =DWORDELITURIATION "=DWORD:0000001" PROMPTONSECUREDESKTOP "=DWORDMANDEADESIGNATIONURESPTOP" =DWORDEADMINDENSIGNATURE :00000000"FilterAdministratorToken"=dword:00000000

UAC স্তর 2:

"Consentpromptbehavioradmin" =DWORD:00000005 "কনসেন্টপ্রমটবেহিয়রসার" =DWORD:00000003 "EnableInstallerEdetection" =DWORD:000000001 "ENABLELUA" =DWORD:00000011 "=DWORDELIATIONEDESECTESECERSECURTESKTOP" =DWORD:0000000000000000000000 :00000000"FilterAdministratorToken"=dword:00000000

UAC স্তর 1 (কখনও অবহিত করবেন না — সম্পূর্ণরূপে UAC অক্ষম করুন):

আপনি রেজিস্ট্রি এডিটর GUI ব্যবহার করে বা কমান্ড প্রম্পট থেকে যেকোনো প্যারামিটারের মান পরিবর্তন করতে পারেন। উদাহরণস্বরূপ, কম্পিউটারে UAC নিষ্ক্রিয় করতে (একটি রিবুট প্রয়োজন), আপনি কমান্ডটি চালাতে পারেন:

reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f.

অথবা একটি অনুরূপ PowerShell কমান্ড:

New-ItemProperty -Path HKLM:Software\Microsoft\Windows\CurrentVersion\policies\system -Name EnableLUA -PropertyType DWord -Value 0 -Force

এই থ্রেডে আরেকটি রেজিস্ট্রি প্যারামিটার আছে, LocalAccountTokenFilterPolicy , যা প্রায়ই রিমোট UAC হিসাবে উল্লেখ করা হয় . এই প্যারামিটারটি প্রশাসকের বিশেষাধিকার সহ স্থানীয় ব্যবহারকারী অ্যাকাউন্টের অধীনে ডিফল্ট প্রশাসনিক শেয়ারগুলিতে দূরবর্তী সংযোগগুলিকে সীমাবদ্ধ করে।

উইন্ডোজ সার্ভারে ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ

উইন্ডোজ সার্ভারে ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ কাজ করে এবং এটি উইন্ডোজ ডেস্কটপ সংস্করণগুলির মতো একইভাবে পরিচালিত হয়৷

উইন্ডোজ সার্ভার 2016/2019-এ UAC সম্পূর্ণরূপে নিষ্ক্রিয় করা গ্রহণযোগ্য যদি নিম্নলিখিত শর্তগুলি সত্য হয়:

শুধুমাত্র প্রশাসকদের সার্ভার ডেস্কটপে দূরবর্তী অ্যাক্সেস রয়েছে (অ-প্রশাসক ব্যবহারকারীদের জন্য সার্ভারে আরডিপি অ্যাক্সেস অক্ষম করতে হবে)। RDS হোস্টে, UAC সক্রিয় রেখে দিন;
প্রশাসকদের শুধুমাত্র প্রশাসনিক ব্যবস্থাপনার কাজের জন্য Windows সার্ভার ব্যবহার করা উচিত। অ্যাডমিনিস্ট্রেটরের উচিত অফিস ডকুমেন্ট, মেসেঞ্জার, ওয়েব ব্রাউজারগুলির সাথে কাজ করা উচিত শুধুমাত্র ওয়ার্কস্টেশনে একটি অ-সুবিধাপ্রাপ্ত ব্যবহারকারী অ্যাকাউন্টের অধীনে UAC সক্ষম করা, এবং সার্ভার হোস্টগুলিতে নয় (প্রশাসকের অ্যাকাউন্টগুলি সুরক্ষিত করার জন্য সর্বোত্তম অনুশীলনের নিবন্ধটি দেখুন)।

উইন্ডোজ সার্ভার কোর সংস্করণগুলিতে UAC সর্বদা নিষ্ক্রিয় থাকে।

যখন UAC সক্রিয় থাকে, তখন Windows সার্ভার স্থানীয় কম্পিউটার অ্যাকাউন্টের (নেট ব্যবহার, উইনআরএম, পাওয়ারশেল রিমোটিং এর মাধ্যমে) দূরবর্তীভাবে সংযোগ করার অনুমতি দেয় না। ব্যবহারকারীর টোকেন সক্ষম UAC LocalAccountTokenFilterPolicy দ্বারা ফিল্টার করা হবে প্যারামিটার (আগের বিভাগে আলোচনা করা হয়েছে)।

UAC স্লাইডার এবং গ্রুপ নীতি সেটিংস

আপনি স্লাইডার এবং GPO উভয় ব্যবহার করে UAC সেটিংস পরিচালনা করতে পারেন। কিন্তু এমন কোনো একক গ্রুপ পলিসি প্যারামিটার নেই যা চারটি UAC সুরক্ষা স্তরের একটি নির্বাচন করতে দেয় (UAC স্লাইডারের অবস্থানের সাথে সম্পর্কিত)। পরিবর্তে 10টি ভিন্ন GPO প্যারামিটার ব্যবহার করে UAC সেটিংস পরিচালনা করার পরামর্শ দেওয়া হচ্ছে। এই নীতিগুলি GPO সম্পাদকের নিম্নলিখিত বিভাগে অবস্থিত:কম্পিউটার কনফিগারেশন -> নীতি -> উইন্ডোজ সেটিংস -> নিরাপত্তা সেটিংস -> স্থানীয় নীতি -> নিরাপত্তা বিকল্পগুলি . UAC-সম্পর্কিত গ্রুপ পলিসি প্যারামিটারগুলি ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ দিয়ে শুরু হয় .

নিম্নলিখিত সারণী UAC গ্রুপ পলিসি প্যারামিটার এবং তাদের সংশ্লিষ্ট রেজিস্টার কীগুলির তালিকা দেখায়৷

৷

নীতির নাম	নীতি দ্বারা সেট করা রেজিস্ট্রি প্যারামিটার
ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:অন্তর্নির্মিত প্রশাসক অ্যাকাউন্টের জন্য অ্যাডমিন অনুমোদন মোড	FilterAdministratorToken
ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:নিরাপদ ডেস্কটপ ব্যবহার না করেই UIAaccess অ্যাপ্লিকেশনগুলিকে উচ্চতার জন্য প্রম্পট করার অনুমতি দিন	EnableUIADesktopToggle
ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:অ্যাডমিন অনুমোদন মোডে প্রশাসকদের জন্য উচ্চতা প্রম্পটের আচরণ	ConsentPromptBehaviorAdmin
ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:আদর্শ ব্যবহারকারীদের জন্য উচ্চতা প্রম্পটের আচরণ	ConsentPromptBehaviorUser
ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:অ্যাপ্লিকেশন ইনস্টলেশন সনাক্ত করুন এবং উচ্চতার জন্য প্রম্পট করুন	EnableInstaller Detection
ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:শুধুমাত্র স্বাক্ষরিত এবং যাচাইকৃত এক্সিকিউটেবলগুলিকে উন্নত করুন	ValidateAdminCodeSignatures
ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:শুধুমাত্র নিরাপদ অবস্থানে ইনস্টল করা UIAaccess অ্যাপ্লিকেশনগুলিকে উন্নত করুন	SecureUIAPaths সক্ষম করুন
ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:অ্যাডমিন অনুমোদন মোডে সমস্ত প্রশাসক চালান	EnableLUA
ব্যবহারকারীর অ্যাকাউন্ট নিয়ন্ত্রণ:উচ্চতার জন্য অনুরোধ করার সময় সুরক্ষিত ডেস্কটপে স্যুইচ করুন	PromptOnSecureDesktop
ব্যবহারকারীর অ্যাকাউন্ট কন্ট্রোল:ভার্চুয়ালাইজ ফাইল এবং রেজিস্ট্রি প্রতি ব্যবহারকারীর অবস্থানে ব্যর্থতা লিখুন	ভার্চুয়ালাইজেশন সক্ষম করুন

ডিফল্টরূপে, UAC স্তর 3 নিম্নলিখিত গ্রুপ নীতি সেটিংস ব্যবহার করে:

UAC স্তর 3 (ডিফল্ট)

অন্তর্নির্মিত প্রশাসক অ্যাকাউন্টের জন্য অ্যাডমিন অনুমোদন মোড =Disabled
নিরাপদ ডেস্কটপ =Disabled ব্যবহার না করেই UIAaccess অ্যাপ্লিকেশনগুলিকে উচ্চতার জন্য প্রম্পট করার অনুমতি দিন
অ্যাডমিন অনুমোদন মোডে অ্যাডমিনিস্ট্রেটরদের জন্য উচ্চতা প্রম্পটের আচরণ =Prompt for consent for non-Windows binaries
মানক ব্যবহারকারীদের জন্য উচ্চতা প্রম্পটের আচরণ =Prompt for credentials on the secure desktop
অ্যাপ্লিকেশন ইনস্টলেশন সনাক্ত করুন এবং উচ্চতার জন্য প্রম্পট =Enabled (ওয়ার্কগ্রুপের জন্য), Disabled (ডোমেনে যুক্ত হওয়া উইন্ডোজ ডিভাইসের জন্য)
শুধুমাত্র এলিভেট এক্সিকিউটেবল যেগুলি স্বাক্ষরিত এবং যাচাই করা হয়েছে =Disabled
শুধুমাত্র UIA অ্যাক্সেস অ্যাপ্লিকেশনগুলিকে উন্নত করুন যেগুলি সুরক্ষিত অবস্থানে ইনস্টল করা আছে =Enabled
প্রশাসক অনুমোদন মোডে সমস্ত প্রশাসক চালান =Enabled
উচ্চতার জন্য অনুরোধ করার সময় সুরক্ষিত ডেস্কটপে স্যুইচ করুন =Enabled
ভার্চুয়ালাইজ ফাইল এবং রেজিস্ট্রি প্রতি ব্যবহারকারী অবস্থানে ব্যর্থতা লিখুন =Enabled