Win11管理员批准模式开启教程

想要显著提升Windows 11系统安全性、有效阻止恶意软件或误操作擅自获取管理员权限？启用管理员批准模式（AAM）是关键一步——它强制所有管理员账户在执行高危操作前必须通过UAC弹窗明确授权，从根本上杜绝静默提权。本文详解三种适配不同系统版本的启用方式：图形化UAC滑块设置（全版本通用）、组策略强制启用（专业版/企业版推荐）、注册表手动配置（家庭版专属），并提供清晰的验证步骤确保防护真正生效，助你一键筑牢系统安全第一道防线。

如果您希望在Windows 11中强化系统安全，防止未经授权的提权操作，则需启用管理员批准模式（Administrator Approval Mode），该模式强制所有管理员账户在执行高权限操作前必须通过UAC弹窗明确确认。以下是实现此安全机制的多种方法：

一、通过用户账户控制设置界面启用默认审核级别

此方法通过图形化设置调整UAC通知强度，确保系统对所有提权行为进行拦截与提示，是面向所有版本Windows 11用户的通用配置方式。

1、按下Win + I键打开“设置”应用。

2、在左侧导航栏点击“隐私和安全性”，向下滚动并点击“Windows 安全中心”右侧的“更改用户账户控制设置”链接。

3、在弹出的UAC设置窗口中，将滑块拖动至第二档或更高档位（即“仅在应用尝试更改我的计算机时通知我”或“始终通知”）。

4、点击“确定”，系统提示需重启以使设置生效，重启计算机后管理员批准模式即被激活。

二、通过本地组策略编辑器强制启用管理员批准模式

该方法适用于Windows 11专业版、企业版或教育版，可彻底启用“以管理员批准模式运行所有管理员”策略，即使以Administrator身份登录，每次提权仍需UAC确认，具备最高策略控制力。

1、按Win + R打开运行对话框，输入gpedit.msc并回车。

2、依次展开路径：计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项。

3、在右侧列表中找到并双击“用户账户控制：以管理员批准模式运行所有管理员”。

4、勾选“已启用”，点击“确定”保存。

5、在同一位置找到“用户账户控制：管理员批准模式中管理员的提升提示行为”，双击后选择“提示凭据”或“提示同意”。

6、关闭组策略编辑器，在命令提示符（管理员）中执行gpupdate /force刷新策略，或直接重启系统。

三、通过注册表修改启用管理员批准模式（适用于家庭版）

Windows 11家庭版不支持组策略编辑器，但可通过直接修改注册表关键项来等效启用管理员批准模式，核心在于启用LUA（Limited User Account）机制并配置提升提示行为。

1、按Win + R输入regedit并回车，以管理员身份运行注册表编辑器。

2、导航至路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System。

3、在右侧查找名为EnableLUA的DWORD（32位）值；若不存在，右键空白处 → 新建 → DWORD (32位) 值，并命名为EnableLUA，将其数值数据设为1。

4、继续在相同路径下查找或新建DWORD值ConsentPromptBehaviorAdmin，将其数值数据设为2（对应“提示凭据”）或5（对应“提示同意”）。

5、关闭注册表编辑器，重启计算机使修改生效。

四、验证管理员批准模式是否已启用

启用完成后，可通过检查系统策略状态与实际行为双重确认该模式是否正常工作，避免因配置遗漏导致防护失效。

1、再次进入组策略编辑器（专业版及以上）或使用注册表编辑器，确认EnableLUA = 1且ConsentPromptBehaviorAdmin值非0。

2、尝试运行需提权的程序（如记事本并另存为系统目录下的文件），观察是否触发UAC安全桌面弹窗。

3、打开命令提示符（非管理员），执行whoami /groups | findstr "S-1-16-12288"，若返回结果包含该完整性级别SID，则表明当前会话处于标准用户完整性级别，提权需显式授权。

今天关于《Win11管理员批准模式开启教程》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！