Default account windows 10 что это

DefaultUser0 Windows 10 удалить навсегда: 4 рабочих метода

Здравствуйте. С выходом некоторых обновлений Виндовс 10 многие пользователи столкнулись со следующей проблемой. После установки ОС в системе появляется аккаунт пользователя, который может быть заблокирован паролем, и убрать его привычными методами не удается. Сегодня я расскажу, как DefaultUser0 Windows 10 удалить за несколько минут. Поделюсь всеми способами, которые доказали свою эффективность.

Как только появилась данная проблема, люди начали массово писать в службу технической поддержки Microsoft. Но те инструкции, которые предлагали эксперты, не всегда помогали.

СОДЕРЖАНИЕ СТАТЬИ:

DefaultUser0: что за пользователь?

Это значение, которое операционка присваивает по умолчанию, если невозможно создать пользовательский аккаунт вследствие критической ошибки. Стоит отметить, что дефект не исчезает даже когда Вы:

• пытаетесь выполнить чистую установку «десятки»;
• форматируете диск;
• делаете возврат к предыдущей версии ОС или обновление до Anniversary Update

Методы удаления

Как видите, назвать точную причину пока не может никто. Уверен, Вас больше интересуют пути выхода из «кризиса». Предлагаю несколько способов, которые помогут DefaultUser0 удалить раз и навсегда!

Используем командную строку

Чтобы применить следующую инструкцию, Вы должны быть в системе. Если перед Вами появляется следующее окно, и Вы не знаете какой пароль, то необходимо загрузиться с диска восстановления (о его создании подробно читайте здесь):

• В появившемся всплывающем окне просто наживаем «Да»;
• Когда запустится черная консоль, следует ввести команду:

net user /delete defaultuser0

Можете просто скопировать данный код из моей инструкции и вставить его в командную строку, кликнув правой кнопкой мыши.

• Нажимаем Enter, чтобы отправить команду на выполнение. Таким образом, мы избавились от дефолтного юзера.

Можно ли удалить папку defaultuser0? Не только можно, но и нужно! Заходим в проводник, открываем системный диск (обычно, «С») и там в папочке USERS удаляем каталог уже несуществующего пользователя!

Через панель управления

Сразу же перейду к инструкции:

• Переходим к панели управления, кликнув правой кнопкой мыши по кнопке «Пуск», и выбрав из меню нужный элемент:

• Или, воспользовавшись поиском:

• Отобразится главное окно контролирующей панели. Сразу же переходим в режим просмотра «Крупные значки», затем кликаем по ссылке «Учетные записи»:

• Удаляем ненужного юзера из перечня и перезагружаем ПК.

Включаем скрытый аккаунт админа

Данный вариант является единственным путем обхода пароля, который Вы не знаете (увы, никто его не знает, поэтому, можете не искать его в сети).

Этот метод подразумевает запуск системы с диска (флешки) восстановления. Только нужно выбирать не установку Виндовс, а модуль устранения неполадок (ремонт). В этом режиме можно добраться до утилиты командной строки, которая нам как раз и понадобится.

Вводим следующую команду для активации администраторских полномочий:

net user administrator /active:yes

Подтверждаем ввод нажатием клавиши Enter и перезапускаем компьютер. Теперь следует войти в систему под новым аккаунтом админа и удалить ненужного пользователя одним из перечисленных выше способов.

«Юбилейное» обновление

Переходим к последнему методу - удаляем Defaultuser0 в Windows 10 Anniversary Update. В данном случае предыдущие «спасательные» мероприятия могут не сработать. Придется действовать по-другому.

• Вызываем окно «Выполнить» нажатием комбинации «Win + R». Пишем команду:

lusrmgr.msc

• Отобразится служба локальных групп, где следует открыть папку с пользователями, выбрать ненужный аккаунт и удалить его через контекстное меню:

Вот и всё! Не могу гарантировать, что тот или иной способ обязательно Вам поможет. Нужно пробовать: не подойдет один – пробуйте следующий. Будем надеяться, что в скором времени Microsoft выпустит обновление, которое устранит проблему. Жду Ваши комментарии с отзывами об инструкции. Если что-то не получается – обязательно напишите мне.

С уважением, Виктор!

Что такое WDAGUtilityAccount в Windows 10?

Наверняка вы встречали учетную запись WDAGUtilityAccount в Windows 10 при открытии "Локальные пользователи" или, если ввести в командную строку, команду net user. Что это? Вирус? Какая роль данной учетной записи? Давайте разберем.

WDAGUtilityAccount (Windows Defender Application Guard UtilityAccount) - системная учетная запись, которая управляется и используется Application Guard в Защитнике Windows. Учетная запись выключена, если не включен параметр Application Guard для защитника Windows. Если учетная запись работает, то это может вызвать предупреждение при попытке удалить файл, что "Отказано в доступе, необходимо разрешение администратора"или "Вам необходимо разрешение другой учетной записи - WDAGUtilityAccount".

Согласно Microsoft, когда WDAG включен и пользователь посещает завирусованный сайт, который может выполнить атаку на ваш ПК, то этот сайт открывается в отдельном контейнере на основе виртуализации. Если уязвимый веб-сайт совершает атаки, то эти атаки не будут успешными, поскольку он открыт в контейнере на основе виртуализации.

Вы можете проверить, активен ли WDAGUtilityAccount в вашей системе. Для этого:

• Нажмите Win + X и выберите "Управление компьютером".
• Разверните "Служебные программы", "Локальные пользователи", "Пользователи".
• Далее справа в списке нажмите на WDAGUtilityAccount, чтобы открыть свойства.
• Вы увидите пункт "Отключить учетную запись".

Учетная запись WDAGUtilityAccount является системной, и её не рекомендуется отключать. Это сделано для вашей же безопасности.

Учетная запись defaultuser0 в Windows 10 и как ее удалить? G-ek.com

Узнайте, что это учетную запись defaultuser0 в Windows 10 и почему вы не должны ее игнорировать! Также читайте, как отключить / удалить defaultuser0 используя lusrmgr, в этой статье.

Пользователи, работающие в Windows 10 , возможно, заметили , что в каталоге пользователей C: \ Пользователи ( C: \ Users ), есть профиль пользователя с именем ' defaultuser0 '. Если вы участник программы Windows, Insider, вы возможно, даже видели этот defaultuser0 на экране входа некоторых сборок. Теперь вопрос - почему учетная запись « defaultuser0» присутствует в Windows 10 и зачем она вам?

Что такое учетная запись "defaultuser0" в Windows 10 и почему вы должны заботиться о ней?

Defaultuser0 не что иное, как небольшая ошибка которая присутствует в Windows 10. Некоторые системы могут показать DefaultUser () . Это учетная запись пользователя не является не частью какой - либо группы пользователей и не имеет профиля. Учитывая все эти факты,  на самом деле можно безопасно удалить его.

Но вы можете подумать, что произойдет, если вы не удалить его?

Ну из опыта прошлых лет, было замечено, что иногда defaultuser0 может создавать сложные ситуации для вас, как:

1. Вы выполнили сброс в Windows 10. Затем Windows 10 заставляет вас войти в систему как ' defaultuser0 ' (выше изображение иллюстрирует это). Но  запись не имеет пароля, соответственно вход не возможен. Теперь вам придется сделать, чистую установку системы, потеряв свои данные и потратив свое время.

2. В некоторых случаях defaultuser0 снова появляется после чистой установки и все может повторится.

Как удалить   defaultuser0 В операционной системе Windows 10?

Так как ' defaultuser0 ' может быть безопасно удалена, лучше всего, удалить ее, как только вы заметите ее присутствие. Тем не менее, если вы хотите сохранить эту учетную запись, необходимо,  установить пароль для нее. 

Вариант 1 - Удалить defaultuser0 полностью

1. Загрузите Windows 10 в безопасном режиме .

2. Откройте  оснастку lusrmgr, набрав lusrmgr.msc с помощью команды Выполнить.

3. Откройте папку Пользователи и правой кнопкой мыши кликните на записи defaultuser0. Выберите Удалить.

Закройте оснастку lusrmgr.

4.  Перейдите C: \ Пользователи   и удалите папку defaultuser0 .

5. Нажмите Win+ R и введите Regedit в  диалоговом окне Выполнить , чтобы открыть редактор. Нажмите кнопку ОК.

6. В левой панели окна редактора реестра, перейдите к следующему разделу реестра:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

7. Развернув раздел реестра ProfileList, вы увидите подкаталоги, начинающиеся с S-1-5 .... Выделите один за другим, и в правой панели, в строке  ProfileImagePath  тип ( REG_EXPAND_SZ ) ищите C:\Users\defaultuser0.

 Папку в которой найдется defaultuser0  нужно удалить. Кликните правой кнопкой мыши на ней и выберите Удалить. Закройте редактор реестра. Перезагрузитесь в нормальный режим работы.

Таким образом, учетная запись defaultuser0  будет полностью удалена.

Вариант 2 - Установка пароля на defaultuser0

Если вы решили не удалять defauluser0, вы можете пойти другим путем, установить пароль для него.

1. Повторите шаги 1 и 2 из первого варианта.

2. В окне lusrmgmr, нажмите на папку Пользователи  и кликните правой кнопкой мыши на записи defaultuser0,  выбрав в контекстном меню опцию -  Задать пароль.

3. Затем нажмите кнопку Продолжить :

4. Затем введите новый и простой, легко запоминающийся пароль и подтвердите его. Нажмите кнопку ОК .

5. Вы получите подтверждение того, что был установлен пароль для defaultuser0, теперь вы можете расслабиться. Перезагрузитесь в нормальный режим работы.

windows-10 - "Администратор", "DefaultAccount", "Гость": можно ли удалить эти учетные записи?

Могу ли я безопасно удалить любую / все эти учетные записи, или это сломает Windows 10 Home?

Administrator DefaultAccount Guest 

Я вижу много сообщений о том, как удалить системные учетные записи, но я удивлен, что не могу найти однозначных ответов относительно того, нужна ли Windows абсолютно все три учетные записи.

*РЕДАКТИРОВАТЬ:

Эта миссия началась, когда я пытался изменить права доступа / владельца для некоторых файлов, но в полях Разрешения (и общий доступ) вместо имен были показаны SID. Я не уверен, когда это началось. Таким образом, я начал исследование, я нашел сообщения, предлагающие добавить, а затем удалить нового пользователя, и это будет исправить имена, однако это не имело никакого эффекта.

В итоге я получил показ FullNames вместо SID. Возможно, мои метод проб и ошибок выходили из-под контроля, но потом я понял, что единственной оставшейся проблемой является то, что МОЕЙ учетной записи (связанной с @hotmail) все еще не хватает FullName. Я подтвердил, что это существует в моем Microsoft.

Еще изучая контекст wmic , я ввел что-то вроде:`wmic useraccount set fullname =" mynewname "'

Мне было известно, что здесь не указано, какую учетную запись следует назвать, но я ошибочно предположил, что она либо переименует только текущую учетную запись, либо выдаст ошибку, возможно, предупреждение. Нету. Все аккаунты переименованы. вздох

После разочарованного часа поиска в Google и экспериментирования с контекстом, я наконец-то получил все, как положено. (К счастью, у меня был список до моей ошибки.)

REBOOT - изменения пропали. SID показывается для всех учетных записей, за исключением учетной записи @ gmail, связанной с моим сыном - это нормально (возможно, только если он еще не вошел в систему?).

Поменял их снова, перезагрузился, вернулся.

Нужно ли как-то "фиксировать" эти изменения? Что, при входе, сбивает с толку список пользователей?

Это возвращает меня к моему первоначальному вопросу - Нет, отключенные учетные записи не отображаются на экране входа в систему, но они отображаются в списках разрешений (с большим контролем, чем у меня по умолчанию), и wmic говорит мне, что Default & Guest делают не требуется пароль.

Я был обеспокоен тем, что, даже если учетная запись не указана на экране входа в систему, она все равно может подключаться к машине удаленно (и без пароля?)

Спасибо тебе за твое терпение; Я, очевидно, довольно зеленоват в некоторых из этих вещей, и очень расстроился из-за того, что казалось чертовски простым исправлением.

локальных учетных записей (Windows 10) - Microsoft 365 Security

• 28.02.2019
• 20 минут на чтение

В этой статье

Относится к

• Windows 10
• Windows Server 2019
• Windows Server 2016

В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.

Об учетных записях локальных пользователей

Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей - это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.

В этом разделе описывается следующее:

Для получения информации об участниках безопасности см. Принципы безопасности.

Учетные записи локальных пользователей по умолчанию

Учетные записи локальных пользователей по умолчанию - это встроенные учетные записи, которые создаются автоматически при установке Windows.

После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступа к сетевым ресурсам.

Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления Microsoft (MMC) локального компьютера. Управление компьютером - это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.

Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.

Учетная запись администратора

Учетная запись локального администратора по умолчанию - это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5- домен -500, отображаемое имя «Администратор»). Учетная запись администратора - это первая учетная запись, которая создается во время установки Windows.

Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любое время взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.

Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования опции Запуск от имени администратора .Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.

Членство в группе счетов

По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.

Учетную запись администратора нельзя удалить или удалить из группы администраторов, но ее можно переименовать.

Соображения безопасности

Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.

Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация учетной записи локального пользователя и Переименование учетной записи локального пользователя.

В целях безопасности используйте локальную (не администраторскую) учетную запись для входа в систему, а затем используйте Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем стандартная учетная запись пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.

Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.

В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.

Примечание Пустые пароли не допускаются в версиях, указанных в списке Применимо к в начале этого раздела.

Важно Даже если учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.

Гостевой аккаунт

Учетная запись гостя отключена по умолчанию при установке. Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно войти на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.

Членство в группе счетов

По умолчанию учетная запись гостя является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы администраторов, может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

Соображения безопасности

При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения. По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.

Кроме того, гостевой пользователь в учетной записи «Гость» не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника)

Учетная запись HelpAssistant - это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если запросы удаленного помощника не ожидают обработки.

HelpAssistant - это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет приглашение со своего компьютера по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, предоставляющему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.

Соображения безопасности

Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

• SID: S-1-5- <домен> -13, отображаемое имя Пользователь терминального сервера. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

• SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат идентификатор безопасности интерактивного входа.

Для операционной системы Windows Server Удаленный помощник является дополнительным компонентом, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.

Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.

Атрибуты учетной записи HelpAssistant

Счет по умолчанию

DefaultAccount, также известная как управляемая система по умолчанию (DSMA), - это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA - это хорошо известный тип учетной записи пользователя. Это нейтральная к пользователю учетная запись, которая может использоваться для запуска процессов, которые либо учитывают многопользовательскую, либо не зависят от пользователя.DSMA по умолчанию отключен для номеров SKU для настольных ПК (SKU для полной версии Windows) и WS 2016 с Desktop.

DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- -503

DSMA является членом хорошо известной группы System Managed Accounts Group , которая имеет известный SID S-1-5-32-581.

Псевдоним DSMA может получить доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи.Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).

Как Windows использует DefaultAccount

С точки зрения разрешений DefaultAccount - это стандартная учетная запись пользователя. DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA). Приложения MUMA работают все время и реагируют на вход и выход пользователей из устройств. В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.

MUMA работают в SKU общего сеанса, например Xbox. Например, оболочка Xbox - это приложение MUMA. Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения запускаются в этом контексте. Все приложения поддерживают работу с несколькими пользователями и реагируют на события, инициированные менеджером пользователей. Приложения запускаются как гостевая учетная запись.

Аналогичным образом, Phone автоматически входит в систему как учетная запись DefApps, которая сродни стандартной учетной записи пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.

В конвергентной пользовательской модели многопользовательские приложения и брокеры с поддержкой многопользовательского режима должны будут работать в контексте, отличном от контекста пользователей. Для этого в системе создается DSMA.

Как создается DefaultAccount на контроллерах домена

Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с помощью контроллеров домена, на которых установлена ​​более ранняя версия Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена, на котором работает Windows Server 2016.Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.

Рекомендации по управлению учетной записью по умолчанию (DSMA)

Microsoft не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Отсутствие угрозы безопасности при отключенном состоянии учетной записи. Изменение конфигурации по умолчанию может помешать будущим сценариям, основанным на этой учетной записи.

Учетные записи локальной системы по умолчанию

СИСТЕМА

Учетная запись SYSTEM используется операционной системой и службами, работающими под Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.

С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе Permissions меню Security .По умолчанию учетной записи SYSTEM предоставляются разрешения полного доступа ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.

Примечание Предоставление учетной записи прав доступа к файлам группы администраторов не означает неявного разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.

СЕТЕВОЕ ОБСЛУЖИВАНИЕ

Учетная запись NETWORK SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, которая запускается в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см. Учетная запись NetworkService.

МЕСТНОЕ ОБСЛУЖИВАНИЕ

Учетная запись LOCAL SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.

Как управлять локальными учетными записями пользователей

Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе Управление локальными пользователями.

Вы можете использовать «Локальные пользователи и группы» для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение доступа - это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.

Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.

Примечание Вы используете Active Directory - пользователи и компьютеры для управления пользователями и группами в Active Directory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.

Ограничение и защита локальных учетных записей с правами администратора

Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».

Самый простой подход - войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей (UAC), чтобы запросить у вас разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:

• Применять ограничения локальной учетной записи для удаленного доступа.

• Запретить вход в сеть для всех учетных записей локальных администраторов.

• Создайте уникальные пароли для локальных учетных записей с правами администратора.

Каждый из этих подходов описан в следующих разделах.

Примечание Эти подходы неприменимы, если все административные локальные учетные записи отключены.

Применять ограничения локальной учетной записи для удаленного доступа

Контроль учетных записей пользователей (UAC) - это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список Применимо к .UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен на уведомление вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомлений UAC.

UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключать пользователей, выходить из системы или использовать команду Run as .

Кроме того, UAC может потребовать, чтобы администраторы специально одобряли приложения, которые вносят общесистемные изменения, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в пользовательском сеансе администратора.

Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без административных прав, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.

Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.

В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.

Примечание

Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемого ADMX в шаблонах безопасности.

Чтобы применить ограничения локальной учетной записи для удаленного доступа

1. Запустите консоль управления групповой политикой (GPMC).

2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домена. где вы хотите установить объект групповой политики (GPO).

3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

4. В диалоговом окне New GPO введите < gpo_name > и> OK , где gpo_name - это имя нового GPO. Имя GPO указывает, что GPO используется для ограничения переноса прав локального администратора на другой компьютер.

5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

6. Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив следующие действия:

   1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ и> Параметры безопасности .

   2. Дважды щелкните Контроль учетных записей: запускать всех администраторов в режиме утверждения администратором > Включено > ОК .

   3. Дважды щелкните Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора > Включено > ОК .

7. Убедитесь, что к сетевым интерфейсам применяются ограничения локальной учетной записи, выполнив следующие действия:

   1. Перейдите в раздел Конфигурация компьютера \ Настройки и настройки Windows и> Реестр .

   2. Щелкните правой кнопкой мыши Registry и> New > Registry Item .

   3. В диалоговом окне New Registry Properties на вкладке General измените значение параметра в поле Action на Replace .

   4. Убедитесь, что поле Hive установлено на HKEY_LOCAL_MACHINE .

   5. Щелкните (… ), перейдите к следующему местоположению для Key Path > Выберите для: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .

   6. В области Имя значения введите LocalAccountTokenFilterPolicy .

   7. В поле Тип значения из раскрывающегося списка выберите REG_DWORD , чтобы изменить значение.

   8. Убедитесь, что в поле Value data установлено значение 0 .

   9. Проверьте эту конфигурацию и> OK .

8. Свяжите GPO с первыми рабочими станциями организационной единицей (OU), выполнив следующие действия:

   1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

   2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

   3. Выберите только что созданный объект групповой политики и> OK .

9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.

10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

11. Создайте ссылки на все другие подразделения, содержащие серверы.

Запретить вход в сеть для всех учетных записей локального администратора

Отказ локальным учетным записям в возможности выполнять вход в сеть может помочь предотвратить повторное использование хэша пароля локальной учетной записи в злонамеренной атаке.Эта процедура помогает предотвратить боковое перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут быть использованы для взлома дополнительных компьютеров, использующих те же учетные данные.

Примечание Чтобы выполнить эту процедуру, вы должны сначала определить имя локальной учетной записи администратора по умолчанию, которая может не быть именем пользователя по умолчанию «Администратор», а также любые другие учетные записи, которые являются членами локальной группы администраторов.

В следующей таблице показаны параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

Запретить вход в сеть для всех учетных записей локальных администраторов

1. Запустите консоль управления групповой политикой (GPMC).

2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домен, в котором вы хотите установить объект групповой политики (GPO).

3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

4. В диалоговом окне New GPO введите < gpo_name >, а затем> OK , где gpo_name - это имя нового объекта GPO, указывает, что он используется для ограничения интерактивной подписи локальных административных учетных записей. в компьютер.

5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

6. Настройте права пользователя для запрета входа в сеть для административных локальных учетных записей следующим образом:

   1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ и> Назначение прав пользователя .

   2. Дважды щелкните Запретить доступ к этому компьютеру из сети .

   3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

7. Настройте права пользователя для запрета входа на удаленный рабочий стол (удаленный интерактивный) для административных локальных учетных записей следующим образом:

   1. Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows и локальные политики, а затем щелкните Назначение прав пользователя .

   2. Дважды щелкните Запретить вход через службы удаленных рабочих столов .

   3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

8. Свяжите GPO с первыми рабочими станциями OU следующим образом:

   1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

   2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

   3. Выберите только что созданный объект групповой политики и> OK .

9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.

10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

11. Создайте ссылки на все другие подразделения, содержащие серверы.

    Примечание Возможно, вам придется создать отдельный объект групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.

Создание уникальных паролей для локальных учетных записей с правами администратора

Пароли должны быть уникальными для каждой отдельной учетной записи. Хотя это обычно верно для индивидуальных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.

Пароли, которые не меняются или меняются синхронно для сохранения идентичности, создают значительный риск для организаций.Рандомизация паролей снижает вероятность атак «pass-the-hash» за счет использования разных паролей для локальных учетных записей, что ограничивает возможность злоумышленников использовать хеш-коды паролей этих учетных записей для компрометации других компьютеров.

Пароли могут быть рандомизированы по:

• Покупка и внедрение корпоративного инструмента для выполнения этой задачи. Эти инструменты обычно называют инструментами «привилегированного управления паролями».

• Настройка пароля локального администратора (LAPS) для выполнения этой задачи.

• Создание и реализация специального сценария или решения для случайного выбора паролей локальных учетных записей.

См. Также

Следующие ресурсы предоставляют дополнительную информацию о технологиях, связанных с локальными учетными записями.

Создайте локальную учетную запись пользователя или администратора в Windows 10

Создайте локальную учетную запись пользователя для ребенка или кого-то еще, у кого нет учетной записи Microsoft. При необходимости вы можете предоставить этой учетной записи права администратора. Автономная учетная запись - это просто еще один термин для локальной учетной записи.

При создании учетной записи помните, что выбор пароля и его сохранение являются важными шагами. Поскольку мы не знаем ваш пароль, если вы его забудете или потеряете, мы не сможем его восстановить.

Если вы используете Windows 10 версии 1803 или более поздней, вы можете добавить контрольные вопросы, как вы увидите на шаге 4 в разделе . Создание локальной учетной записи пользователя . Ответив на контрольные вопросы, вы сможете сбросить пароль локальной учетной записи Windows 10.

Создайте локальную учетную запись пользователя

1. Выберите Start > Settings > Accounts , а затем выберите Family & other users. (В некоторых выпусках Windows вы увидите Другие пользователи .)

2. Выберите Добавить кого-нибудь на этот ПК .

3. Выберите У меня нет данных для входа этого человека , а на следующей странице выберите Добавить пользователя без учетной записи Microsoft .

4. Введите имя пользователя, пароль, подсказку для пароля или выберите контрольные вопросы, а затем выберите Далее .

Создать другую учетную запись

Изменение учетной записи локального пользователя на учетную запись администратора

1.Выберите Start > Settings > Accounts , а затем в разделе Family & other users выберите имя владельца учетной записи, затем выберите Изменить тип учетной записи .

2. В Тип учетной записи выберите Администратор , , а затем выберите OK .

3. Войдите в систему с новой учетной записью администратора.

Связанные темы

Справка по учетной записи Microsoft

Как сбросить пароль учетной записи Microsoft

Получите помощь при ошибках активации Windows

Параметры входа в Windows 10 и защита учетной записи

Чтобы получить доступ к параметрам входа, перейдите к Пуск > Настройки > Учетные записи > Параметры входа . На странице параметров входа доступны следующие методы входа:

Вы также найдете эти настройки:

• Требовать входа - требуется войти в систему на устройстве после того, как вы отсутствуете.

• Динамическая блокировка - автоматически блокирует ваше устройство, когда вас нет.

• Конфиденциальность - показывает или скрывает личную информацию на экране входа и позволяет устройству использовать ваши данные для входа для повторного открытия приложений после обновления или перезапуска.

Изменить или изменить свой пароль

Чтобы изменить пароль, перейдите к Пуск > Настройки > Учетные записи > Параметры входа . Выберите Пароль , а затем выберите Изменить .

Примечание: Чтобы изменить пароль, если вы находитесь в домене, нажмите Ctrl + Alt + Del, а затем выберите Изменить пароль .

Windows Hello

Windows Hello позволяет входить в свои устройства, приложения, онлайн-сервисы и сети, используя свое лицо, радужную оболочку глаза, отпечаток пальца или PIN-код. Даже если ваше устройство с Windows 10 может использовать биометрические данные Windows Hello, вам это не обязательно. Если это правильный выбор, вы можете быть уверены, что информация, которая идентифицирует ваше лицо, радужную оболочку глаза или отпечаток пальца, никогда не покидает ваше устройство.Windows не хранит изображения вашего лица, радужной оболочки глаза или отпечатков пальцев на вашем устройстве или где-либо еще.

Какие данные собираются и почему

Когда вы настраиваете биометрию Windows Hello, она берет данные с лицевой камеры, датчика радужной оболочки глаза или сканера отпечатков пальцев и создает представление данных или график, который затем зашифровывается перед сохранением на вашем устройстве.

Чтобы помочь нам поддерживать правильную работу, помогать обнаруживать и предотвращать мошенничество, а также продолжать улучшать Windows Hello, мы собираем диагностические данные о том, как люди используют Windows Hello.Например, данные о том, входят ли люди в систему с помощью лица, радужной оболочки глаза, отпечатка пальца или PIN-кода; сколько раз они его использовали; и независимо от того, работает это или нет, это вся ценная информация, которая помогает нам создавать лучший продукт. Данные псевдонимизированы, не содержат биометрической информации и зашифрованы перед передачей в Microsoft. Вы можете в любой момент прекратить отправку диагностических данных в Microsoft. Подробнее о диагностических данных в Windows 10

Для управления Windows Hello

Чтобы включить Windows Hello, перейдите к Пуск > Настройки > Учетные записи > Параметры входа , выберите метод Windows Hello, который вы хотите настроить, а затем выберите Настроить .Если вы не видите Windows Hello в параметрах входа в систему, возможно, она недоступна для вашего устройства.

Чтобы удалить Windows Hello и любые связанные с ним биометрические идентификационные данные с устройства, перейдите в Пуск > Настройки > Учетные записи > Параметры входа . Выберите метод Windows Hello, который вы хотите удалить, а затем выберите Remove.

Использование электронного ключа

Ключ безопасности - это аппаратное устройство, которое можно использовать вместо имени пользователя и пароля для входа в Интернет.Поскольку он используется в дополнение к отпечатку пальца или PIN-коду, даже если у кого-то есть ваш электронный ключ, он не сможет войти в систему без PIN-кода или отпечатка пальца, который вы создаете. Ключи безопасности обычно можно приобрести в розничных магазинах компьютерных аксессуаров. Узнать больше о электронных ключах

Чтобы настроить ключ безопасности, перейдите к Пуск > Настройки > Учетные записи > Параметры входа и выберите Ключ безопасности .Выберите Manage и следуйте инструкциям.

Динамический замок

Windows может использовать устройства, сопряженные с вашим компьютером, чтобы определять, когда вас нет, и блокировать компьютер вскоре после того, как сопряженное устройство выходит из зоны действия Bluetooth. Это затрудняет получение доступа к вашему устройству, если вы отойдете от компьютера и забудете заблокировать его.

1. На ПК с Windows 10 выберите Пуск > Настройки > Учетные записи > Параметры входа .

2. В разделе Динамическая блокировка установите флажок Разрешить Windows автоматически блокировать устройство, когда вас нет .

3. Используйте Bluetooth для сопряжения телефона с компьютером. Узнайте, как выполнить сопряжение устройств с помощью Bluetooth

Когда они будут сопряжены, возьмите телефон с собой, когда будете уходить, и ваш компьютер автоматически заблокируется примерно через минуту после того, как вы окажетесь вне зоны действия Bluetooth.

Другие варианты входа

Укажите, когда вам необходимо войти в систему

Перейти на Пуск > Настройки > Учетные записи > Параметры входа . В разделе Требовать входа в систему выберите вариант, когда Windows должна требовать повторного входа.

Отображение данных учетной записи на экране входа

Перейти на Пуск > Настройки > Учетные записи > Параметры входа .В Privacy включите первую настройку на , если вы хотите отображать данные своей учетной записи на экране входа.

Для автоматического завершения установки после обновления

Перейти на Пуск > Настройки > Учетные записи > Параметры входа . В разделе Privacy включите вторую настройку На , если вы хотите использовать данные для входа для автоматического завершения настройки устройства после обновления или перезапуска.

учетных записей Microsoft (Windows 10) - Microsoft 365 Security

• 13.10.2017
• На чтение 9 минут

В этой статье

Относится к

В этом разделе для ИТ-специалистов объясняется, как работает учетная запись Microsoft для повышения безопасности и конфиденциальности пользователей, и как вы можете управлять этим типом пользовательской учетной записи в своей организации.

Сайты, службы и свойства Microsoft, а также компьютеры под управлением Windows 10 могут использовать учетную запись Microsoft в качестве средства идентификации пользователя. Учетная запись Microsoft ранее называлась Windows Live ID. Он содержит определенные пользователем секреты и состоит из уникального адреса электронной почты и пароля.

Когда пользователь входит в систему с учетной записью Microsoft, устройство подключается к облачным службам. Многие пользовательские настройки, предпочтения и приложения могут использоваться на разных устройствах.

Как работает учетная запись Microsoft

Учетная запись Microsoft позволяет пользователям входить на веб-сайты, поддерживающие эту службу, с помощью единого набора учетных данных.Учетные данные пользователей проверяются сервером аутентификации учетной записи Microsoft, который связан с веб-сайтом. Магазин Microsoft является примером такой ассоциации. Когда новые пользователи входят на веб-сайты, которым разрешено использовать учетные записи Microsoft, они перенаправляются на ближайший сервер аутентификации, который запрашивает имя пользователя и пароль. Windows использует поставщика поддержки безопасности Schannel, чтобы открыть соединение TLS / SSL для этой функции. Затем пользователи могут использовать диспетчер учетных данных для хранения своих учетных данных.

Когда пользователи входят на веб-сайты, которым разрешено использовать учетную запись Microsoft, на их компьютеры устанавливается ограниченный по времени файл cookie, который включает в себя зашифрованный ID-тег с тройным DES. Этот зашифрованный тег ID был согласован между сервером аутентификации и веб-сайтом. Этот идентификационный тег отправляется на веб-сайт, и веб-сайт устанавливает еще один ограниченный по времени зашифрованный файл cookie HTTP на компьютере пользователя. Если эти файлы cookie действительны, от пользователей не требуется указывать имя пользователя и пароль. Если пользователь активно выходит из своей учетной записи Microsoft, эти файлы cookie удаляются.

Важно Функциональность локальной учетной записи Windows не была удалена, и ее все еще можно использовать в управляемых средах.

Как создаются учетные записи Microsoft

Чтобы предотвратить мошенничество, система Microsoft проверяет IP-адрес, когда пользователь создает учетную запись. Пользователь, который пытается создать несколько учетных записей Microsoft с одним и тем же IP-адресом, останавливается.

Учетные записи Microsoft не предназначены для создания в пакетном режиме, например для группы пользователей домена на вашем предприятии.

Существует два метода создания учетной записи Microsoft:

• Использовать существующий адрес электронной почты .

  Пользователи могут использовать свои действующие адреса электронной почты для регистрации учетных записей Microsoft. Служба превращает адрес электронной почты запрашивающего пользователя в учетную запись Microsoft. Пользователи также могут выбирать свои личные пароли.

• Подпишитесь на адрес электронной почты Microsoft .

  Пользователи могут создать учетную запись электронной почты в службах веб-почты Microsoft.Эту учетную запись можно использовать для входа на веб-сайты, которые могут использовать учетные записи Microsoft.

Как защищается информация учетной записи Microsoft

Учетная информация шифруется дважды. Первое шифрование основано на пароле учетной записи. Учетные данные снова зашифровываются, когда они отправляются через Интернет. Сохраненные данные недоступны для других служб Microsoft или сторонних поставщиков.

• Требуется надежный пароль .

  Пустые пароли не допускаются.

  Для получения дополнительной информации см. Обзор безопасности учетной записи Microsoft.

• Требуется дополнительное удостоверение личности .

  Прежде чем информация профиля пользователя и настройки станут доступны на втором поддерживаемом компьютере с Windows в первый раз, необходимо установить доверие для этого устройства, предоставив вторичное подтверждение личности. Это можно сделать, предоставив Windows код, который отправляется на номер мобильного телефона, или следуя инструкциям, отправляемым на альтернативный адрес электронной почты, указанный пользователем в настройках учетной записи.

• Все данные профиля пользователя зашифровываются на клиенте перед передачей в облако .

  По умолчанию данные пользователя не передаются по беспроводной глобальной сети (WWAN), тем самым защищая данные профиля. Все данные и настройки, которые покидают устройство, передаются по протоколу TLS / SSL.

Добавлена ​​информация о безопасности учетной записи Microsoft .

Пользователи могут добавлять информацию о безопасности в свои учетные записи Microsoft через интерфейс Учетные записи на компьютерах, работающих под управлением поддерживаемых версий Windows.Эта функция позволяет пользователю обновлять информацию о безопасности, которую они предоставили при создании своих учетных записей. Эта информация безопасности включает альтернативный адрес электронной почты или номер телефона, поэтому, если их пароль будет взломан или забыт, можно отправить проверочный код для подтверждения их личности. Пользователи потенциально могут использовать свои учетные записи Microsoft для хранения корпоративных данных в личном OneDrive или приложении электронной почты, поэтому для владельца учетной записи является безопасной практикой поддерживать эту информацию о безопасности в актуальном состоянии.

Учетная запись Microsoft на предприятии

Хотя учетная запись Microsoft была разработана для обслуживания потребителей, вы можете столкнуться с ситуациями, когда пользователи вашего домена могут получить выгоду, используя свою личную учетную запись Microsoft на вашем предприятии. В следующем списке описаны некоторые преимущества.

• Загрузить приложения Microsoft Store :

  Если ваше предприятие решает распространять программное обеспечение через Microsoft Store, ваши пользователи могут использовать свои учетные записи Microsoft, чтобы загрузить и использовать их на пяти устройствах под управлением любой версии Windows 10, Windows 8.1, Windows 8 или Windows RT.

• Единый вход :

  Ваши пользователи могут использовать учетные данные Microsoft для входа на устройства под управлением Windows 10, Windows 8.1, Windows 8 или Windows RT. Когда они это делают, Windows работает с вашим приложением Microsoft Store, чтобы обеспечить им аутентификацию. Пользователи могут связать учетную запись Microsoft со своими учетными данными для входа в приложения или веб-сайты Microsoft Store, чтобы эти учетные данные перемещались между любыми устройствами, на которых установлены эти поддерживаемые версии.

• Синхронизация персональных настроек :

  Пользователи могут связать свои наиболее часто используемые настройки операционной системы с учетной записью Microsoft. Эти параметры доступны всякий раз, когда пользователь входит в систему с этой учетной записью на любом устройстве, на котором установлена ​​поддерживаемая версия Windows и которое подключено к облаку. После входа пользователя в систему устройство автоматически пытается получить настройки пользователя из облака и применить их к устройству.

• Синхронизация приложений :

  Приложения Microsoft Store могут хранить пользовательские настройки, чтобы эти настройки были доступны для любого устройства.Как и в случае с настройками операционной системы, эти пользовательские настройки приложения доступны всякий раз, когда пользователь входит в систему с той же учетной записью Microsoft на любом устройстве, на котором работает поддерживаемая версия Windows и которое подключено к облаку. После входа пользователя в систему это устройство автоматически загружает настройки из облака и применяет их при установке приложения.

• Интегрированные услуги социальных сетей :

  Контактная информация и статус друзей и знакомых ваших пользователей автоматически обновляются с таких сайтов, как Hotmail, Outlook, Facebook, Twitter и LinkedIn.Пользователи также могут получать доступ к фотографиям, документам и другим файлам и обмениваться ими с таких сайтов, как OneDrive, Facebook и Flickr.

Управление учетной записью Microsoft в домене

В зависимости от вашей ИТ-модели и бизнес-модели внедрение учетных записей Microsoft на вашем предприятии может усложнить работу или предоставить решения. Прежде чем разрешить использование этих типов учетных записей на своем предприятии, необходимо учесть следующие соображения:

Ограничить использование учетной записи Microsoft

Следующие параметры групповой политики помогают контролировать использование учетных записей Microsoft на предприятии:

Блокировать аутентификацию всех пользователей учетной записи Microsoft для всех потребителей

Этот параметр определяет, могут ли пользователи предоставлять учетные записи Microsoft для проверки подлинности приложений или служб.

Если этот параметр включен, все приложения и службы на устройстве не могут использовать учетные записи Microsoft для проверки подлинности. Это относится как к существующим пользователям устройства, так и к новым пользователям, которых можно добавить.

Однако любое приложение или служба, которые уже аутентифицировали пользователя, не будут затронуты включением этого параметра, пока не истечет срок действия кэша аутентификации. Рекомендуется включить этот параметр перед тем, как любой пользователь войдет в систему на устройстве, чтобы предотвратить присутствие кэшированных токенов.

Если этот параметр отключен или не настроен, приложения и службы могут использовать учетные записи Microsoft для проверки подлинности. По умолчанию это значение Отключено .

Этот параметр не влияет на то, могут ли пользователи входить на устройства с помощью учетных записей Microsoft, или на возможность пользователей предоставлять учетные записи Microsoft через браузер для проверки подлинности в веб-приложениях.

Путь к этому параметру:

Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Учетная запись Microsoft

: заблокировать учетные записи Microsoft

Этот параметр запрещает использование приложения Settings для добавления учетной записи Microsoft для проверки подлинности единого входа (SSO) для служб Microsoft и некоторых фоновых служб или использования учетной записи Microsoft для единого входа в другие приложения или службы.

Если этот параметр включен, есть два варианта:

• Пользователи не могут добавлять учетные записи Microsoft. означает, что существующие подключенные учетные записи по-прежнему могут входить на устройство (и отображаться на экране входа). Однако пользователи не могут использовать приложение Settings для добавления новых подключенных учетных записей (или подключения локальных учетных записей к учетным записям Microsoft).
• Пользователи не могут добавлять учетные записи Microsoft или входить в них. означает, что пользователи не могут добавлять новые подключенные учетные записи (или подключать локальные учетные записи к учетным записям Microsoft) или использовать существующие подключенные учетные записи с помощью Параметры .

Этот параметр не влияет на добавление учетной записи Microsoft для проверки подлинности приложения. Например, если этот параметр включен, пользователь по-прежнему может предоставить учетную запись Microsoft для аутентификации с помощью такого приложения, как Mail , но пользователь не может использовать учетную запись Microsoft для аутентификации единого входа для других приложений или служб (в других словами, пользователю будет предложено пройти аутентификацию для других приложений или служб).

По умолчанию это значение Не определено .

Путь к этому параметру:

Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности

Настроить подключенные учетные записи

Пользователи могут подключить учетную запись Microsoft к учетной записи своего домена и синхронизировать настройки и предпочтения между собой. Это позволяет пользователям видеть тот же фон рабочего стола, настройки приложений, историю и избранное браузера, а также другие настройки учетной записи Microsoft на других своих устройствах.

Пользователи могут отключить учетную запись Microsoft от своей учетной записи домена в любое время следующим образом: В настройках ПК коснитесь или щелкните Пользователи , коснитесь или щелкните Отключить , а затем коснитесь или щелкните Завершить .

Примечание Соединение учетных записей Microsoft с учетными записями домена может ограничить доступ к некоторым задачам с высоким уровнем привилегий в Windows. Например, планировщик заданий оценит подключенную учетную запись Microsoft на предмет доступа и завершится ошибкой. В этих ситуациях владелец учетной записи должен отключить учетную запись.

Подготовка учетных записей Microsoft на предприятии

Учетные записи Microsoft являются частными учетными записями пользователей. Microsoft не предоставляет методов для подготовки учетных записей Microsoft для предприятия.Предприятиям следует использовать учетные записи домена.

Аудиторская деятельность по учету

Поскольку учетные записи Microsoft основаны на Интернете, в Windows нет механизма для аудита их использования, пока учетная запись не будет связана с учетной записью домена. Но эта связь не запрещает пользователю отключать учетную запись или выходить из домена. Невозможно проверить активность учетных записей, не связанных с вашим доменом.

Выполнить сброс пароля

Только владелец учетной записи Microsoft может изменить пароль.Пароли можно изменить на портале входа в учетную запись Microsoft.

Ограничить установку и использование приложений

В вашей организации вы можете установить политики управления приложениями, чтобы регулировать установку и использование приложений для учетных записей Microsoft. Дополнительные сведения см. В разделах AppLocker и Packaged Apps and Packaged App Installer Rules в AppLocker.

См. Также

Создайте локальную учетную запись пользователя или администратора в Windows 10

Создайте локальную учетную запись пользователя для ребенка или кого-то еще, у кого нет учетной записи Microsoft. При необходимости вы можете предоставить этой учетной записи права администратора. Автономная учетная запись - это просто еще один термин для локальной учетной записи.

При создании учетной записи помните, что выбор пароля и его сохранение являются важными шагами. Поскольку мы не знаем ваш пароль, если вы его забудете или потеряете, мы не сможем его восстановить.

Если вы используете Windows 10 версии 1803 или более поздней, вы можете добавить контрольные вопросы, как вы увидите на шаге 4 в разделе . Создание локальной учетной записи пользователя . Ответив на контрольные вопросы, вы сможете сбросить пароль локальной учетной записи Windows 10.

Создайте локальную учетную запись пользователя

1. Выберите Start > Settings > Accounts , а затем выберите Family & other users. (В некоторых выпусках Windows вы увидите Другие пользователи .)

2. Выберите Добавить кого-нибудь на этот ПК .

3. Выберите У меня нет данных для входа этого человека , а на следующей странице выберите Добавить пользователя без учетной записи Microsoft .

4. Введите имя пользователя, пароль, подсказку для пароля или выберите контрольные вопросы, а затем выберите Далее .

Создать другую учетную запись

Изменение учетной записи локального пользователя на учетную запись администратора

1.Выберите Start > Settings > Accounts , а затем в разделе Family & other users выберите имя владельца учетной записи, затем выберите Изменить тип учетной записи .

2. В Тип учетной записи выберите Администратор , , а затем выберите OK .

3. Войдите в систему с новой учетной записью администратора.

Связанные темы

Справка по учетной записи Microsoft

Как сбросить пароль учетной записи Microsoft

Получите помощь при ошибках активации Windows

Accounts (Windows 10) - Windows Security

• 01.08.2017
• 4 минуты на чтение

В этой статье

Относится к

Описывает передовой опыт, расположение, значения и соображения безопасности для учетных записей : состояние учетной записи администратора. параметр политики безопасности.

Ссылка

Этот параметр безопасности определяет, включена или отключена учетная запись локального администратора.

Следующие условия не позволяют отключить учетную запись администратора, даже если этот параметр безопасности отключен.

1. Учетная запись администратора сейчас используется
2. В группе администраторов нет других участников
3. Все остальные члены группы администраторов:
   1. Отключено
   2. Включен в локальный журнал запрета доступа Назначение прав пользователя

Если учетная запись администратора отключена, вы не можете включить ее, если пароль не соответствует требованиям.В этом случае другой член группы администраторов должен сбросить пароль.

Возможные значения

• Включено
• Отключено
• Не определено

По умолчанию этот параметр - Не определено на контроллерах домена и Включено на автономных серверах.

Лучшие практики

• Отключение учетной записи администратора может стать проблемой обслуживания при определенных обстоятельствах. Например, в среде домена, если безопасный канал, который составляет ваше соединение, не работает по какой-либо причине и нет другой учетной записи локального администратора, вы должны перезагрузить компьютер в безопасном режиме, чтобы устранить проблему, которая нарушила состояние вашего подключения.

Расположение

Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности

Значения по умолчанию

В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также перечислены на странице свойств политики.

Управление политиками

Отключение учетной записи администратора при определенных обстоятельствах может стать проблемой обслуживания.Причины, по которым организация может рассмотреть возможность отключения встроенной учетной записи администратора, включают:

• Для некоторых организаций периодическая смена паролей для локальных учетных записей может быть сложной задачей управления.
• По умолчанию учетная запись администратора не может быть заблокирована независимо от того, сколько неудачных попыток входа в систему накопилось пользователем. Это делает его основной целью для атак методом перебора и подбора пароля.
• У этой учетной записи есть известный идентификатор безопасности (SID).Некоторые инструменты сторонних производителей позволяют вам аутентифицироваться по сети, указывая SID, а не имя учетной записи. Это означает, что даже если вы переименуете учетную запись администратора, злоумышленник может начать атаку полным перебором, используя SID.

Требование перезапуска

Нет. Изменения этой политики вступают в силу без перезапуска устройства, если они сохраняются локально или распространяются через групповую политику.

Рекомендации по безопасному режиму

Когда вы запускаете устройство в безопасном режиме, отключенная учетная запись администратора активируется только в том случае, если компьютер не присоединен к домену и нет других активных учетных записей локального администратора.В этом случае вы можете получить доступ к компьютеру в безопасном режиме с текущими учетными данными администратора. Если компьютер присоединен к домену, отключенная учетная запись администратора не активируется.

Как получить доступ к отключенной учетной записи администратора

Для доступа к отключенной учетной записи администратора можно использовать следующие методы:

• Для компьютеров, не присоединенных к домену: когда все учетные записи локального администратора отключены, запустите устройство в безопасном режиме (локально или по сети) и войдите в систему, используя учетные данные для учетной записи локального администратора по умолчанию на этом компьютере.
• Для компьютеров, присоединенных к домену: удаленно запустите команду net user administrator / active: yes , используя psexec для включения учетной записи локального администратора по умолчанию.

Соображения безопасности

В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать меры противодействия и возможные негативные последствия реализации мер противодействия.

Уязвимость

Встроенная учетная запись администратора не может быть заблокирована независимо от количества неудачных попыток входа в систему, что делает ее основной целью для атак грубой силы, пытающихся угадать пароли.Кроме того, эта учетная запись имеет хорошо известный идентификатор безопасности (SID), и есть инструменты сторонних разработчиков, которые позволяют аутентификацию с использованием SID, а не имени учетной записи. Следовательно, даже если вы переименуете учетную запись администратора, злоумышленник может запустить атаку методом перебора, используя SID для входа в систему. Для всех остальных учетных записей, входящих в группу администратора, предусмотрена гарантия блокировки учетной записи, если количество неудачных входов в систему превышает установленный максимум.

Противодействие

Отключите учетные записи : статус учетной записи администратора , чтобы встроенную учетную запись администратора нельзя было использовать при обычном запуске системы.Если очень сложно поддерживать регулярный график периодической смены пароля для локальных учетных записей, вы можете отключить встроенную учетную запись администратора вместо того, чтобы полагаться на регулярную смену пароля, чтобы защитить ее от атак.

Возможное воздействие

Проблемы с обслуживанием могут возникнуть при определенных обстоятельствах, если вы отключите учетную запись администратора. Например, если безопасный канал между рядовым компьютером и контроллером домена выходит из строя в среде домена по какой-либо причине и нет другой учетной записи локального администратора, необходимо перезапустить в безопасном режиме, чтобы устранить проблему, которая привела к сбою безопасного канала.Если текущий пароль администратора не соответствует требованиям к паролю, вы не сможете активировать учетную запись администратора после ее отключения. В этом случае другой член группы администраторов должен установить пароль для учетной записи администратора.

Параметры безопасности

Смотрите также

• Как сжать том в windows 7
• Как обновить старую смородину
• Как загрузить в безопасном режиме windows 10 при загрузке
• Как узнать разрешение своего монитора на windows 7