此前微软已经透露正在改进 Windows NT 系统中的管理员保护功能，该功能并非新功能但微软准备在 Windows 11 中进行改进以便更方便用户使用。

管理员保护的核心目的是对于敏感操作进行额外的验证，例如我们在 macOS 上修改系统设置时往往需要输入密码才能操作，管理员保护功能的流程和目的也同样如此。

举个例子：当你同时需要临时使用你的电脑，在开启管理员保护功能的前提下，当你同事准备安装个大数字浏览器时就会被拦截，此时你同时必须输入 PIN 码或通过其他 Windows Hello 进行验证后才能操作。

而当前版本的 Windows 11 系统只要你是管理员级别的用户并且解锁设备，那么其他用户进行任意操作时最多只需要点下鼠标进行确认即可无需进行额外验证。

哪些场景需要管理员保护的额外验证：

安装软件、卸载软件、修改系统敏感设置、修改系统时间 (防止通过改时间绕过某些验证)、修改注册表等等，这些被定义为敏感操作的场景都需要额外验证后才能操作。

在最新推出的 Windows 11 Canary Build 27774 版中，新的管理员保护 UI 已经到来，用户可以在 Windows Security 中启用该功能，启用后后续敏感操作就必须额外验证。

下面是开启步骤：

1. 升级到 Windows 11 Build 27774 + 版

2. 进入设置、隐私与安全、安全、Windows Security

3. 在 Windows Security 中点击导航栏的账户保护 (Account Proteciton)、管理员保护 (Administrator Protection)

4. 点击底部的管理员保护设置将其开启后即可

管理员保护的工作原理：

其原理是当用户登录系统时将自动分配非管理员权限的用户令牌，这个用户令牌仅可以执行常规操作，当需要管理员权限时 Windows 系统将弹出请求由用户进行确认和授权。

当用户确认和授权时 Windows 将使用隐藏的、系统生成的、配置文件分离的用户账户来创建隔离的管理员令牌，此令牌仅会提供给发起请求的进程，不会给其他进程使用，同时在使用完毕后会立即销毁。

这样做的好处是遵循管理员权限最小使用原则，当另一个进程需要管理员权限时又需要发起新的请求，同样在操作完毕后会被立即销毁。