Как ограничить учетную запись windows 10


Ограниченные учётные записи Windows 10

Делить с кем-то из близких или сотрудников по работе один компьютер – не самая приятная задача. Чтобы упредить споры, каждый из имеющих право пользования компьютером в среде Windows может создать свою, с парольной защитой учётную запись. И таким образом хоть как-то оградить своё личное виртуальное пространство. Полноправные владельцы компьютеров вправе ограничивать тех, кто время от времени использует их Windows-устройства.

Причём не только методами создания учётных записей со статусом стандартного пользователя, лишённого прав администратора. Обладая правами последнего, возможности по использованию компьютера для отдельных людей, чьи неопытные или намеренные действия могут приводить к проблемам, можно урезать в большей степени.

Как в среде Windows 10 задействовать ограниченные учётные записи?

1. Запуск только одного UWP-приложения

Учётные записи со статусом стандартного пользователя можно максимально ограничить, позволив с них запуск только одного UWP-приложения. Делается это в приложении «Параметры» из учётки администратора.

Единственным доступным приложением при таком раскладе может быть любое UWP-приложение – хоть штатное, хоть установленное в Microsoft Store, но только не браузер Edge. Тем не менее если пользователю нужно дать ограниченную среду для веб-сёрфинга, в Microsoft Store можно установить сторонний UWP-браузер.

Такая ограниченная учётная запись будет работать по принципу терминала. Выйти из неё можно нажатием Ctrl+Alt+Del.

Более гибко настроить ограничения для отдельных пользователей можно с помощью функционала редакций Windows 10, начиная с Pro.

2. Режим гостя

Для встречных-поперченных людей, которым вроде как и неудобно отказать в просьбе дать на пару минут зайти в соцсеть, но и не очень хочется подпускать к своим личным данным, в панели управления Windows 7 можно было включить специальную учётную запись гостя. В «Десятке» она никуда не делась, вот только включается чуть сложнее. В режиме гостя используется в большей степени ограниченная учётная запись, чем таковая со статусом стандартного пользователя. Гостю нельзя делать всё то, что требует прав администратора – устанавливать, удалять, запускать программы, удалять системные данные, смотреть содержимое каталогов профиля других пользователей. Нельзя использовать OneDrive. Доступ к настройкам в UWP-формате ограждён невозможностью запуска приложения «Параметры».

Чтобы включить учётку гостя в Windows 10, запускаем штатную утилиту:

lusrmgr.msc

Раскрываем каталог «Пользователи», в нём двойным кликом кликаем по «Гостю». В отрывшихся свойствах убираем все установленные галочки. Применяем.

Теперь нужно кое-что подправить в локальных групповых политиках. Открываем редактор:

gpedit.msc

Раскрываем путь, указанный на скриншоте. Открываем параметр, запрещающий локальный вход.

Удаляем гостя.

И тем самым активируем его учётную запись.

3. Особенный гость

Обезличенная учётка «Гость» - универсальное решение, удобное, если часто приходится принимать у себя гостей, которым всегда нужно срочно войти на пару минут в свою соцсеть. Если круг гостей узкий, можно сделать приятно, например, любимой бабушке, создав её личную учётку гостя. В той же утилите lusrmgr.msc нужно в меню «Действие» выбрать нового пользователя, дать ему имя и убрать галочку необходимости смены пароля (чтобы учётка была незапароленной). Затем нажать «Создать».

Затем делаем двойной клик на бабушкиной учётке и в окне свойств переключаемся на вкладку «Членство в группах». Удаляем группу «Пользователи».

И добавляем группу «Гости».

Если бабушка станет реже приходить, её учётку, чтобы она не болталась на экране блокировки, можно временно отключать. Делается это в том же окошке свойств учётной записи.

***

Ещё больше урезать возможности гостя или стандартного пользователя можно с помощью локальных групповых политик. Ограничения, введённые ими в окне редактора gpedit.msc, будут работать для всех учётных записей компьютера. А чтобы ограничения не касались администратора и применялись только для отдельных пользователей, с политиками нужно работать через консоль MMC.

Запускаем её:

mmc.exe

Необходимо добавить новую оснастку.

Кликаем «Редактор объектов групповой политики». Нажимаем «Добавить», затем - «Обзор».

Выбираем нужного пользователя.

Готово.

Закрываем форму добавления оснасток. Оснастку gpedit.msc, созданную для выбранного пользователя только что, сохраняем в удобном месте.

С этого места и будем впредь запускать эту оснастку. И ограничивать в ней права юзеров. Например, тройкой предложенных ниже способов.

4. Запрет панели управления

Режим гостя, как упоминалось, защищён от вмешательства в настройки, находящиеся в приложении «Параметры». А вот панель управления в части настроек, не требующих прав администратора, гостю доступна. Это легко можно исправить и запретить её запуск.

В созданной оснастке раскрываем путь, показанный на скриншоте. Открываем параметр, запрещающий работу с панелью управления.

Включаем его.

В учётке со статусом стандартного пользователя этот параметр ещё и отключит приложение «Параметры».

5. Запуск только UWP-приложений

Чтобы дать человеку возможность работать только с UWP-приложениями и закрыть ему доступ к десктопным EXE-программам, можно воспользоваться параметром выполнения только указанных приложений.

Будучи включённым, этот параметр позволит поимённо указать только разрешённые для запуска EXE-программы. Нужно указать хотя бы одну такую программу, например, штатный блокнот.

6. Запуск только отдельных программ

Используя параметр выполнения только указанных приложений, можно расширить перечень разрешённых пользователю EXE-программ.

А можно сделать иначе и разрешить использовать все EXE-программы, кроме некоторых.

При попытке запуска запрещённых программ гость увидит такое вот сообщение.

Как ограничить права учетной записи пользователя в Windows 10

Когда доступ к персональному компьютеру имеется у нескольких домочадцев либо коллег по работе, стоит позаботиться о сохранности самой системы. Для этого учётной записи присваиваются дополнительные ограничения касательно использования ресурсов ПК. В Windows10 есть несколько эффективных способов осуществить данную процедуру.

Использование окна «Параметры»

Самым очевидным методом является создание стандартного пользователя, который не имеет право работать с настройками ОС и редактировать системные файлы. Но всё, что касается приложений, для открытия которых не требуется разрешения системы защиты UAC, такому юзеру доступно, включая выход на просторы интернета. Следующий алгоритм действий вводит в систему стандартную запись:

  • ● После ввода комбинации клавиш Win+I откроется окно параметров.
  • ● На вкладке «Учётные записи» нужно выбрать раздел «Семья» и нажатьна крестик «Добавить».

  • ● В следующем окне клацаем по ссылке «У меня нет данных», появится вкладка создания записи Майкрософт.
  • ● Нажимаем «Добавить пользователя без учётной записи», вводим имя и пароль.

Также есть вариант присвоения запрета всем, кроме админа, касательно установки программ от сторонних разработчиков. Для этогово вкладке «Приложения» окна параметров нажимаем на строку «Приложения и возможности»и выбираем «Разрешать использование программ только из Магазина».

Активация родительского контроля потребуется для ограничения прав учётной записи ребёнка. Это позволяет использовать несколько уровней блокировки действий:

  • ● Запрет на посещение определённых страничек в сети.

  • ● Конструирование графика использования интернета и ПК.
  • ● Отслеживание всех операций пользователя.
  • ● Блокировка активации некоторых программ.

Во вкладке «Учётные записи» заходим в раздел «Семья» и добавляемнового члена.

Нужно указать, что требуется учётная запись ребёнка и ввести его e-mail. После этого на почту придёт ссылка от Майкрософт, которая позволит присоединиться выбранному аккаунту к семье.В учётной записи появится доступ к настройкам родительского контроля.

Чтобы активировать назначенный доступ (разрешение на использование лишь одного приложения), нужно в разделе учётных записей «Семья и другие пользователи» выбрать «Блокировка» и нажатьна ссылку «Настройки ограниченного доступа». Затем потребуется указать аккаунт и выбрать программу.

Настройка разрешений через PowerShell

Специальный апплет позволяет получать доступ ко всем подсистемам Windows через командные запросы. В меню Пуск есть папка «Windows PowerShell», нужно запустить программу от имени администратора. Для чего потребуется нажать правой кнопкой мыши по файлу, поставить курсор на «Дополнительно» и выбрать «Запуск от Админа». Следующий алгоритм ограничивает права юзера:

  • ● Вводим: Get–AppxPackage.
  • ● Появится список с приложениями, находим нужное и в строке PackageFullName копируем всё, что после двоеточия.
  • ● Далее следует команда: Set-AssignedAccess -AppUserModelId <PackageFullName>!app -UserName <USERNAME>, где <PackageFullName> нужно заменить скопированной строкой, а вместо <USERNAME> вписать наименование учётной записи, для которой создаётся ограничение.
  • ● Чтобы внести изменения нужно нажать Enter.

Выйти из режима ограниченного доступа можно при помощи комбинации Ctrl+Alt+Del. Таким образом, после следующего входа в систему под указанным аккаунтом будет запущена та самая программа, которую Администратор разрешил использовать. К остальным функциям ОС доступа не будет.

Настройка ограниченного доступа в Windows 10. G-ek.com

Ограниченный режим доступа позволяет ограничить локальную учетную запись пользователя так, чтобы она имела доступ только к одному приложению UWP. Вот как выбрать приложение для корректной работы в режиме ограниченного доступа  для Windows 10.

Ограниченный доступ - это способ запретить запуск любых универсальных приложений (Universal Platform App)  для  стандартной учетной записи пользователя, кроме указанного вами.  Это означает, пользователь будет иметь доступ, только к одному приложению. Эта функция весьма полезна для общедоступных систем, таких как кафе, торговые площадки и т. Д.

Настройка режима ограниченного доступа довольно проста в Windows 10. Ниже мы рассмотрим два способа, которыми вы можете воспользоваться для этого.

Как настроить назначенный доступ в Windows 10 с помощью приложения «Параметры».

Способ 1.

1. Кликните правой кнопкой мыши кнопку «Пуск» или нажмите клавиши Win + X и выберите «Параметры».

2. В приложении «Параметры» перейдите в раздел «Учетные записи» →  «Семья и другие пользователи».

3. В разделе «Семья и другие пользователи» в разделе «Блокировка устройства» нажмите ссылку «Настройка ограниченного доступа».

4. Затем нажмите «Выберите учетную запись» и укажите учетную запись пользователя, для которого вы хотите настроить доступ только к одному приложению.

5. Теперь, нажмите «Выберите приложение», а затем укажите приложение, к которому будет разрешён доступ.

Все, вы только что настроили ограниченный доступ.

Если вы все выполнили правильно, после входа под данной учетной записью, будет выполнен автоматический запуск указанного вами приложения, к другим приложениям и к самой системе доступа не будет.

Чтобы выйти из ограниченного доступа, вы можете просто нажать комбинацию клавиш Ctrl+Alt+Del. Кроме того, вы можете нажать ссылку «Отключение ограниченного доступа» на самой странице настройки.

Как настроить ограниченный доступ с помощью PowerShell в Windows 10.

Способ 2.

1. Откройте Windows PowerShell от имени администратора (см. как).

2. Затем введите следующий командлет и нажмите клавишу Enter :


 Get-AppxPackage

3. Теперь скопируйте строку PackageFullName для приложения, которое вы хотите использовать для ограниченного доступа.

4. Введите следующий командлет и нажмите клавишу Enter:


 Set-AssignedAccess -AppUserModelId <PackageFullName>!app -UserName <USERNAME>

* Замените  <PackageFullName> полным именем пакета приложения и <USERNAME>  учетной записью пользователя, которую вы хотите ограничить.

Это должно настроить ограниченный режим доступа. Чтобы выйти из режима, просто нажмите Ctrl+Alt+Del, как было упомянуто ранее.

Таким образом, вы можете управлять пользователями которые получают доступ к вашему устройству с Windows 10.

Все!

Вам может быть интересно: Как ограничить или установить время доступа пользователя в Windows 10.


Управление учетными записями в Windows 10

Как правило, часто за одним компьютером работает несколько пользователей по очереди. Разработчики операционных систем специально для таких случаев добавляют возможность создания разных учетных записей с индивидуальными настройками и правами доступа. Администратору предоставляются все полномочия для управления такими профилями, включая их удаление или полную блокировку на определенный период времени. Осуществляется такое взаимодействие через специальные меню в Windows. Именно о них мы и хотим поговорить далее.

Управляем учетными записями в Windows 10

В рамках этой статьи мы предлагаем изучить несколько меню и оснасток, встроенных в Windows 10, чтобы понять, как именно производится управление профилями через такие средства. Ознакомившись с последующими инструкциями, вы поймете, где можно отыскать нужный для изменения параметр и как именно производится необходимое редактирование. После этого уже можно будет приступить к непосредственной реализации требуемых действий, например, к созданию новой учетной записи или изменению прав доступа.

Способ 1: Меню Параметры

В первую очередь остановимся на одном из разделов в меню «Параметры». Сейчас там находятся еще не все опции, которые позволяли бы взаимодействовать с учетными записями, поскольку разработчики постепенно переносят все пункты из Панели управления. Однако имеющихся там функций будет достаточно, чтобы справиться с некоторыми задачами. Давайте вкратце пробежимся по каждому из них.

  1. Для начала откройте «Пуск» и перейдите в меню «Параметры», кликнув по соответствующему значку в виде шестеренки.
  2. Здесь вас интересует раздел «Учетные записи».
  3. В первой категории левой панели «Ваши данные» осуществляется редактирование текущего профиля. Например, можно перейти к настройке учетной записи Майкрософт через браузер. Там редактируется имя профиля, год рождения, устанавливается фото и изменяется пароль. Дополнительно в этой категории есть надпись «Войти вместо этого с локальной учетной записью». Она позволяет переключиться на привычный профиль администратора, который не связан с аккаунтом Microsoft.
  4. Ниже присутствует опция создания аватара. Это можно сделать прямо с веб-камеры или через Проводник выбрать уже имеющееся изображение нужного формата.
  5. Вторая категория под названием «Электронная почта и учетные записи» тоже относится к текущему профилю Windows. Именно отсюда осуществляется добавление аккаунтов Microsoft, которые связаны со стандартными приложениями и сторонними программами.
  6. Далее идет категория «Варианты входа». В ней вы самостоятельно выбираете принцип авторизации учетной записи при запуске операционной системы. На данный момент существует огромное количество разнообразных вариантов для всех типов устройств. В этом же окне находятся детальные описания каждого варианта, поэтому мы предоставим выбор оптимального средства вам.
  7. Ключевой раздел этого меню — «Семья и другие пользователи». Именно отсюда выполняется управление другими учетными записями, например, создание, изменение названия, установка ограничений или изменение типа профиля. Добавить можно как уже существующий аккаунт Microsoft, так и создать локальный аккаунт.

Как видно, это меню по большей части рассчитано на изменение личной учетной записи, хотя в случае с аккаунтом Microsoft все равно произойдет перенаправление на страницу в браузере. Скорее всего, при выходе следующих обновлений содержимое данного раздела поменяется и в нем будет больше опций, перенесенных из Панели управления.

Способ 2: Панель управления

Только что мы упоминали Панель управления как средство, из которого все пункты переносятся в «Параметры» с новой реализацией. Однако пока что это коснулось далеко не всех настроек, включая опции, отвечающие за управления учетными записями, поэтому давайте остановимся на этом меню более детально.

  1. Откройте «Пуск», через поиск отыщите приложение «Панель управления» и перейдите в него.
  2. Среди списка всех разделов отыщите «Учетные записи пользователей».
  3. В главном меню вы можете перейти для изменения текущей учетной записи в меню Параметры, о котором уже шла речь ранее, изменить тип своего профиля, перейти к управлению другим пользователем или изменить особенности контроля учетных записей.
  4. При переходе к изменению других профилей откроется отдельное меню, где производится выбор.
  5. Теперь вы можете сменить тип профиля, например, на администратора, или задать новое имя.

Более детально обо всех этих процессах рассказывалось в других статьях на нашем сайте. О них мы еще поговорим после рассмотрения всех сегодняшних методов, а пока переходим к следующему меню, в котором можно управлять учетными записями.

Способ 3: Локальная политика безопасности

В каждой сборке Windows 10 имеется оснастка под названием Локальная политика безопасности. В ней осуществляются различные действия, связанные с обеспечением надежности системы, включая настройки для существующих профилей. Благодаря этой оснастке можно установить ограничения на пароли или заблокировать один из профилей. Выполняется это следующим образом:

  1. В меню «Панель управления» перейдите в раздел «Администрирование».
  2. Здесь вас интересует пункт «Локальная политика безопасности».
  3. Разверните каталог «Политики учетных записей». В нем вы видите две папки: «Политика паролей» и «Политика блокировки учетной записи». Эти названия уже говорят сами за себя, поэтому не будем останавливаться на каждой из них.
  4. При открытии такой директории появляется список доступных политик. Их названия как раз и означают опции или действия, осуществляемые через данные параметры. Возьмем за пример «Вести журнал паролей». Как видно, по умолчанию этот параметр не сохраняет вообще никакие пароли. Для редактирования значения нужно дважды кликнуть по строке, чтобы открыть свойства.
  5. Здесь можете указать, какое количество паролей должно в операционной системе. То же самое происходит и с другими политиками. Например, можно задать срок действия пароля или изменить минимальную длину в символах.
  6. Дополнительно обратите внимание на каталог «Параметры безопасности». Здесь имеется отдельный раздел «Контроль учетных записей». Он отвечает за предоставление прав доступа для учетных записей без прав администратора. Более детальные описания имеются в окнах свойств данных политик.

Учитывайте, что подобные изменения в Локальной политике безопасности может производить только администратор. К тому же не стоит изменять значения случайных параметров, не изучив их значения, поскольку это может привести к необратимым последствиям.

Способ 4: Вкладка «Безопасность» в свойствах файлов, папок и дисков

Отдельного внимания заслуживает настройка доступа для определенных файлов, папок и дисков, которая осуществляется через меню «Свойства». Там имеется вкладка «Безопасность». Через нее администратор может решить, какие именно действия с указанным объектом разрешить выполнять одному юзеру или целой группе. На примере это выглядит так:

  1. Щелкните по необходимому объекту правой кнопкой мыши и выберите «Свойства». Учитывайте, что все изменения для папок применяются автоматически и для всех хранящихся там файлов, что касается и логических разделов.
  2. В появившемся меню вас интересует вкладка «Безопасность».
  3. Нажмите на кнопку «Изменить», которая находится под блоком «Группы или пользователи».
  4. Вы можете редактировать уже добавленные учетные записи, устанавливая разрешения либо запреты, или нажать на «Добавить», чтобы перейти к выбору профиля.
  5. Введите имена объектов в специально отведенное поле, а затем проверьте их. В качестве альтернативы можно использовать встроенную опцию поиска. Она открывается через «Дополнительно».
  6. Щелкните по кнопке «Поиск» и подождите несколько секунд.
  7. Выберите необходимый профиль или группу из отобразившихся результатов, чтобы потом установить для этого объекта правила доступа к директории или файлу.

В конце давайте затронем тему взаимодействия с учетными записями при помощи рассмотренных выше инструментов. Существует огромное количество задач, которые возникают перед обычными юзерами и администраторами. Их решение просто не уместится в рамках одного материала, поэтому мы предлагаем ознакомиться с отдельными инструкциями на нашем сайте, воспользовавшись указанными далее ссылками. Просто прочтите заголовки и выберите подходящую для себя статью. Там вы найдете все необходимые руководства, позволяющие справиться с поставленной целью разными методами.

Читайте также:
Изменение имени учетной записи администратора в Windows 10
Управление правами учетной записи в Windows 10
Переключение между учетными записями пользователей в Windows 10
Создание новых локальных пользователей в Windows 10
Меняем имя папки пользователя в Windows 10
Отключение UAC в Windows 10
Сбрасываем пароль для учетной записи «Администратор» в Windows 10
Удаление администратора в Windows 10

Вы были ознакомлены с принципами управления учетными записями в Windows 10, а также получили необходимые руководства по решению самых частых задач, связанных с профилями. Осталось только перейти к соответствующему материалу, чтобы изучить и реализовать инструкции.

Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТ

Как запретить (блокировать) или разрешить учетные записи Майкрософт в Windows 10

В этой статье показаны действия, с помощью которых можно запретить (блокировать) или разрешить использование учетных записей Майкрософт в операционной системе Windows 10.

Учетная запись Майкрософт предоставляет доступ к приложениям и играм из магазина Microsoft Store, а также позволяет просматривать настройки и другие материалы на нескольких устройствах с Windows 10.

При необходимости можно блокировать учетные записи Майкрософт.

Вы можете выбрать вариант при котором пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт.

Также можно запретить пользователям создавать новые и использовать существующие учетные записи Майкрософт, в этом случае пользователи учетных записей Майкрософт не смогут войти в систему.

Чтобы запретить (блокировать) или разрешить использование учетных записей Майкрософт в Windows 10, необходимо войти в систему с правами администратора

Как запретить (блокировать) или разрешить учетные записи Майкрософт используя локальную политику безопасности

Локальная политика безопасности доступна в Windows 10 редакций Pro, Enterprise, Education.

Нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите secpol.msc и нажмите клавишу Enter ↵.

В открывшемся окне Локальная политика безопасности, разверните следующие элементы списка:

Локальные политики ➯ Параметры безопасности

Далее, в правой части окна дважды щелкните левой кнопкой мыши по политике с названием Учетные записи: блокировать учетные записи Майкрософт

Затем в открывшемся окне, в выпадающем списке выберите параметр который необходимо применить для этой политики безопасности и нажмите кнопку OK.

Параметры для политики Учетные записи: блокировать учетные записи Майкрософт:

  • Пользователи не могут добавлять учетные записи Майкрософт
  • Если выбрать вариант "Пользователи не могут добавлять учетные записи Майкрософт", то пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт, а также подключать учетные записи домена к учетным записям Майкрософт.
  • Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа
  • Если выбрать вариант "Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа", существующие пользователи учетных записей Майкрософт не смогут войти в систему Windows. Выбор этого параметра может сделать вход в систему и управление ею недоступным для существующего администратора на данном компьютере.
  • Эта политика отключена или не настроена
  • Если выбрать вариант Эта политика отключена или не настроена (рекомендуется), то пользователи смогут использовать учетные записи Майкрософт в Windows.

Как запретить или разрешить учетные записи Майкрософт используя файл-реестра (reg-файл)

Данный способ позволяет запретить (блокировать) или разрешить учетные записи Майкрософт во всех редакциях Windows 10, с помощью внесения изменений в системный реестр Windows.

Прежде чем вносить какие-либо изменения в реестр, настоятельно рекомендуетсясоздать точку восстановления системы или экспортировать тот раздел реестра, непосредственно в котором будут производиться изменения.

Все изменения производимые в редакторе реестра отображены ниже в листингах файлов реестра.

Чтобы запретить пользователям создавать новые учетные записи Майкрософт и преобразовывать локальные учетные записи в учетные записи Майкрософт, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00.

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System].

"NoConnectedUser"=dword:00000001

Чтобы запретить пользователям создавать новые и использовать существующие учетные записи Майкрософт, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00.

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System].

"NoConnectedUser"=dword:00000003

Чтобы разрешить пользователям создавать новые и использовать существующие учетные записи Майкрософт, создайте и примените файл реестра следующего содержания:

Windows Registry Editor Version 5.00.

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System].

"NoConnectedUser"=-

Как ограничить или установить ограничение по времени для учетной записи пользователя в Windows 10/8/7

В этом посте мы увидим, как вы можете ограничить или установить ограничение по времени для любой учетной записи пользователя в Windows 10/8/7, используя команду Net User. Net User — это инструмент командной строки, который помогает системным администраторам добавлять или изменять поведение учетных записей пользователей. Мы уже рассмотрели некоторые команды Net User для администраторов, теперь давайте посмотрим, как установить ограничения по времени для локальных учетных записей.

Ограничить или установить ограничение по времени для учетных записей пользователей

Хотя вы всегда можете использовать Родительский контроль или Microsoft Family Safety, чтобы сделать это и многое другое. Но в Windows 10 эта встроенная функция привязана к вашей учетной записи Microsoft.

Если вы используете локальную учетную запись для входа на ПК с Windows 10, эта команда может быть вам очень полезна.

Для начала запустите командную строку от имени администратора. Теперь скопируйте и вставьте следующую команду и нажмите Enter, заменив username именем учетной записи пользователя:

 чистое имя пользователя/время: M-F, 10: 00-22: 00; Sa-Su, 09: 00-23: 00 

Это означает, что выбранный пользователь будет иметь доступ к своей учетной записи с понедельника по пятницу с 10:00 до 22:00, а также в субботу и воскресенье с 9:00 до 23:00.

Когда вы устанавливаете ограничение по времени для конкретного пользователя, тогда этот пользователь сможет войти в систему и получить доступ к ПК только в это время. Синтаксис использования следующий:

Чистый пользователь/время: все

Определяет время, в которое пользователям разрешено использовать компьютер. Время ограничено шагом в 1 час. Для значений дня вы можете прописать или использовать сокращения (то есть M, T, W, Th, F, Sa, Su). Вы можете использовать 12-часовую или 24-часовую нотацию для часов. Если вы используете 12-часовую запись, используйте AM и PM, или A.M. и П.М. Значение all означает, что пользователь всегда может войти в систему. Нулевое значение (пусто) означает, что пользователь никогда не сможет войти в систему. Разделяйте день и время запятыми, а единицы дня и времени — точками с запятой (например, M, 4 AM-5PM; T, 1 PM-3PM). Не используйте пробелы при указании времени.

Таким образом, вы сможете ограничить время входа пользователя в систему на ПК с Windows.

Вы можете использовать любой из этих синтаксисов — 08:00 или 8:00. Например:

  • чистое имя пользователя/время: M-F, 08: 00-17: 00
  • чистое имя пользователя/время: M-F, 8 утра до 5 вечера

Чтобы восстановить настройки по умолчанию и разрешить доступ пользователям в любое время, используйте:

 net username/time: all 

Поверьте, это работает для вас!

Как настроить ограниченные учетные записи пользователей в Windows 10

Чтобы добиться успеха, вредоносные программы и другие средства защиты часто используют возможности учетных записей пользователей Windows с высокими привилегиями. Поэтому неудивительно, что новый отчет показывает, что 86 процентов всех угроз безопасности Windows, исправленных в 2015 году, были бы остановлены или обеззублены, если бы они атаковали пользователей, которые использовали ограниченные, а не администраторские учетные записи и, следовательно, не имели возможность устанавливать, изменять или удалять программное обеспечение.

Исследование уязвимостей Microsoft за 2015 год, проведенное Манчестером, английским провайдером корпоративной безопасности Avecto, опубликованное во вторник (2 февраля), показало, что 85 процентов ошибок удаленного выполнения кода (некоторые из наиболее опасных недостатков) подробно описаны в Ежемесячные отчеты Microsoft по вторникам исправлений будут аннулированы, если активный пользователь Windows не имеет прав администратора. (Та же компания пришла к аналогичным выводам два года назад.)

Microsoft Office и Windows 10 также будут намного безопаснее, поскольку 82 процента уязвимостей безопасности будут заблокированы.Пользователи с ограниченными, так называемыми «обычными» учетными записями были бы защищены от колоссальных 99,5 процентов уязвимостей Internet Explorer на всех платформах и 100 процентов недостатков безопасности Microsoft Edge в Windows 10.

БОЛЬШЕ: 12 ошибок компьютерной безопасности. Вероятно, делает

. Мы советуем всем пользователям Windows управлять своими компьютерами в основном под обычными / ограниченными учетными записями и входить в административные учетные записи только тогда, когда им необходимо установить, удалить или обновить программное обеспечение.Учетная запись по умолчанию, которая поставляется на большинстве компьютеров с Windows, - это учетная запись администратора, поэтому вам потребуется создать дополнительные обычные учетные записи. Пользователям OS X и Linux было бы разумно использовать неадминистративные учетные записи для своей повседневной деятельности, но в целом на этих платформах существует меньше эксплойтов.

Ниже приведены пошаговые инструкции по настройке учетной записи пользователя с ограниченными правами в Windows 10.

Как создать учетные записи пользователей с ограниченными правами в Windows 10

1. Нажмите значок Windows.

2. Выберите «Настройки».

3. Нажмите «Учетные записи».

4. Выберите Семья и другие пользователи.

5. Нажмите «Добавить кого-нибудь на этот компьютер».

6. Выберите «У меня нет данных для входа этого человека».

7. Выберите «Добавить пользователя без учетной записи Microsoft».

8. Введите имя пользователя, дважды введите пароль учетной записи, введите подсказку и нажмите Далее.

9. Коснитесь значка Windows.

10. Выберите значок «Пользователь» в верхнем левом углу меню «Пуск».

11. Выберите нового пользователя. Затем вы войдете в свою учетную запись, используя пароль, указанный на шаге 8.

Теперь вы используете учетную запись без прав администратора!

.

Как создать ограниченные гостевые учетные записи в Windows 10 простым способом

Windows 10 удалила гостевую учетную запись, но вы можете создать свою собственную всего за несколько минут.Это отличный способ позволить кому-либо использовать ваш компьютер без доступа к вашим данным.

windows-10-guest-account-featured

Если вы не единственный, кто использует ваш компьютер, у вас, вероятно, есть несколько учетных записей на нем.Это позволяет каждому выполнять свою работу, не сталкиваясь друг с другом. Когда вам нужно быстро разрешить кому-либо использовать ваш компьютер, вы можете каждый раз создавать новую учетную запись, но это займет слишком много времени.

manage-windows-users

Почему бы вместо этого не использовать гостевую учетную запись? Microsoft удалила гостевую учетную запись по умолчанию в Windows 10, но вы можете создать свою гостевую учетную запись буквально за мгновение.

Войдите в свою учетную запись и щелкните правой кнопкой мыши кнопку «Пуск».Выберите Командная строка (администратор) и введите следующую команду, чтобы создать новую учетную запись. Замените ИМЯ ПОЛЬЗОВАТЕЛЯ на что угодно, но не используйте Гость , так как это имя зарезервировано Windows:

  чистый пользователь ИМЯ ПОЛЬЗОВАТЕЛЯ / добавить / активный: да 

Затем вам нужно будет выполнить следующую команду, чтобы добавить пароль к учетной записи.Поскольку вам не нужен пароль для гостевой учетной записи, введите эту команду и просто нажмите Введите дважды, чтобы оставить его пустым:

  чистый пользователь ИМЯ ПОЛЬЗОВАТЕЛЯ * 

Наконец, вам нужно переместить этого пользователя из группы «Пользователи» по умолчанию в группу «Гость».Для этого введите следующие две команды в указанном порядке:

  net localgroup users USERNAME / удалить 
net localgroup гостей USERNAME / добавить

Эта гостевая учетная запись может входить в ваш компьютер без пароля и использовать любые установленные вами базовые приложения.Они могут просматривать веб-страницы, слушать музыку и работать в Office, но не могут устанавливать программное обеспечение, изменять настройки или просматривать ваши файлы.

Если вы когда-нибудь захотите удалить эту учетную запись, перейдите в Настройки > Учетные записи> Семья и другие люди .Щелкните имя созданной учетной записи, затем нажмите кнопку Remove , чтобы удалить ее.

мог бы делать все вышеперечисленное через несколько меню Windows, но командная строка делает это намного быстрее.Чтобы еще больше защитить свой компьютер, обязательно ознакомьтесь с лучшими способами блокировки Windows.

Вы когда-нибудь позволяли гостям пользоваться вашим компьютером? Сколько учетных записей сейчас на вашем компьютере? Оставить комментарий и дайте нам знать!

Изображение предоставлено: LDprod через Shutterstock

utorrent-scandal 7 подземных торрент-сайтов для получения контента без цензуры

Вам нужны специализированные поисковые системы, чтобы найти легальные торренты, закрытые дома, публичные записи и даже НЛО.Войдите в даркнет.

Об авторе Бен Штегнер (Опубликовано 1607 статей)

Бен - заместитель редактора и менеджер по адаптации в MakeUseOf.Он оставил свою работу в сфере ИТ, чтобы писать полный рабочий день в 2016 году, и никогда не оглядывался назад. В качестве профессионального писателя он освещал технические руководства, рекомендации по видеоиграм и многое другое уже более шести лет.

Ещё от Ben Stegner
Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

.

локальных учетных записей (Windows 10) - Microsoft 365 Security

  • 20 минут на чтение

В этой статье

Относится к

  • Windows 10
  • Windows Server 2019
  • Windows Server 2016

В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.

Об учетных записях локальных пользователей

Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей - это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.

В этом разделе описывается следующее:

Для получения информации об участниках безопасности см. Принципы безопасности.

Учетные записи локальных пользователей по умолчанию

Учетные записи локальных пользователей по умолчанию - это встроенные учетные записи, которые создаются автоматически при установке Windows.

После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступа к сетевым ресурсам.

Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления Microsoft (MMC) локального компьютера. Управление компьютером - это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.

Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.

Учетная запись администратора

Учетная запись локального администратора по умолчанию - это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5- домен -500, отображаемое имя «Администратор»). Учетная запись администратора - это первая учетная запись, которая создается во время установки Windows.

Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любое время взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.

Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования опции Запуск от имени администратора .Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.

Членство в группе счетов

По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.

Учетную запись администратора нельзя удалить или удалить из группы администраторов, но ее можно переименовать.

Соображения безопасности

Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.

Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя.

В целях безопасности используйте локальную учетную запись (не администратора) для входа в систему, а затем используйте Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем учетная запись стандартного пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.

Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.

В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.

Примечание Пустые пароли не допускаются в версиях, указанных в списке Применимо к в начале этого раздела.

Важно Даже если учетная запись администратора отключена, ее все равно можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.

Гостевой аккаунт

Учетная запись гостя отключена по умолчанию при установке. Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.

Членство в группе счетов

По умолчанию учетная запись гостя является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы администраторов, может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

Соображения безопасности

При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения. По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.

Кроме того, гостевой пользователь в учетной записи «Гость» не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника)

Учетная запись HelpAssistant - это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если запросы удаленного помощника не ожидают обработки.

HelpAssistant - это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет со своего компьютера приглашение по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, предоставляющему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.

Соображения безопасности

Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

  • SID: S-1-5- <домен> -13, отображаемое имя Пользователь терминального сервера. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

  • SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат идентификатор безопасности интерактивного входа.

Для операционной системы Windows Server Удаленный помощник является дополнительным компонентом, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.

Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.

Атрибуты учетной записи HelpAssistant

Атрибут Значение

Известный SID / RID

S-1-5- <домен> -13 (пользователь терминального сервера), S-1-5- <домен> -14 (удаленный интерактивный вход в систему)

Тип

Пользователь

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Член по умолчанию

Гости домена

Гости

Защищено ADMINSDHOLDER?

Нет

Можно ли выйти из контейнера по умолчанию?

Можно выдвинуть, но мы не рекомендуем это делать.

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Нет

Счет по умолчанию

DefaultAccount, также известная как управляемая система по умолчанию (DSMA), - это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA - это хорошо известный тип учетной записи пользователя. Это нейтральная к пользователю учетная запись, которая может использоваться для запуска процессов, которые либо учитывают многопользовательскую, либо не зависят от пользователя.DSMA по умолчанию отключен для номеров SKU для настольных компьютеров (SKU для полной версии Windows) и WS 2016 с Desktop.

DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- -503

DSMA является членом известной группы System Managed Accounts Group , которая имеет хорошо известный SID S-1-5-32-581.

Псевдоним DSMA может получить доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи.Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).

Как Windows использует DefaultAccount

С точки зрения разрешений DefaultAccount - это стандартная учетная запись пользователя. DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA). Приложения MUMA работают постоянно и реагируют на вход и выход пользователей из устройств. В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.

Приложения

MUMA работают в SKU общего сеанса, например Xbox. Например, оболочка Xbox - это приложение MUMA. Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения работают в этом контексте. Все приложения поддерживают работу с несколькими пользователями и реагируют на события, инициированные менеджером пользователей. Приложения запускаются как гостевая учетная запись.

Аналогично, Телефон автоматически входит в систему как учетная запись «DefApps», которая похожа на стандартную учетную запись пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.

В конвергентной пользовательской модели многопользовательские приложения и брокеры с поддержкой многопользовательского режима должны будут работать в контексте, отличном от контекста пользователей. Для этого в системе создается DSMA.

Как создается DefaultAccount на контроллерах домена

Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с помощью контроллеров домена, на которых установлена ​​более ранняя версия Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена, на котором работает Windows Server 2016.Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.

Рекомендации по управлению учетной записью по умолчанию (DSMA)

Microsoft не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Отсутствие угрозы безопасности при отключенном состоянии учетной записи. Изменение конфигурации по умолчанию может помешать будущим сценариям, основанным на этой учетной записи.

Учетные записи локальной системы по умолчанию

СИСТЕМА

Учетная запись SYSTEM используется операционной системой и службами, работающими в Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.

С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе Permissions меню Security .По умолчанию учетной записи SYSTEM предоставлены разрешения полного доступа ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.

Примечание Предоставление учетной записи прав доступа к файлам группы администраторов не означает неявного разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.

СЕТЕВОЕ ОБСЛУЖИВАНИЕ

Учетная запись NETWORK SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, которая запускается в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см. Учетная запись NetworkService.

МЕСТНОЕ ОБСЛУЖИВАНИЕ

Учетная запись LOCAL SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.

Как управлять локальными учетными записями пользователей

Учетные записи локальных пользователей по умолчанию и созданные вами учетные записи локальных пользователей находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе Управление локальными пользователями.

Вы можете использовать «Локальные пользователи и группы» для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение доступа - это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.

Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.

Примечание Вы используете Active Directory - пользователи и компьютеры для управления пользователями и группами в Active Directory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.

Ограничение и защита локальных учетных записей с правами администратора

Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».

Самый простой подход - войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей пользователей (UAC), чтобы запросить у вас разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:

  • Применять ограничения локальной учетной записи для удаленного доступа.

  • Запретить вход в сеть для всех учетных записей локальных администраторов.

  • Создайте уникальные пароли для локальных учетных записей с правами администратора.

Каждый из этих подходов описан в следующих разделах.

Примечание Эти подходы неприменимы, если все административные локальные учетные записи отключены.

Применять ограничения локальной учетной записи для удаленного доступа

Контроль учетных записей пользователей (UAC) - это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список Применимо к .UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен таким образом, чтобы уведомлять вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомления UAC.

UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключения пользователей, выхода из системы или использования команды Run as .

Кроме того, UAC может потребовать, чтобы администраторы специально одобряли приложения, которые вносят общесистемные изменения, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в пользовательском сеансе администратора.

Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без административных прав, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.

Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.

В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.

Примечание

Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy, используя настраиваемый ADMX в шаблонах безопасности.

Чтобы применить ограничения локальной учетной записи для удаленного доступа

  1. Запустите консоль управления групповой политикой (GPMC).

  2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домена. где вы хотите установить объект групповой политики (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

  4. В диалоговом окне New GPO введите < gpo_name > и> OK , где gpo_name - это имя нового GPO. Имя GPO указывает, что GPO используется для ограничения передачи прав локального администратора на другой компьютер.

  5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

  6. Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив следующие действия:

    1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ и> Параметры безопасности .

    2. Дважды щелкните Контроль учетных записей: запускать всех администраторов в режиме утверждения администратором > Включено > ОК .

    3. Дважды щелкните Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора > Включено > ОК .

  7. Убедитесь, что к сетевым интерфейсам применяются ограничения локальной учетной записи, выполнив следующие действия:

    1. Перейдите в раздел Конфигурация компьютера \ Настройки и настройки Windows и> Реестр .

    2. Щелкните правой кнопкой мыши Registry и> New > Registry Item .

    3. В диалоговом окне New Registry Properties на вкладке General измените параметр в поле Action на Replace .

    4. Убедитесь, что поле Hive установлено на HKEY_LOCAL_MACHINE .

    5. Щелкните (), перейдите к следующему местоположению для Key Path > Выберите для: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .

    6. В области Имя значения введите LocalAccountTokenFilterPolicy .

    7. В поле Тип значения из раскрывающегося списка выберите REG_DWORD , чтобы изменить значение.

    8. Убедитесь, что в поле Value data установлено значение 0 .

    9. Проверьте эту конфигурацию и> OK .

  8. Свяжите GPO с первыми рабочими станциями организационной единицей (OU), выполнив следующие действия:

    1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

    2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

    3. Выберите только что созданный объект групповой политики и> OK .

  9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните любые проблемы, вызванные новой политикой.

  10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

  11. Создайте ссылки на все другие подразделения, содержащие серверы.

Запретить вход в сеть для всех учетных записей локального администратора

Отказ локальным учетным записям в возможности выполнять вход в сеть может помочь предотвратить повторное использование хэша пароля локальной учетной записи в злонамеренных атаках.Эта процедура помогает предотвратить боковое перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут быть использованы для компрометации дополнительных компьютеров, использующих те же учетные данные.

Примечание Чтобы выполнить эту процедуру, вы должны сначала определить имя локальной учетной записи администратора по умолчанию, которая может не быть именем пользователя по умолчанию «Администратор», а также любые другие учетные записи, которые являются членами локальной группы администраторов.

В следующей таблице показаны параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

Настройка

Подробное описание

Расположение полиса

Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

1

Название полиса

Запретить доступ к этому компьютеру из сети

Параметр политики

Локальная учетная запись и член группы администраторов

2

Расположение полиса

Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

Название полиса

Запретить вход через службы удаленных рабочих столов

Параметр политики

Локальная учетная запись и член группы администраторов

Чтобы запретить вход в сеть для всех учетных записей локальных администраторов

  1. Запустите консоль управления групповой политикой (GPMC).

  2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домен, в котором вы хотите установить объект групповой политики (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

  4. В диалоговом окне New GPO введите < gpo_name >, а затем> OK , где gpo_name - имя нового GPO, указывает, что он используется для ограничения интерактивной подписи локальных административных учетных записей. в компьютер.

  5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

  6. Настройте права пользователя для запрета входа в сеть для административных локальных учетных записей следующим образом:

    1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ и> Назначение прав пользователя .

    2. Дважды щелкните Запретить доступ к этому компьютеру из сети .

    3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

  7. Настройте права пользователя для запрета входа на удаленный рабочий стол (удаленный интерактивный) для административных локальных учетных записей следующим образом:

    1. Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows и локальные политики, а затем щелкните Назначение прав пользователя .

    2. Дважды щелкните Запретить вход через службы удаленных рабочих столов .

    3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

  8. Свяжите GPO с первыми рабочими станциями OU следующим образом:

    1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

    2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

    3. Выберите только что созданный объект групповой политики и> OK .

  9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните любые проблемы, вызванные новой политикой.

  10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

  11. Создайте ссылки на все другие подразделения, содержащие серверы.

    Примечание Возможно, вам придется создать отдельный объект групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.

Создание уникальных паролей для локальных учетных записей с правами администратора

Пароли должны быть уникальными для каждой отдельной учетной записи. Хотя это обычно верно для отдельных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.

Пароли, которые не меняются или меняются синхронно для сохранения идентичности, создают значительный риск для организаций.Рандомизация паролей снижает вероятность атак «pass-the-hash» за счет использования разных паролей для локальных учетных записей, что ограничивает возможность злоумышленников использовать хеш-коды паролей этих учетных записей для компрометации других компьютеров.

Пароли могут быть рандомизированы по:

  • Покупка и внедрение корпоративного инструмента для выполнения этой задачи. Эти инструменты обычно называют инструментами «привилегированного управления паролями».

  • Настройка пароля локального администратора (LAPS) для выполнения этой задачи.

  • Создание и реализация специального сценария или решения для случайного выбора паролей локальных учетных записей.

См. Также

Следующие ресурсы предоставляют дополнительную информацию о технологиях, связанных с локальными учетными записями.

.

Создайте локальную учетную запись пользователя или администратора в Windows 10

Создайте локальную учетную запись пользователя для ребенка или кого-то еще, у кого нет учетной записи Microsoft. При необходимости вы можете предоставить этой учетной записи права администратора. Автономная учетная запись - это просто еще один термин для локальной учетной записи.

При создании учетной записи помните, что выбор пароля и его безопасность являются важными шагами. Поскольку мы не знаем ваш пароль, если вы его забудете или потеряете, мы не сможем восстановить его для вас.

Если вы используете Windows 10 версии 1803 или более поздней, вы можете добавить контрольные вопросы, как вы увидите на шаге 4 в разделе . Создайте локальную учетную запись пользователя . Ответив на контрольные вопросы, вы можете сбросить пароль локальной учетной записи Windows 10.

Создайте локальную учетную запись пользователя

1. Выберите Start > Settings > Accounts , а затем выберите Family & other users. (В некоторых выпусках Windows вы увидите Другие пользователи .)

2. Выберите Добавить кого-нибудь к этому ПК .

3. Выберите У меня нет данных для входа этого человека , а на следующей странице выберите Добавить пользователя без учетной записи Microsoft .

4. Введите имя пользователя, пароль, подсказку для пароля или выберите контрольные вопросы, а затем выберите Далее .

Создать другую учетную запись

Измените локальную учетную запись пользователя на учетную запись администратора

1.Выберите Start > Settings > Accounts , а затем в разделе Family & other users выберите имя владельца учетной записи, затем выберите Изменить тип учетной записи .

2. В Тип учетной записи выберите Администратор , и затем выберите OK .

3. Войдите в систему с новой учетной записью администратора.

Связанные темы

Справка по учетной записи Microsoft

Как сбросить пароль учетной записи Microsoft

Получите помощь при ошибках активации Windows

.

Смотрите также