我在找通过有限的解释来说明什么可以做,什么不能做,而不是模糊的概括。例如,运行批处理文件/脚本,但哪些命令不能使用?可以触及注册表的哪些区域(如果有)?默认情况下哪些目录是禁止访问的(如果有)?
答案1
请参阅 Microsoft 的这些文章:
就文件系统而言,一般来说,受限帐户无法写入其配置文件夹之外的大多数位置。例如,Windows 文件夹和 Program Files 是禁止写入的。
从注册表方面来说,一般来说,受限账户是不能修改HKEY_LOCAL_MACHINE的,只能修改HKEY_CURRENT_USER。
答案2
没有那么多;
受限帐户无法触及影响计算机上其他用户的任何内容。这意味着无法访问 c:\windows、无法访问其他用户目录、无法更改系统范围的设置(尽管任何每个用户的设置都可以使用)
受限帐户也无法安装某些程序(特别是必须与系统集成才能运行的程序 - 再次回到影响其他程序的观点),但大多数时候可以毫无问题地安装到自己的目录中(有趣的事实:Google Chrome 安装到本地目录,因此受限用户无需额外步骤即可安装它)
至于批处理文件,可能 99% 的命令都可以使用,但它们能做的事情是有限的,同样也是本地视图。
当然,受限账户会做一些事情来影响其他账户,但一般来说它们不应该这样 - 其中隐藏的任何东西也不应该这样,比如 Virus.exe :)