Как дать себе права администратора в windows 10

Как получить права администратора в Windows 10

Выпущенная недавно новая операционная система Windows 10 обладает повышенной защитой, которая обеспечивает безопасность ОС и устраняет множество угроз. Чтобы максимально защитить систему, разработчики отключили расширенные права, благодаря которым стороннее программное обеспечение имеет больше доступа к ресурсам системы. Например, самостоятельно скомпилированная программа для чтения какой-нибудь базы данных, не подписанная никаким сертификатом, будет запускаться с ограниченными правами доступа. Чтобы включить полный доступ в учетной записи администратора системы мы опишем различные способы, при которых админ получает расширенные права для управления системой.

Первый способ получения расширенного доступа админа

Первый способ получения прав администратора довольно прост. Первым делом вам необходимо зайти Windows 10 с учетной записью, которая обладает правами администратора.

Попробуем запустить программу WordPad, встроенную в операционную систему с расширенными правами. Для этого с помощью клавиатурной комбинации Win + Q перейдем к поиску Windows 10 и наберем в нем фразу «WordPad».

Теперь кликнем на полученном результате правой кнопкой мыши. В открывшемся контекстном меню найдем пункт «Запустить от имени администратора». Выполнив этот пункт, мы запустим программу WordPad в расширенном режиме админа.

Похожим образом приложение можно запустить через меню «Пуск» во вкладке «Все приложения» и выполнить запуск через контекстное меню, как это показано на изображении ниже.

Если вы хотите запустить программу с расширенными полномочиями, которая находится на Рабочем столе, то смело переходите в контекстное меню ярлыка и выбирайте пункт, отвечающий за запуск от имени админа.

Также если перейти в Свойства ярлыка и нажать кнопку «Дополнительно», вы сможете выставить автоматический запуск утилит с правами админа. Например, на изображении ниже показан пример настройки текстового редактора для программистов Notepad++.

Еще одним способом запуска утилиты WordPad с повышенными привилегиями является его запуск в командной строке с правами админа. Для этого запустим консоль таким образом — нажмем на значке «Пуск» правой кнопкой мыши и выберем пункт, который отвечает за запуск с правами админа. Теперь выполним в консоли команду write После этого наш текстовый редактор запустится с повышенными правами.

Второй способ получения расширенного режима админа

Для второго способа нам также понадобится командная строка, которая запущена с правами администратора. Также заходим в учетную запись, которая обладает правами админа. Потом переходим к поиску Windows 10 и набираем в нем фразу «CMD», которая отвечает за поиск консоли.

Кликнем кнопкой по найденному результату и выберем пункт, который запустит нашу консоль с расширенными правами. В запущенной консоли выполните команду, изображенную ниже.

Выполнив эту команду, вы наделите свою учетную запись расширенными правами и сможете запускать утилиты без каких-либо ограничений. Выполнить обратную операцию в консоли и вернуть все изменения можно, изменив слово «Yes» на «No».

Третий способ получения расширенного доступа админа

В этом способе также запустим консоль с правами админа и выполним в ней команду, изображенную ниже.

После выполнения этой команды запустится надстройка системы «Локальная политика безопасности». Еще эту надстройку можно включить в Панели управления, если вам не нравится использовать консоль.

В открытой надстройке переходим по таким ссылкам: «Локальные политики / Параметры безопасности / Учётные записи: Состояние учетной записи ‘Администратор’» и ставим в открывшемся параметре переключатель в положение «Включить».

Выполнив эти действия, вы сможете стать пользователем с полными правами доступа в системе.

Четвертый способ получения расширенного доступа админа

Запустим таким же способом, как в первом примере консоль и выполним в ней команду lusrmgr.msc

Эта команда запустит надстройку, которая позволяет управлять пользователями операционной системы Windows 10. Надстройку также можно найти и включить в Панели управления.

В открытой надстройке найдите раздел «Пользователи» и найдите в нем пользователя «Администратор». Открыв этого пользователя, отметьте пункт «Отключить учетную запись» как показано на изображении ниже.

Теперь перезагрузите ПК и войдите в систему под пользователем, для которого мы выполняли эти действия.

Проделав эти операции, вы сможете стать пользователем с полными правами доступа в системе как в предыдущем примере.

Пятый способ, позволяющий стать админом с расширенными правами

Запустим в пятый раз командную строку с правами админа и выполним в ней такую команду control userpasswords2

Также эту команду можно выполнить в программе, которая запускается комбинацией клавиш Win + R.

Эта команда позволит нам запустить окно, в котором можно управлять параметрами пользователей. Окно откроется на первой вкладке «Пользователи». Для выполнения поставленной задачи, нам необходимо перейти на вкладку «Дополнительно».

На этой вкладке нажмем кнопку Дополнительно, которая перебросит нас в знакомую нам надстройку из предыдущего примера. Поэтому выполняем все действия как в предыдущем примере.

Шестой способ получения расширенного доступа админа

В шестом способе мы опишем запуск программ с расширенными привилегиями из-под обычного пользователя. Поэтому мы перейдем в учетную запись пользователя, который обладает обычными правами. Дальнейшим нашим шагом будет запуск программы Notepad++ через контекстное меню ярлыка на Рабочем столе. Такой способ запуска описан в первом примере. Если мы запустим Notepad++ этим методом, то ОС запросит у нас пароль одного из администраторов системы.

Поэтому введем необходимый пароль и запустим Notepad++ с расширенными привилегиями.

Как видно из примера, мы запустили текстовый редактор Notepad++ из-под обычной учетки. Единственное, что стоит учитывать в этом примере, без пароля админа вы не сможете воспользоваться этим методом.

Подводим итог

Из примеров видно, что запустить приложение с повышенными привилегиями и сделать себя админом с расширенными возможностями совсем нетрудно. Но перед тем как давать своей учетке расширенные привилегии, стоит учитывать фактор безопасности.

Посудите сами, ведь неспроста разработчики Windows 10 ограничили возможности учетной записи администратора. Главным фактором такого ограничения является исполнение вредоносного кода в десятке, который может повредить системные файлы операционной системы. Поэтому будьте предельно осторожны, когда пытаетесь стать админом с повышенными правами.

А мы в свою очередь надеемся, что наш материал поможет дать нашим читателям ответ на мучащий их вопрос — как получить права администратора в Windows 10 и позволит решить множество задач.

Видео по теме

Как сделать пользователя администратором в Windows 10

18.12.2017&nbsp windows | для начинающих

По умолчанию, учетная запись первого созданного пользователя в Windows 10 (например, при установке) имеет права администратора, однако последующие создаваемые учетные записи — права обычного пользователя.

В этой инструкции для начинающих пошагово о том, как дать права администратора создаваемым пользователям несколькими способами, а также о том, как стать администратором Windows 10, если у вас нет доступа к администраторской учетной записи, плюс видео, где весь процесс показан наглядно. См. также: Как создать пользователя Windows 10, Встроенная учетная запись Администратор в Windows 10.

Как включить права администратора для пользователя в параметрах Windows 10

В Windows 10 появился новый интерфейс для управления учетными записями пользователей — в соответствующем разделе «Параметров».

Чтобы сделать пользователя администратором в параметрах достаточно выполнить следующие простые шаги (эти действия должны выполняться из учетной записи, которая уже имеет права администратора)

Зайдите в Параметры (клавиши Win+I) — Учетные записи — Семья и другие люди.
В разделе «Другие люди» нажмите по учетной записи пользователя, которого требуется сделать администратором и нажмите кнопку «Изменить тип учетной записи».
В следующем окне в поле «Тип учетной записи» выберите «Администратор» и нажмите «Ок».

Готово, теперь пользователь при следующем входе в систему будет иметь необходимые права.

С использованием панели управления

Чтобы изменить права учетной записи с простого пользователя на администратора в панели управления выполните следующие шаги:

Откройте панель управления (для этого можно использовать поиск в панели задач).
Откройте пункт «Учетные записи пользователей».
Нажмите «Управление другой учетной записью».
Выберите пользователя, права которого нужно изменить и нажмите «Изменение типа учетной записи».
Выберите «Администратор» и нажмите кнопку «Изменение типа учетной записи».

Готово, теперь пользователь является администратором Windows 10.

С помощью утилиты «Локальные пользователи и группы»

Ещё один способ сделать пользователя администратором — использовать встроенное средство «Локальные пользователи и группы»:

Нажмите клавиши Win+R на клавиатуре, введите lusrmgr.msc и нажмите Enter.
В открывшемся окне откройте папку «Пользователи», затем дважды кликните по пользователю, которого требуется сделать администратором.
На вкладке «Членство в группах» нажмите «Добавить».
Введите «Администраторы» (без кавычек) и нажмите «Ок».
В списке групп выберите «Пользователи» и нажмите «Удалить».
Нажмите «Ок».

При следующем входе в систему пользователь, который был добавлен в группу «Администраторы», будет иметь соответствующие права в Windows 10.

Как сделать пользователя администратором с помощью командной строки

Существует и способ дать права администратора пользователю используя командную строку. Порядок действий будет следующим.

Запустите командную строку от имени Администратора (см. Как запустить командную строку в Windows 10).
Введите команду net users и нажмите Enter. В результате вы увидите список учетных записей пользователей и системные учетные записи. Запомните точное имя учетной записи, права которой нужно изменить.
Введите команду net localgroup Администраторы имя_пользователя /add и нажмите Enter.
Введите команду net localgroup Пользователи имя_пользователя /delete и нажмите Enter.
Пользователь будет добавлен в список администраторов системы и удален из списка обычных пользователей.

Примечания по команде: на некоторых системах, созданных на базе англоязычных версий Windows 10 следует использовать «Administrators» вместо «Администраторы» и «Users» вместо «Пользователи». Также, если имя пользователя состоит из нескольких слов, возьмите его в кавычки.

Как сделать своего пользователя администратором, не имея доступа к учетным записям с правами администратора

Ну и последний возможный сценарий: вы хотите дать себе права администратора, при этом отсутствует доступ к уже имеющейся учетной записи с этими правами, из-под которой можно было бы выполнить описанные выше действия.

Даже в этой ситуации существуют некоторые возможности. Один из самых простых подходов будет таким:

Используйте первые шаги в инструкции Как сбросить пароль Windows 10 до того момента, как будет запущена командная строка на экране блокировки (она как раз открывается с нужными правами), сбрасывать какой-либо пароль не потребуется.
Используйте в этой командной строке способ «с помощью командной строки», описанный выше, чтобы сделать себя администратором.

Видео инструкция

На этом завершаю инструкцию, уверен, что у вас всё получится. Если же остаются вопросы — задавайте в комментариях, а я постараюсь ответить.

А вдруг и это будет интересно:

Права администратора в Windows 10

При работе с операционной системой Windows 10 пользователю могут понадобиться права администратора. Они нужны в том случае, если необходимо удалить системные файлы, программы и утилиты, требуется изменить настройки некоторых параметров, включить или отключить важные службы. Также права администратора нужны при переносе данных с системного диска на другой носитель. Поэтому сделать себя полным владельцем системы можно только с этими правами.

Способы, как стать администратором в ОС Windows 10

Если вас интересует вопрос, как получить права администратора в Windows 10, стоит воспользоваться несколькими способами.

Способ №1. Использование командной строки

Чтобы включить учетную запись администратора через командную строку, стоит выполнить следующие действия:

Жмём правой кнопкой мыши на значке «Пуск» и выбираем «Командная строка (Администратор)».

Откроется консоль. Вводим команду «net user администратор /active:yes». Если вы используете англоязычную версию Windows 10, вводим «net user administrator /active:yes».

После этого закрываем командную строку, жмём «Пуск» и нажимаем на иконку пользователя. Из всплывающего окна увидим новую строчку «Администратор». Если на неё нажать, компьютер перезагрузится и появится стандартное окно входа в систему, только уже будет добавлен пункт «Администратор».

Способ №2. Использование инструмента Управление компьютером

Войти в систему под учетной записью администратора в Виндовс 10 можно следующим способом:

Жмём «Win+R» и вводим «compmgmt.msc».

Откроется встроенная утилита «Управление компьютером». В левом меню разворачиваем список «Служебные программы», затем выбираем «Локальные пользователи» и нажимаем на папку «Пользователи». Из списка выбираем «Администратор» и нажимаем на нём правой кнопкой мыши. Выбираем «Свойства».

Здесь нужно убрать отметку «Отключить учетную запись».

Права администратора теперь ваши. Чтобы восстановить запись пользователя, необходимо выполнить все те же действия и поставить отметку «Отключить учетную запись».

Способ №3. Использование редактора локальных групповых политик

Настроить учетную запись администратора в ОС Виндовс 10 можно с помощью Редактора локальных групповых политик. Для этого нужно выполнить следующее:

Жмём «Win+R» и вводим «gpedit.msc».

Откроется редактор. Переходим по ветке: «Конфигурация компьютера», «Конфигурация Windows», «Параметры безопасности», ветка «Локальные политики» и вновь «Параметры безопасности». В списке необходимо найти «Учётные записи: Состояние учетной записи «Администратор».

Двойным щелчком открываем параметр. Здесь нужно поменять значение «Отключено» на «Включена».

Чтобы вернуть всё на свои места, стоит вновь поставить отметку «Отключено».

Способ №4. С использованием инструмента Учетные записи

Чтобы изменить локальную запись пользователя на запись администратора, стоит воспользоваться инструментом «Учётные записи».

Жмём «Win+R» и вводим «control userpassword2».
Откроется новое окно. Чтобы стать владельцем учетной записи администратора, переходим во вкладку «Дополнительно».

Здесь также нужно нажать на кнопку «Дополнительно».

Может открыться такое окно. Выполняем указанные там рекомендации.

Жмём «Пуск», «Панель управления», «Учетные записи», «Изменение типа своей учетной записи».

Чтобы изменить тип учетной записи обратно, стоит выполнить те же действия и поставит отметку «Стандартная».

Как удалить и восстановить учетную запись администратора в ОС Windows 10?

Чтобы удалить учётную запись администратора в операционной системе Windows 10, стоит выполнить следующее:

Жмём «Пуск», «Параметры» и выбираем «Учетные записи».

В левом меню выбираем «Семья и другие пользователи». Из списка выбираем запись администратора и нажимаем «Удалить».

Стоит отметить, что если вы удалили случайно запись администратора, восстановить её можно только со среды восстановления системы. Для этого понадобится Live CD или установочный диск той же версии и разрядности системы, что у вас установлена.

О том, как получить права в OS Windows 10 смотрите в видео:

Как получить права администратора в Windows 10

В некоторых ситуациях при работе с операционной системой, пользователю необходимы права администратора. Они требуются для выполнения некоторых действий, к примеру, удаления системных файлов, утилит, перемещению данных на системный диск. Права админа необходимы и для установки программного обеспечения, в том числе на компьютерах в сети. Однако, бывают случаи потерь прав администратор или сбоя настроек. Предлагаем рассмотреть, как получить права администратора в Windows 10.

Получить права администратора в Windows 10 можно следующим образом:

Запускаем «Выполнить» при помощи комбинации клавиш "Win + R", вбиваем в поле cmd и жмем "Enter". В появившемся окне командной строки вводим control userpassword2. Должно появиться следующее окно:
Перед собой видим активную вкладку «Пользователи», нам нужна «Дополнительно». Кликаем по ней и уже там выбираем еще раз «Дополнительно»:
Должно высветиться окно с локальными группами и пользователями, если вы видите такое сообщение:то закрываем его и переходим в «Учётные записи пользователей». Если нет – действия будут происходить аналогично.
Открываем «Учётные записи пользователей», если появилось сообщение, как на скрине выше.
Находим нашу учётную запись и делаем ее «Администратором».

Таким образом, вы поняли, что получить права администратора в Windows 10 не так сложно, как может показаться. После этих действий, вы можете открывать любые приложения с правами администратора и никаких ошибок по этому поводу выскакивать не будет.

Получение прав администратора на Windows 10. 3 простых Способа

Обладать правами администратора требуется для того, чтобы во всем объеме использовать все необходимые возможности операционной системы Windows 10, а также, чтобы вносить различные важные изменения в нее. Данные права подразумевают доступ к расширенным функциям изменения и сохранения документов и материалов, а также использование определенных программ.

На сегодняшний день есть обширное количество способов для того, чтобы получить права администратора в операционной системе Windows 10. Давайте рассмотрим и запомним некоторые из них.

Получение прав администратора в Windows 10 через командную строку

Это один из самых простых и быстрых способов для получения учётной записи администратора. Нам потребуется ввести комбинацию клавиш «Win+R» и в поле «Выполнить» вводим комбинацию «cmd«.

Должна открыться командная строка, в которой необходимо ввести следующее:

net user administrator/active:yes

После данной команды мы нажимаем клавишу «Enter».

Если высветилось сообщение, что имя не найдено, то необходимо ввести команду:

После этого выйдет полный список всех пользователей.

Необходимо отыскать имя администратора, который скрыт.

После чего необходимо повторить введение первой команды, только вводим не «administrator», а другое, правильное значение. Такая запись будет создана без пароля, но лучшим решением будет его создать и установить. Для этого вводим команду «net user администратор», где «администратор»- это наименование учётной записи.

Метод использования групповой политики

Утилита «secpol.msc» поможет в получении прав администратора. Удобный и быстрый вариант получить права администратора. Для этого потребуется запустить редактор командой «Win+R» и ввести «secpol.msc«.

Здесь необходимо отыскать раздел «Локальные политики» и далее «Параметры безопасности«.

Далее нужно выбрать «Учетные записи: Состояние учетной записи «Администратор»«.

Открываем этот параметр и ставим метку на пункт «Включен«, жмем «Применить» и «Ок«.

После всех выполненных операций необходимо перезагрузить всю систему.

Использование утилиты «netplwiz»

Для того, чтобы использовать утилиту «netplwiz», потребуется ввести комбинацию «Win+R» и в поле для ввода текста ввести:

Выберите нужную учетку и нажмите «Свойства».

В следующем окне переходим в раздел «Членство в группах«.

Ставим метку на «Администратор«, жмем «Применить«, затем «Ok«.

Перезагружаем свой компьютер.

Таким образом, мы уяснили, что получить права администратора можно и другими методами. Главное, чтобы вы смогли держать под контролем управление системой и конфиденциальную информацию на своем компьютере.

Как получить права Администратора в Виндовс 10

Внесение серьезных изменений в функционирование Windows 10 и ее компонентов, а также ряд других действий в среде этой операционной системы, могут быть выполнены только из-под учетной записи Администратора или с соответствующим ему уровнем прав. Сегодня мы расскажем о том, как их получить и как выдать другим пользователям, если таковые имеются.

Административные права в Виндовс 10

Если вы сами создавали свою учетную запись, и она была первой на используемом компьютере или ноутбуке, можно с уверенностью сказать, что вы уже обладаете правами Администратора. А вот всем остальным пользователям Windows 10, использующим это же устройство, потребуется их предоставить или получить самостоятельно. Начнем с первого.

Вариант 1: Предоставление прав другим пользователям

На нашем сайте есть подробное руководство, рассказывающее об управлении правами пользователей операционной системы. В нем раскрывается в том числе и выдача административных прав. Ознакомиться с возможными вариантами предоставления столь необходимых во многих случаях полномочий и взять наиболее предпочтительный из них себе на вооружение поможет представленная по ссылке ниже статья, здесь же мы просто кратко их перечислим:

«Параметры»;
«Панель управления»;
«Командная строка»;
«Локальная политика безопасности»;
«Локальные пользователи и группы».

Подробнее: Управление правами пользователей в ОС Виндовс 10

Вариант 2: Получение административных прав

Значительно чаще можно столкнуться с более сложной задачей, подразумевающей не выдачу административных прав другим пользователям, а их самостоятельное получение. Решение в данном случае не самое простое, плюс для его реализации в обязательном порядке необходимо иметь на руках флешку или диск с образом Windows 10, версия и разрядность которой соответствуют установленной на вашем компьютере.

Читайте также: Как создать загрузочную флешку с Виндовс 10

Перезагрузите ПК, войдите в BIOS, выставьте в нем в качестве приоритетного накопителя диск или флешку с образом операционной системы, в зависимости от того, что вы используете.

Читайте также:
Как войти в BIOS
Как в BIOS выставить загрузку с флешки
Дождавшись появления экрана установки Windows, нажмите клавиши «SHIFT+F10». Это действие откроет «Командную строку».

В консоль, которая уже будет запущена с правами администратора, введите представленную ниже команду и нажмите «ENTER» для ее выполнения.
net users

Отыщите в списке учетных записей ту, что соответствует вашему имени, и введите следующую команду:
net localgroup Администраторы user_name /add

Но вместо user_name укажите свое имя, которое вы узнали с помощью предыдущей команды. Нажмите «ENTER» для ее выполнения.
Теперь введите указанную ниже команду и снова нажмите «ENTER».
net localgroup Пользователи user_name /delete

Как и в предыдущем случае, user_name – это ваше имя.

После выполнения данной команды ваша учетная запись получит права Администратора и будет удалена из списка обычных пользователей. Закройте командную строку и перезагрузите компьютер.

Примечание: Если вы пользуетесь англоязычной версией Windows, в представленные выше команды вместо слов «Администраторы» и «Пользователи» необходимо будет вводить «Administrators» и «Users» (без кавычек). Кроме того, если имя пользователя состоит из двух и более слов, его необходимо брать в кавычки.

Читайте также: Как войти в Виндовс с административными полномочиями

Заключение

Теперь, зная о том, как выдать права Администратора другим пользователям и получить их самостоятельно, вы сможете более уверенно пользоваться Windows 10 и выполнять в ней любые действия, которые ранее требовали подтверждения.

Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

ДА НЕТ

Как получить права администратора в Windows

Windows разделяет учетные записи пользователей на уровни администратора и стандартный. Стандартные учетные записи могут вносить изменения, не влияющие на других пользователей компьютера, например параметры персонализации или установку программного обеспечения для себя. Однако вам потребуется учетная запись администратора, чтобы изменять часы, получать доступ к защищенным системным файлам, добавлять пользователей и выполнять аналогичные действия.

Возможно, вы только что пытались получить к чему-то доступ, но вам сказали, что у вас нет прав администратора.Мы покажем вам, как получить права администратора в Windows 10.

Во-первых: убедитесь, что у вас есть права администратора

Это кажется очевидным, но, возможно, у вас нет прав администратора на компьютере, потому что владелец этого не хочет.На корпоративном компьютере или компьютере, принадлежащем вашим родителям, друзьям и т. Д., Вы, вероятно, были ограничены стандартной учетной записью, поэтому вы не можете вносить серьезные изменения.

Если вам нужен доступ администратора на чужом компьютере, попросите его внести изменения или обновить вашу учетную запись с правами администратора.К сожалению, мы не можем показать вам, как обойти административные ограничения в Windows 10 для школьного компьютера или аналогичного. Вы должны уважать меры контроля, установленные менеджером компьютера.

Контроль учетных записей пользователей: знайте свои права

Windows использует синий и желтый значок щита управления учетными записями пользователей (UAC) для обозначения функций компьютера, требующих прав администратора.Если вы попытаетесь принять меры, вы увидите два разных запроса в зависимости от того, являетесь ли вы администратором или нет.

Администраторам просто нужно нажать Да , когда их спросят, хотят ли они разрешить программе вносить изменения.Стандартные учетные записи должны ввести пароль администратора, чтобы продолжить.

Это позволяет выполнять административные функции без постоянного входа в учетную запись администратора.Если вы знаете пароль администратора, вы можете получать подсказки UAC. См. Наш обзор управления учетными записями пользователей для получения дополнительной информации о том, как это работает.

Если вы хотите повысить уровень своей стандартной учетной записи до учетной записи администратора, другому администратору потребуется перейти в Настройки > Учетные записи> Семья и другие пользователи . Выберите свою учетную запись в разделе Другие люди (или Ваша семья ), если она у вас есть) и нажмите кнопку Изменить тип учетной записи .

Измените его с Standard User на Administrator , и вы получите полные права.

Также разумно убедиться, что вы не отключили UAC.Это предотвратит то, что стандартные учетные записи даже не увидят подсказки UAC, поэтому попытка выполнить действия администратора не удастся без уведомления.

Чтобы проверить это, введите UAC в меню «Пуск» и нажмите Изменить настройки управления учетными записями пользователей .Убедитесь, что ползунок не установлен на нижнюю опцию Never Notify . Второй вариант сверху используется по умолчанию и в большинстве случаев должен работать нормально.

Windows 10 User Account Control Settings

Если вы забыли пароль учетной записи администратора

Одна из распространенных ситуаций, когда вы не можете войти в учетную запись администратора, возникает, когда вы теряете свой пароль.К счастью, вы не заблокированы, даже если пароль ускользнул от вас.

Мы рассмотрели, как сбросить пароль Windows.Если вы используете логин Microsoft для учетной записи администратора, легко сбросить пароль через портал Microsoft. У локальных учетных записей есть несколько других методов сброса пароля, но они требуют некоторой работы.

Как только вы восстановите пароль своей учетной записи, вы снова получите полные права администратора.

Временный доступ к учетной записи администратора Windows

Начиная с Windows Vista и появления UAC, Windows поставляется с отключенной встроенной учетной записью администратора.Это сделано для защиты вашего ПК, поскольку учетная запись администратора по умолчанию может выполнять любые действия на вашем компьютере без ограничений. Очевидно, если вредоносное ПО завладело этим аккаунтом, это было бы огромной проблемой.

В Windows есть несколько утилит для предоставления прав администратора вашей учетной записи, но ни одна из них не будет работать, если вы сами не являетесь администратором.В зависимости от того, в чем именно заключается ваша проблема с правами администратора (возможно, вы можете принимать запросы UAC, но не иметь доступа к файлам других пользователей), вы все равно можете включить встроенную учетную запись администратора.

Чтобы включить учетную запись администратора по умолчанию, щелкните правой кнопкой мыши кнопку Пуск или нажмите Win + X .Выберите Командная строка (администратор) или Windows PowerShell (администратор) , чтобы открыть командную строку с повышенными привилегиями. Если вы можете это сделать, введите эту команду, чтобы включить встроенную учетную запись администратора:

  сетевой администратор пользователя / активный: есть

Теперь просто выйдите из своей учетной записи, и вы увидите Administrator в качестве опции.У него нет пароля, поэтому вы можете войти в систему и выполнить любую функцию, которая вам нравится. Когда вы закончите работу, вы должны снова запустить указанную выше команду и изменить yes на no , чтобы отключить ее в целях безопасности.

Временное решение для встроенной учетной записи администратора

Если вы попытаетесь открыть командную строку с повышенными привилегиями, указанную выше, и не можете сделать это из-за отсутствия прав администратора, вам придется включить учетную запись администратора, используя обходной путь.

Для этого обратитесь к нашему подробному руководству по сбросу пароля Windows, поскольку оно содержит инструкции по обходному пути для включения этой учетной записи.

Как исправить права администратора в вашей учетной записи

После того, как вы вошли в систему с учетной записью администратора, вы можете использовать инструменты Windows, чтобы исправить проблемы в своей учетной записи администратора.Начните с посещения той же страницы учетных записей, что и раньше, чтобы убедиться, что ваша учетная запись действительно является администратором: Настройки> Учетные записи> Семья и другие пользователи .

Щелкните имя своей учетной записи под Другие пользователи (или Ваша семья , если применимо), а затем нажмите кнопку Изменить тип учетной записи .Измените раскрывающийся список с Standard User на Administrator , если это еще не сделано.

Другой способ сделать это - использовать страницу Учетные записи пользователей .Введите netplwiz в меню «Пуск» (или в меню «Выполнить» Win + R ), чтобы получить к нему доступ. Здесь вы увидите список всех пользователей вашего компьютера.

Щелкните один и нажмите кнопку Properties , затем выберите вкладку Group Membership .Вы можете изменить учетную запись с Стандартные пользователи на Администратор . Опция Other содержит множество других типов учетных записей, которые не используются за пределами бизнеса.

Есть еще одно место, которое вы должны проверить, чтобы убедиться, что вы не упускаете никаких прав.Откройте в проводнике файлов This PC . В разделе Устройства и диски щелкните правой кнопкой мыши основной диск (вероятно, тот, который помечен как C: ) и выберите Свойства .

В появившемся окне перейдите на вкладку Security .Затем нажмите кнопку Advanced внизу. Вы увидите полный список разрешений для каждой группы пользователей на вашем ПК. Это будет отличаться, если вы внесли изменения, но вот представление о том, как должен выглядеть обычный список разрешений:

Убедитесь, что группа «Администраторы » имеет полный доступ , указанный для Access .Если нет, значит, вы нашли причину, по которой не можете просмотреть все файлы. Нажмите кнопку Изменить разрешения сначала, чтобы внести изменения, затем дважды щелкните группу, чтобы изменить ее.

Обязательно отметьте поле Полный доступ для группы Администраторы .Помните, вы не должны ничего менять здесь, в чем не уверены. Если у вас все еще возникают проблемы, попробуйте создать новую учетную запись администратора в Настройки> Учетные записи> Семья и другие пользователи> Добавить кого-нибудь на этот компьютер .

Получение прав администратора: успех

Мы рассмотрели наиболее распространенные решения для получения прав администратора в Windows 10.Независимо от того, отключили ли вы UAC, забыли свой пароль или страдаете от странных настроек файлов, эти методы позволяют восстановить права администратора и снова контролировать свой компьютер.

Теперь, когда вы являетесь администратором, убедитесь, что вы знаете, как запускать программы от имени администратора в Windows.Вы также можете заблокировать свой компьютер с Windows, чтобы другие пользователи не могли получить доступ к конфиденциальным функциям. И последнее, но не менее важное: как опытный пользователь, вам также необходимо попробовать Windows 10 PowerToys.

Кредиты изображений: Сергей Нивенс / Shutterstock

Что такое Windows Core OS?

Windows Core OS - это урезанная версия Windows, но заменит ли она WIndows 10?

Об авторе

Бен Штегнер (Опубликовано 1607 статей)

Бен - заместитель редактора и менеджер по адаптации в MakeUseOf.Он оставил свою работу в сфере ИТ, чтобы писать полный рабочий день в 2016 году, и никогда не оглядывался назад. В качестве профессионального писателя он освещал технические руководства, рекомендации по видеоиграм и многое другое уже более шести лет.

Ещё от Ben Stegner

Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

Контроль учетных записей пользователей и права администратора в Windows 10

Вы администратор сети в своей семье или в семье? В какой-то момент кто-то из ваших близких установит что-то гнусное или сломает что-то, не желая этого, и поэтому тип используемой учетной записи пользователя Windows имеет значение.

Если все в вашей сети используют учетную запись администратора, вам будет плохо.Тем не менее, есть много запутанной информации о том, что стандартные учетные записи могут и не могут делать. Вот что вам нужно знать.

Что такое учетные записи пользователей Windows?

Каждый раз, когда вы используете свой компьютер с Windows 10, вы входите в учетную запись пользователя.Если вы единственный пользователь на своем компьютере, вероятно, у вас есть учетная запись администратора . Учетные записи администраторов являются привилегированными, то есть они могут выполнять любые действия в системе с минимальными ограничениями (обычно для подтверждения требуется пароль).

Стандартные учетные записи могут использовать компьютер в буквальном смысле: просматривать Интернет, отправлять электронные письма, играть в игры, использовать программное обеспечение и так далее.Стандартные учетные записи также могут вносить некоторые изменения в систему с ограничениями и не затрагивать других пользователей в той же системе.

В Windows 10 также есть опция для выделенной детской учетной записи.Эти учетные записи имеют ряд ограничений, а также интегрированный мониторинг для наблюдения за родителями. Windows также имеет ряд встроенных средств родительского контроля.

Реальное внимание уделяется типу учетной записи в сочетании с настройкой управления учетными записями пользователей (UAC).

Общие сведения о UAC и учетных записях пользователей

По умолчанию как для стандартных учетных записей, так и для учетных записей администратора используется UAC.Это первое, что отключают некоторые пользователи, считая это ненужным и отнимающим много времени.

Но посмотрите на это с другой стороны: каждый раз, когда вам нужно вводить пароль, вы знаете, что вредоносный процесс должен делать то же самое.А если вредоносный процесс не знает пароль, вы мгновенно спасаете себя от компьютерных повреждений, а также экономите массу времени в процессе.

Давайте рассмотрим, как UAC работает с обеими учетными записями.

И стандартные учетные записи, и учетные записи администратора получают доступ к ресурсам и запускают программы в контексте безопасности обычного пользователя.Когда вы включаете UAC, каждое приложение требует разрешения с использованием токена доступа администратора.

Это означает, что ваша учетная запись, администраторская или стандартная, защищена одними и теми же механизмами безопасности.Отличаются разрешения, доступные для каждой учетной записи, которые, в свою очередь, модерируются с помощью элементов управления учетными записями пользователей.

Запросы контроля учетных записей пользователей

Таким образом, когда UAC включен, стандартная учетная запись получает различные уровни запросов для поддержания безопасности.Подсказки гарантируют, что пользователь проверяет каждое существенное изменение в системе, отклоняя все неизвестное или неожиданное (по крайней мере, теоретически).

user account control settings in windows

Уровни ОАК

Вы можете установить UAC на один из четырех уровней:

Всегда уведомлять меня: Самый высокий уровень UAC, запрашивает проверку для каждого приложения, каждой части программного обеспечения и каждого изменения настроек Windows.
Уведомлять меня, только когда приложения пытаются внести изменения: Уровень UAC по умолчанию, запрашивает проверку для новых приложений, но не для настроек Windows.
Уведомлять меня, только когда приложения пытаются внести изменения: Это то же самое, что и уровень UAC по умолчанию, но не затемняет рабочий стол при появлении запроса проверки.
Never notify me: Самый низкий уровень UAC, вы не получаете никаких уведомлений о любых системных изменениях в любое время для указанной учетной записи пользователя.

Настройка по умолчанию подходит для большинства пользователей. Конечно, это зависит от пользователя. Разница заключается в типе приглашения, которое получает пользователь, который зависит от учетной записи.

Запрос согласия

Учетная запись администратора получит запрос согласия .Этот запрос появляется для трех уровней UAC, требующих проверки. Администратору нужно только нажать на запрос согласия, чтобы подтвердить изменения в системе.

user account control consent prompt in windows

Запрос учетных данных

Вместо этого стандартная учетная запись получает запрос учетных данных .В отличие от запроса согласия для авторизованной учетной записи администратора, для запроса учетных данных требуется пароль администратора для проверки изменений системы.

user account control credential prompt in windows

Цветовые коды

Запросы проверки UAC также имеют цветовую кодировку.Это позволяет как стандартной учетной записи, так и учетной записи администратора немедленно понять риск, связанный с системой.

Красный фон со значком красного щита: Приложение заблокировано групповой политикой или получено от заблокированного издателя.
Синий фон с сине-золотым значком щита: Приложение представляет собой административное приложение Windows 10, например элемент Панели управления.
Синий фон с синим значком щита: Приложение подписано с помощью Authenticode и является доверенным на локальном компьютере.
Желтый фон с желтым значком щита: Приложение не подписано или не подписано, но еще не является доверенным для локального компьютера.

Должен ли я использовать учетную запись администратора?

Учетная запись администратора важна.Он есть в каждой системе, поскольку без него вы не сможете устанавливать программное обеспечение и вносить другие изменения. Но должна ли ваша основная учетная запись быть администратором?

Ответ на самом деле кроется в пользователях вашей системы.

Например, я единственный, кто пользуется этой системой.Поэтому я запускаю учетную запись администратора, защищенную паролем. Но на семейном ноутбуке у меня есть защищенная паролем учетная запись администратора и стандартная учетная запись с включенным UAC. UAC - это то, что имеет значение как для стандартных учетных записей, так и для учетных записей администратора.

В этом случае вам не обязательно использовать учетную запись администратора по умолчанию.Конечно, это ускоряет некоторые действия, но ввод пароля занимает всего секунду. Я бы не стал полностью отключать учетную запись администратора, как предлагают некоторые другие руководства.

Но опять же, это зависит от того, кто использует систему.Учетную запись можно скрыть, а не полностью отключить (в Windows есть скрытая учетная запись администратора для технического использования).

Кроме того, отключение уведомлений UAC - не лучшая идея.Он просто удаляет базовый уровень безопасности системы, который иногда спасает вашу систему от вредоносного процесса.

И даже если отключить уведомления, UAC все равно работает.Это просто означает, что каждый запрос на валидацию немедленно утверждается. Однако для стандартных учетных записей это означает, что все запросы на проверку немедленно отклоняются.

TL; DR: Стандартная учетная запись с правильными настройками UAC так же полезна, как и учетная запись администратора, и, возможно, даже немного безопаснее.

Microsoft удалит удобную функцию Windows в предстоящем обновлении

Функция минимизации окна должна выйти из Windows 10 в начале 2021 года.

Об авторе

Гэвин Филлипс (Опубликовано 653 статей)

Гэвин - младший редактор отдела Windows and Technology Explained, регулярный участник Really Useful Podcast и редактор дочернего сайта MakeUseOf, посвященного криптографии, Blocks Decoded.У него есть степень бакалавра (с отличием) в области современного письма с использованием методов цифрового искусства, разграбленных на холмах Девона, а также более десяти лет профессионального писательского опыта. Он любит много пить чая, настольные игры и футбол.

Ещё от Gavin Phillips

Подпишитесь на нашу рассылку новостей

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

Создайте локальную учетную запись пользователя или администратора в Windows 10

Создайте локальную учетную запись пользователя для ребенка или кого-то еще, у кого нет учетной записи Microsoft. При необходимости вы можете предоставить этой учетной записи права администратора. Автономная учетная запись - это просто еще один термин для локальной учетной записи.

При создании учетной записи помните, что выбор пароля и его безопасность являются важными шагами. Поскольку мы не знаем ваш пароль, если вы его забудете или потеряете, мы не сможем восстановить его для вас.

Если вы используете Windows 10 версии 1803 или более поздней, вы можете добавить контрольные вопросы, как вы увидите на шаге 4 в разделе Создайте локальную учетную запись пользователя . Ответив на контрольные вопросы, вы можете сбросить пароль локальной учетной записи Windows 10.

Создайте локальную учетную запись пользователя

1. Выберите Start > Settings > Accounts , а затем выберите Family & other users. (В некоторых выпусках Windows вы увидите Другие пользователи .)

2. Выберите Добавить кого-нибудь к этому ПК .

3. Выберите У меня нет данных для входа этого человека , а на следующей странице выберите Добавить пользователя без учетной записи Microsoft .

4. Введите имя пользователя, пароль, подсказку для пароля или выберите контрольные вопросы, а затем выберите Далее .

Создать другую учетную запись

Изменение учетной записи локального пользователя на учетную запись администратора

1.Выберите Start > Settings > Accounts , а затем в разделе Family & other users выберите имя владельца учетной записи, затем выберите Изменить тип учетной записи .

2. В Тип учетной записи выберите Администратор , и затем выберите OK .

3. Войдите в систему с новой учетной записью администратора.

Связанные темы

Справка по учетной записи Microsoft

Как сбросить пароль учетной записи Microsoft

Получите помощь при ошибках активации Windows

c # 4.0 - Как дать администратору права на код на C #

Переполнение стека

Около
Продукты
Для команд

Переполнение стека Общественные вопросы и ответы
Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
Вакансии Программирование и связанные с ним технические возможности карьерного роста
Талант Нанимайте технических специалистов и создавайте свой бренд работодателя

локальных учетных записей (Windows 10) - Microsoft 365 Security

28.02.2019
20 минут на чтение

В этой статье

Относится к

Windows 10
Windows Server 2019
Windows Server 2016

В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.

Об учетных записях локальных пользователей

Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей - это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.

В этом разделе описывается следующее:

Для получения информации об участниках безопасности см. Принципы безопасности.

Учетные записи локальных пользователей по умолчанию

Учетные записи локальных пользователей по умолчанию - это встроенные учетные записи, которые создаются автоматически при установке Windows.

После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступа к сетевым ресурсам.

Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и созданные вами учетные записи локальных пользователей находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления Microsoft (MMC) на локальном компьютере. Управление компьютером - это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.

Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.

Учетная запись администратора

Учетная запись локального администратора по умолчанию - это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5- домен -500, отображаемое имя «Администратор»). Учетная запись администратора - это первая учетная запись, которая создается во время установки Windows.

Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любой момент взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.

Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования опции Запуск от имени администратора .Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.

Членство в группе счетов

По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.

Учетную запись администратора нельзя удалить или удалить из группы администраторов, но ее можно переименовать.

Соображения безопасности

Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.

Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя.

В целях безопасности используйте локальную (не администраторскую) учетную запись для входа в систему, а затем используйте Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем стандартная учетная запись пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.

Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.

В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.

Примечание Пустые пароли не допускаются в версиях, указанных в списке Применимо к в начале этого раздела.

Важно Даже если учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.

Гостевой аккаунт

Учетная запись гостя отключена по умолчанию при установке. Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.

Членство в группе счетов

По умолчанию учетная запись «Гость» является единственным членом группы «Гости» по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы «Администраторы», может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

Соображения безопасности

При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения. По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.

Кроме того, гостевой пользователь в учетной записи «Гость» не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника)

Учетная запись HelpAssistant - это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если нет ожидающих запросов удаленного помощника.

HelpAssistant - это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет со своего компьютера приглашение по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, оказывающему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.

Соображения безопасности

Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

SID: S-1-5- <домен> -13, отображаемое имя Пользователь терминального сервера. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.
SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат идентификатор безопасности интерактивного входа.

Для операционной системы Windows Server Удаленный помощник является дополнительным компонентом, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.

Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.

Атрибуты учетной записи HelpAssistant

Атрибут	Значение
Известный SID / RID	S-1-5- <домен> -13 (пользователь терминального сервера), S-1-5- <домен> -14 (удаленный интерактивный вход в систему)
Тип	Пользователь
Контейнер по умолчанию	CN = Пользователи, DC = <домен>, DC =
Элементы по умолчанию	Нет
Стандартный член	Гости домена Гости
Защищено ADMINSDHOLDER?	Нет
Можно ли выйти из контейнера по умолчанию?	Можно выдвинуть, но мы не рекомендуем это делать.
Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?	Нет

Счет по умолчанию

DefaultAccount, также известная как управляемая система по умолчанию (DSMA), - это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA - это хорошо известный тип учетной записи пользователя. Это нейтральная к пользователю учетная запись, которую можно использовать для запуска процессов, которые зависят от нескольких пользователей или не зависят от пользователя.DSMA по умолчанию отключен для номеров SKU для настольных ПК (SKU для полной версии Windows) и WS 2016 с Desktop.

DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- -503

DSMA является членом хорошо известной группы System Managed Accounts Group , которая имеет известный SID S-1-5-32-581.

Псевдоним DSMA может получить доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи.Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).

Как Windows использует DefaultAccount

С точки зрения разрешений DefaultAccount - это стандартная учетная запись пользователя. DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA). Приложения MUMA работают постоянно и реагируют на вход и выход пользователей из устройств. В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.

Приложения

MUMA работают в SKU общего сеанса, например Xbox. Например, оболочка Xbox - это приложение MUMA. Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения запускаются в этом контексте. Все приложения поддерживают работу с несколькими пользователями и реагируют на события, инициированные менеджером пользователей. Приложения запускаются как гостевая учетная запись.

Аналогичным образом, Phone автоматически входит в систему как учетная запись DefApps, которая сродни стандартной учетной записи пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.

В конвергентной пользовательской модели многопользовательские приложения и брокеры, поддерживающие многопользовательский режим, должны будут работать в контексте, отличном от контекста пользователей. Для этого в системе создается DSMA.

Как создается DefaultAccount на контроллерах домена

Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с помощью контроллеров домена, на которых установлена более ранняя версия Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена, на котором работает Windows Server 2016.Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.

Учетные записи локальной системы по умолчанию

СИСТЕМА

Учетная запись SYSTEM используется операционной системой и службами, работающими в Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.

С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе Permissions меню Security .По умолчанию учетной записи SYSTEM предоставлены разрешения полного доступа ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.

Примечание Предоставление учетной записи прав доступа к файлам группы администраторов не означает неявного разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.

СЕТЕВОЕ ОБСЛУЖИВАНИЕ

Учетная запись NETWORK SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, которая работает в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см. Учетная запись NetworkService.

МЕСТНОЕ ОБСЛУЖИВАНИЕ

Учетная запись LOCAL SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.

Как управлять локальными учетными записями пользователей

Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе Управление локальными пользователями.

Вы можете использовать «Локальные пользователи и группы» для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение доступа - это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.

Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.

Примечание Вы используете Active Directory - пользователи и компьютеры для управления пользователями и группами в Active Directory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.

Ограничить и защитить локальные учетные записи с правами администратора

Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».

Самый простой подход - войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей пользователей (UAC), чтобы запросить у вас разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:

Применять ограничения локальной учетной записи для удаленного доступа.
Запретить вход в сеть для всех учетных записей локальных администраторов.
Создайте уникальные пароли для локальных учетных записей с правами администратора.

Каждый из этих подходов описан в следующих разделах.

Примечание Эти подходы неприменимы, если все административные локальные учетные записи отключены.

Применять ограничения локальной учетной записи для удаленного доступа

Контроль учетных записей пользователей (UAC) - это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список Применимо к .UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен на уведомление вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомления UAC.

UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключения пользователей, выхода из системы или использования команды Run as .

Кроме того, UAC может потребовать, чтобы администраторы специально одобряли приложения, которые вносят общесистемные изменения, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в пользовательском сеансе администратора.

Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без прав администратора, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.

Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.

В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.

Примечание

Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy, используя настраиваемый ADMX в шаблонах безопасности.

Чтобы применить ограничения локальной учетной записи для удаленного доступа

Запустите консоль управления групповой политикой (GPMC).
В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домена. где вы хотите установить объект групповой политики (GPO).
В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .
В диалоговом окне New GPO введите < gpo_name > и> OK , где gpo_name - это имя нового GPO. Имя GPO указывает, что GPO используется для ограничения передачи прав локального администратора на другой компьютер.
На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .
Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив следующие действия:
1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ и> Параметры безопасности .
2. Дважды щелкните Контроль учетных записей: запускать всех администраторов в режиме утверждения администратором > Включено > ОК .
3. Дважды щелкните Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора > Включено > ОК .
Убедитесь, что к сетевым интерфейсам применяются ограничения локальной учетной записи, выполнив следующие действия:
1. Перейдите в раздел Конфигурация компьютера \ Настройки и настройки Windows и> Реестр .
2. Щелкните правой кнопкой мыши Registry и> New > Registry Item .
3. В диалоговом окне New Registry Properties на вкладке General измените параметр в поле Action на Replace .
4. Убедитесь, что поле Hive установлено на HKEY_LOCAL_MACHINE .
5. Щелкните (… ), перейдите к следующему местоположению для Key Path > Выберите для: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .
6. В области Имя значения введите LocalAccountTokenFilterPolicy .
7. В поле Тип значения из раскрывающегося списка выберите REG_DWORD , чтобы изменить значение.
8. Убедитесь, что в поле Value data установлено значение 0 .
9. Проверьте эту конфигурацию и> OK .
Свяжите GPO с первыми рабочими станциями организационной единицей (OU), выполнив следующие действия:
1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.
2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .
3. Выберите только что созданный объект групповой политики и> OK .
Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните любые проблемы, вызванные новой политикой.
Создайте ссылки на все другие подразделения, содержащие рабочие станции.
Создайте ссылки на все другие подразделения, содержащие серверы.

Запретить вход в сеть для всех учетных записей локального администратора

Отказ локальным учетным записям в возможности выполнять вход в сеть может помочь предотвратить повторное использование хэша пароля локальной учетной записи в злонамеренной атаке.Эта процедура помогает предотвратить боковое перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут быть использованы для компрометации дополнительных компьютеров, использующих те же учетные данные.

Примечание Чтобы выполнить эту процедуру, вы должны сначала определить имя локальной учетной записи администратора по умолчанию, которая может не быть именем пользователя по умолчанию «Администратор», а также любые другие учетные записи, которые являются членами локальной группы администраторов.

В следующей таблице показаны параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

№	Настройка	Подробное описание
	Расположение полиса	Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя
1	Название полиса	Запретить доступ к этому компьютеру из сети
	Параметр политики	Локальная учетная запись и член группы администраторов
2	Расположение полиса	Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя
	Название полиса	Запретить вход через службы удаленных рабочих столов
	Параметр политики	Локальная учетная запись и член группы администраторов

Запретить вход в сеть для всех учетных записей локальных администраторов

Запустите консоль управления групповой политикой (GPMC).
В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домен, в котором вы хотите установить объект групповой политики (GPO).
В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .
В диалоговом окне New GPO введите < gpo_name >, а затем> OK , где gpo_name - это имя нового объекта GPO, указывает, что он используется для ограничения локальных административных учетных записей от интерактивной подписи в компьютер.
На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .
Настройте права пользователя для запрета входа в сеть для административных локальных учетных записей следующим образом:
1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ и> Назначение прав пользователя .
2. Дважды щелкните Запретить доступ к этому компьютеру из сети .
3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .
Настройте права пользователя для запрета входа на удаленный рабочий стол (удаленный интерактивный) для административных локальных учетных записей следующим образом:
1. Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows и локальные политики, а затем щелкните Назначение прав пользователя .
2. Дважды щелкните Запретить вход через службы удаленных рабочих столов .
3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .
Свяжите GPO с первыми рабочими станциями OU следующим образом:
1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.
2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .
3. Выберите только что созданный объект групповой политики и> OK .
Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните любые проблемы, вызванные новой политикой.
Создайте ссылки на все другие подразделения, содержащие рабочие станции.
Создайте ссылки на все другие подразделения, содержащие серверы.

Примечание Возможно, вам придется создать отдельный объект групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.

Создание уникальных паролей для локальных учетных записей с правами администратора

Пароли должны быть уникальными для каждой отдельной учетной записи. Хотя это обычно верно для отдельных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.

Пароли, которые не меняются или меняются синхронно для сохранения идентичности, создают значительный риск для организаций.Рандомизация паролей снижает вероятность атак «pass-the-hash» за счет использования разных паролей для локальных учетных записей, что ограничивает возможность злоумышленников использовать хеш-коды паролей этих учетных записей для компрометации других компьютеров.

Пароли могут быть рандомизированы по:

Покупка и внедрение корпоративного инструмента для выполнения этой задачи. Эти инструменты обычно называют инструментами «привилегированного управления паролями».
Настройка пароля локального администратора (LAPS) для выполнения этой задачи.
Создание и реализация специального сценария или решения для случайного выбора паролей локальных учетных записей.