Клиент не обладает требуемыми правами windows 10 как убрать


«Клиент не обладает требуемыми правами» в Windows 10

Иногда попытка скопировать или переместить файл в то или иное местоположение в Windows 10 вызывает появление окна ошибки с текстом «Клиент не обладает требуемыми правами». Давайте разберёмся, что вызывает эту проблему и как её устранить.

Внимание! Следующие действия можно выполнить только из-под аккаунта администратора!

Урок: Как получить права администратора в Windows 10

Способ 1: Настройка политики безопасности

Как становится понятно из текста ошибки, её причина заключается в сбоях системы контроля учётных записей. Следовательно, устранить проблему можно изменением параметров одной из политик локальной безопасности.

Вариант 1: «Локальная политика безопасности»

Пользователям Виндовс 10 редакций Корпоративная и Профессиональная удобнее всего будет задействовать специальную утилиту.

  1. Открыть нужное средство можно несколькими путями, самый простой – через средство «Выполнить». Нажмите Win+R, впишите в окне запрос secpol.msc и кликните «ОК».

    Читайте также: Как открыть оснастку «Локальная политика безопасности» в Windows 10

  2. Перейдите по указанному ниже адресу:

    Локальные политики\Параметры безопасности

    Найдите в правой части окна параметр с именем «Контроль учётных записей: все администраторы работают в режиме одобрения администратором» и дважды кликните по нему левой кнопкой мыши.

  3. Переключите этот параметр в режим «Отключён», затем нажимайте «Применить» и «ОК».
  4. Произведите перезагрузку компьютера и проверьте наличие ошибки — она должна исчезнуть.

Вариант 2: «Редактор реестра»

Владельцам «десятки» версий Домашняя для решения задачи потребуется внести правки в системный реестр.

  1. Снова вызовите окно «Выполнить», но на этот раз пишите запрос regedit.
  2. Откройте следующую ветку реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

    Найдите в последнем каталоге запись «EnableLUA» и два раза щёлкните по ней ЛКМ.

  3. Установите значение параметра 0, затем нажмите «ОК» и закрывайте «Редактор реестра».
  4. Метод с настройкой локальной политики безопасности довольно надёжный, однако отключение запроса полномочий администратора представляет собой уязвимость, так что озаботьтесь установкой надёжного антивируса.

    Подробнее: Антивирусы для Windows

Способ 2: «Командная строка»

Второй способ устранения рассматриваемого сбоя заключается в настройке прав доступа с помощью «Командной строки».

  1. Для начала запустите консоль с правами администратора, что можно сделать через «Поиск» – откройте его, начните писать слово командная, затем выделите нужный результат и воспользуйтесь пунктом из правого бокового меню.

    Подробнее: Запуск «Командной строки» от имени администратора в Windows 10

  2. Впишите в окно команду следующего вида:

    takeown /f "*путь к папке*" /r /d y

    Вместо *путь к папке* напишите полный путь к проблемному файлу или каталогу из адресной строки.

  3. Далее введите следующую команду:

    icacls "C:\" /grant *имя пользователя*:F /t /c /l /q

    Вместо *имя пользователя* укажите имя вашей учётной записи.

  4. Перезагрузите компьютер и проверьте, пропала ли ошибка. Если она по-прежнему наблюдается, снова запустите «Командную строку» с полномочиями админа и введите следующее:

    icacls *диск*: /setintegritylevel m

    Вместо *диск* впишите букву диска, на котором инсталлирована система, по умолчанию это C:.

  5. Снова перезагрузите компьютер, на этот раз ошибка должна пропасть.

Таким образом, мы рассмотрели, почему возникает ошибка «Клиент не обладает требуемыми правами» и как от неё можно избавиться.

Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТ

Ошибка 0x80070522, как исправить? Инструкция!

Автор admin На чтение 2 мин. Просмотров 1.6k. Опубликовано

При выполнении каких либо задач на компьютере, будь то копирование, перемещение, переименование, редактирование или еще что-то подобное, вы можете столкнуться с тем, что операционная система Windows не даст вам этого сделать, и выдаст ошибку 0x80070522 Клиент не обладает требуемыми правами.

Данная ошибка говорит о том, что у пользователя недостаточно прав для выполняемой операции. Мне известно два метода как убрать или обойти ограничение прав, приступим.

Избавляемся от ошибки 0x80070522, отключив режим одобрения администратора.

1. Зажимаем одновременно кнопки Win+R, тем самым запуская диалоговое окно "Выполнить".

2. Вписываем в него команду "secpol.msc" и жмем "Enter".

3. Откроется окно "Локальная политика безопасности". В нем переходим по следующему пути: Локальные политики->Параметры безопасности, и там среди списка нужно найти "Контроль учетных записей: все администраторы работают в режиме одобрения администратором."

4. Щелкаем дважды на этот параметр и устанавливаем режим "Отключен".

5. Перезагружаем пк, после этого ранее не доступные действия должны работать.

Также можно выполнить отключение с помощью редактора реестра. Для этого жмем также две клавиши Win+R, в окно вписываем команду "regedit", жмем "Enter". Откроется редактор реестра, в нем нужно пройти по пути: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem], найдите параметр "EnableLUA" кликните на него дважды установите значение в 0.

Жмете "OK". Далее следует перезагрузить ПК.

Обход ошибки 0x80070522 с помощью запуска программ с правами администратора.

Если вам нужно единожды скопировать или переместить файл и вы не хотите лезть в системные настройки, то можно например запустить программу "Total Commander" кликнув на значок правой клавишей мыши, и в диалоговом окне выбрать "Запуск от имени администратора", все функции ранее не работающие, будут работать как положено. Если нужно редактировать документ, то запускаем таким же образом любой текстовый редактор.

Надеюсь данная инструкция помогла вам в решении проблем.

отмена разрешения и выход из режима

В Виндовс 10 активно развилась функция администрирования. Она была создана для защиты системных файлов, контроля установки нового ПО и регулирования посторонних программ. Однако порой данная мера безопасности сильно мешает, не давая другим локальным пользователям инсталлировать нужные приложения или залезть в некоторые места файлообменника. В таком случае полезно знать, как убрать права администратора в 10 версии ОС Windows.

СОДЕРЖАНИЕ СТАТЬИ:

С использованием командной строки

Программисты знают, что если нет алгоритма по устранению какой-то неполадки внутри ОС, то лучшее решение — прибегнуть к консоли.

  • Ввести в поисковое окно Windows 10 последовательность букв «cmd».

  • Среди всплывших результатов нажать на «Запустить от имени Администратора».

  • Теперь требуется завести нового пользователя и наделить его возможностью администрирования. При этом следует обязательно отменить влияние старого администратора.
  • При помощи команды «net users» вывести на экран список юзеров.

  • Вбить нового (например, New_Admin_02) и задать для него индивидуальные параметры: net localgroup Администраторы New_Admin_02 /add и нажать Enter.

  • Осталось избавиться от предыдущего управленца. Следует закрыть все и зайти в консоль уже от имени нового админа.

  • В командную строку вписать команду: net localgroup Пользователи имя_пользователя /delete.

  • Учетка обновлена, и права админа присвоены новому человеку.

С помощью утилиты Локальная политика безопасности

Понадобится прибегнуть к функции окна «Выполнить»:

  • Забиваем в строку комбинацию secpol.msc.

  • Выбираем ветку локальной политики, находим там параметры безопасности. Далее откроются два окна, нужно в правом выбрать «Учетные записи: Состояние «Администратор»».

  • Внизу поставить отметку на пункте «Отключен».
  • Выйти из режима.

Есть возможность проделать аналогичные действия похожей программой – Локальные пользователи и группы. Она сменит или добавит нового админа, аналогично консоли.

  • Зажать клавиши «Win+R», забить в строку compmgmt.msc и нажать «Ввод».

  • Откроется список всех заведенных аккаунтов пользователей.
  • Кликнуть на том, которому нужно дать разрешение на администрирование.
  • При двойном щелчке выплывет поле «Свойства пользователя», там открыть вкладку «Членство в группах», внизу нажать кнопку «Добавить».

  • Создать новую строку, подписать «Администраторы», подтвердить.

  • Открыть тип объекта — группы, нажать «Удалить», «ОК»

  • Перезагрузить устройство. После этого пользователь, которого включили в раздел Администраторы, будет иметь необходимые права.

Утилита управление компьютером

Чтобы отключить запрос прав администратора на конкретном аккаунте, можно зайти в программную панель. При помощи простого алгоритма деактивируем права у одного пользователя и включаем у другого:

  • Развернуть панель управления через строку поиска на панели задач.

  • Найти и кликнуть на пункт «Учетные записи пользователя».

  • Выбрать подпункт «Управление другой учетной записью».

  • В списке отметить пользователя, которому необходимо разрешить администрирование, и нажать пункт с изменениями типа аккаунта.

  • Поставить галочку в поле напротив администратора.

Можно и совсем отключить контроль UAC на некоторое время, там же:

  • Зайти в «Панель управления» — «Учетные записи пользователя».

  • В пространстве отдела установить ползунок на самом нижнем уровне, напротив пометки: «Никогда не уведомлять».

Не рекомендуется часто менять администраторов или отключать контроль учетных записей вовсе. Все-таки защитная функция ОС призвана обезопасить от сомнительных программ, действий и вторжений.

Как получить или убрать права администратора в Windows

В процессе пользования компьютером можно заметить, что изначально пользователь не имеет полного доступа ко всем настройкам и параметрам. Как следствие, не удаётся внести некоторые значительные изменения в систему. Чтобы исправить эту ситуацию необходимо получить права администратора системы. В этой статье разберёмся с тем, как получить или убрать права администратора в Windows 10 и более ранних версиях. Давайте же начнём. Поехали!

О том, как включить и отключить администратора

Права администратора — это очень полезная вещь, которая даст вам более широкие полномочия при работе с системой. Запустить программу с правами администратора можно, перейдя к свойствам ярлыка, кликнув правой кнопкой мыши, однако, в этом случае они будут неполными и для некоторых изменений их может не хватить, например, для активации «Режима бога». Получение нужных прав в системе будет полезно многим пользователям. Рассмотрим процесс включения этого режима на примере самой новой версии операционной системы Windows 10, если на вашем компьютере установлен более старый Виндовс, в этом нет ничего страшного, поскольку процесс ничем не отличается.

Первым делом необходимо открыть окно «Выполнить». Делается это нажатием комбинации клавиш Win+R. Далее, в соответствующем поле для поиска введите control userpasswords2 и нажмите кнопку «ОК».

Пишем control userpasswords2 (именно с цифрой 2 на конце)

После этого появится новое окно «Учётные записи пользователей». Перейдите к вкладке «Дополнительно» и нажмите одноимённую кнопку в разделе «Дополнительное управление пользователями». Вы попадёте в окно утилиты, которая называется «Управление локальными пользователями и группами». Перейдите к папке «Пользователи», расположенной слева.

Производя все указанные действия, будьте внимательны

Дважды щёлкните по учётной записи «Администратор», чтобы открыть её свойства. Находясь на вкладке «Общие», снимите птичку с пункта «Отключить учётную запись», а затем подтвердите внесённые изменения. Готово. Остаётся только перезагрузить компьютер, чтобы новые параметры вступили в силу.

Если при запуске системы появляется страница выбора пользователя, то можно удалить старую учётную запись, однако, в этом случае можно потерять некоторые данные. Поэтому лучше всего выполнять эту операцию сразу после того, как была переустановлена система.

Если необходимо убрать права администратора, откройте то же самое окно и установите галочку напротив пункта «Отключить учётную запись». Если вы используете Windows 8, то проще и удобнее всего это можно сделать через командную строку. Воспользуйтесь комбинацией клавиш Win+R и пропишите в поле для поиска «cmd». Далее, введите в командной строке команду:

Net user Администратор /Active:no

Команда Net user Администратор /Active:yes (либо /Active:no)

Нажмите Enter для выполнения. Как только команда будет выполнена, на экране появится специальное сообщение с информацией о том, что функция была отключена. Точно так же можно включать или отключать любые другие учётные записи, указывая их имена вместо «Администратор» и «yes» — если хотите получить, либо «no» — если хотите убрать права для конкретного пользователя. Через командную строку сделать это гораздо проще и быстрее, но, если отсутствие интерфейса неудобно для вас, вы можете воспользоваться классическим способом, приведённым выше.

Получение прав админа не гарантирует безопасность

Нужно заметить, что если учётная запись обладает правами администратора системы, то их получат и все вредоносные программы, попавшие на компьютер. То есть зловредное ПО сможет нанести больший вред всей системе. Если установленное антивирусное программное обеспечение недостаточно надёжно или отсутствует вовсе, лучше воздержаться от активации полных полномочий, чтобы не навредить безопасности компьютера.

Теперь вы знаете, что делать, если понадобится получить полные права администратора в Windows 8, 10 и более ранних версиях, также вы всегда сможете легко их убрать, если возникнет такая необходимость. Пишите в комментариях помогла ли эта статья разобраться в вопросе и спрашивайте, если что-то осталось непонятным после ознакомления с материалом.

Как получить права администратора в Windows 10?

Многих пользователей, которые столкнулись с последней операционной системой Windows, интересует вопрос: как получить права администратора в Windows 10? Ведь для выполнения многих задач – запуска приложений, установки программ и так далее – нужно обладать полными правами администратора, которых не даёт даже уже привычная для пользователей возможность просто создать свою учётную запись, нажав пару кнопок.

В Windows 10 всё немного сложнее, и для получения полной свободы действий нужно сделать немного больше. Здесь уже существует запись администратора, обладающая неограниченными правами, но она заблокирована и скрыта. На неё не распространяется User Account Control, с неё можно делать всё, что угодно, при действиях от её лица не отправляется запрос User Account Control – это основное отличие этой записи от обычной.

Есть несколько способов, которые помогут вам «договориться» с системой и разблокировать учетную запись «админа». Тем не менее, делайте это на свой страх и риск: ограничение прав поставлено для вашей же безопасности.

Способ первый: через системную строку

Этот вариант – самый быстрый и не требующий особенных навыков общения с компьютером. Нажмите на «Пуск» правой кнопкой мыши (или Win + X) и найдите в появившемся меню строку «Командная строка (администратор)». Появится чёрный экран с белыми символами. Там необходимо прописать текст:
net user администратор /active:yes для русскоязычной версии ОС,
net user administrator /active:yes, если работаете с «классической» Windows. Нажмите Enter.

Открывайте «Пуск» и нажимайте левой кнопкой мыши на имя пользователя в левом верхнем углу. Откроется меню, в котором нужно найти строчку «Администратор» и кликнуть по ней. Готово! Теперь вы обладаете полными правами.

Чтобы отключить их, снова зайдите в командную строку и пропечатайте net user администратор /active:no (или administrator для английской системы).

Способ второй: через приложение компьютера

Если вам по какой-то причине неудобно пользоваться командной строкой, есть и другой способ, позволяющий получить права.

Сначала найдите приложение «Управление компьютером». Для этого можно воспользоваться «Поиском в Windows» или меню «Пуск». Просто введите название приложения и активируйте его.

Вы увидите древовидный список. В нём нужно будет нажать «Служебные программы», после «Локальные пользователи» и, наконец, «Пользователи». Кликните дважды левой кнопкой мышки по строке «Администратор». Там по умолчанию отмечен флажком пункт «Отключить учётную запись». Снимите этот флажок и подтвердите внесённые изменения кнопкой «ОК». Чтобы отключить запись администратора, верните флажок обратно.

Можно немного сократить этот способ: в «Поиске в Windows» забейте «lusrmgr.msc» и активируйте приложение. Так вы немедленно попадёте в меню управления учётными записями, где нужно будет отыскать строку «администратор» и убрать галочку с «Отключить учётную запись». Сохраните, что поменяли – и пользуйтесь!

Третий: через редактор локальных политик

Начала, как и в предыдущем варианте, запустите «Пуск» или «Поиск в Windows». Наберите «gpedit.msc», кликните по найденному файлу. Откроется «Редактор групповой политики». В нём найдите строку «Конфигурация компьютера», потом запустите «Конфигурацию Windows», следом – «Параметры безопасности», «Локальные политики» и, наконец, опять «Параметры безопасности». В открывшемся меню увидите «Учётные записи: Состояние учётной записи «Администратор». Откройте, два раза щёлкнув по нему левой кнопкой мышки. Появятся две строчки: «Включён» и «Отключён». Выберите первую, сохраните, что поменяли, кнопкой «ОК».

Можно также значительно сократить проделанный путь, если в самом первом пункте ввести не «gpedit.msc», а «secpol.msc». Вам сразу выпадет программа «Локальная политика безопасности», где нужно будет последовательно открыть «Локальные политики» и «Параметры безопасности». Повторите последний пункт, включив учетную запись администратора.

Вывод

Помните: такая учётная запись заблокирована не из-за прихоти разработчиков, а для вашего же блага и безопасной работы на компьютере. Работая с полными правами администратора, выше вероятность нахватать вирусов или что-то непоправимо нарушить в работе системы. Поэтому даже профессионалам рекомендуется включать учетную запись администратора только для решения конкретной проблемы или выполнения конкретного действия, после завершения работы снова переключаясь на обычную запись пользователя – будут целее и компьютер, и ваши нервы, и деньги, которые не придётся отдавать за ремонт.

Будьте аккуратны при использовании Windows 10, и ваше устройство отплатит вам хорошей и быстрой работой!

Активация клиентов под управлением Windows 10 (Windows 10) - Windows Deployment

  • 11 минут на чтение

В этой статье

Относится к

  • Windows 10
  • Windows 8.1
  • Windows 8
  • Windows 7
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Ищете розничную активацию?

После настройки службы управления ключами (KMS) или активации на основе Active Directory в сети активировать клиент под управлением Windows 10 очень просто.Если компьютер был настроен с использованием универсального ключа корпоративной лицензии (GVLK), ни ИТ-специалист, ни пользователь не должны предпринимать никаких действий. Просто работает. Образы корпоративной редакции и установочные носители уже должны быть настроены с помощью GVLK. При запуске клиентского компьютера служба лицензирования проверяет текущие условия лицензирования компьютера. Если требуется активация или повторная активация, происходит следующая последовательность:

  1. Если компьютер является членом домена, он запрашивает у контроллера домена объект корпоративной активации.Если настроена активация на основе Active Directory, контроллер домена возвращает объект. Если объект соответствует выпуску установленного программного обеспечения, и компьютер имеет соответствующий GVLK, компьютер активируется (или повторно активируется), и его не нужно будет активировать снова в течение 180 дней, хотя операционная система попытается повторно активировать намного короче, через равные промежутки времени.
  2. Если компьютер не является членом домена или если объект корпоративной активации недоступен, компьютер отправит DNS-запрос, чтобы попытаться найти KMS-сервер.Если с сервером KMS можно связаться, активация происходит, если у KMS есть ключ, соответствующий GVLK компьютера.
  3. Компьютер пытается выполнить активацию на серверах Microsoft, если он настроен с помощью MAK.

Если клиент не может успешно активировать себя, он будет периодически повторять попытку. Частота повторных попыток зависит от текущего состояния лицензирования и от того, был ли клиентский компьютер успешно активирован в прошлом. Например, если клиентский компьютер был ранее активирован активацией на основе Active Directory, он будет периодически пытаться связаться с контроллером домена при каждой перезагрузке.

Как работает служба управления ключами

KMS использует топологию клиент-сервер. Клиентские компьютеры KMS могут обнаруживать главные компьютеры KMS с помощью DNS или статической конфигурации. Клиенты KMS связываются с узлом KMS с помощью RPC, передаваемых по TCP / IP.

Пороги активации службы управления ключами

Вы можете активировать физические и виртуальные компьютеры, связавшись с узлом KMS. Чтобы получить право на активацию KMS, должно быть минимальное количество подходящих компьютеров (так называемый порог активации).KMS-клиенты будут активированы только после достижения этого порогового значения. Каждый узел KMS подсчитывает количество компьютеров, запросивших активацию, пока не будет достигнут порог.

Узел KMS отвечает на каждый действительный запрос активации от клиента KMS, подсчитывая, сколько компьютеров уже связались с узлом KMS для активации. Клиентские компьютеры, которые получают счет ниже порога активации, не активируются. Например, если первые два компьютера, которые связываются с узлом KMS, работают под управлением Windows 10, первый получает счетчик активации 1, а второй - 2.Если следующий компьютер является виртуальной машиной на компьютере под управлением Windows 10, он получает счетчик активации 3 и так далее. Ни один из этих компьютеров не будет активирован, потому что компьютеры под управлением Windows 10, как и другие версии клиентских операционных систем, должны получить 25 или больше активаций. Когда клиенты KMS ждут, пока KMS достигнет порога активации, они будут подключаться к узлу KMS каждые два часа, чтобы получить текущее количество активаций. Они будут активированы при достижении порогового значения.

В нашем примере, если следующий компьютер, который обращается к узлу KMS, работает под управлением Windows Server 2012 R2, он получает счетчик активации 4, поскольку счетчик активации является накопительным. Если компьютер под управлением Windows Server 2012 R2 получает счетчик активаций 5 или более, он активируется. Если компьютер под управлением Windows 10 получает 25 или более активаций, он активируется.

Кэш счетчика активаций

Чтобы отслеживать порог активации, узел KMS ведет учет клиентов KMS, запрашивающих активацию.Узел KMS дает каждому клиенту KMS обозначение идентификатора клиента, а узел KMS сохраняет каждый идентификатор клиента в таблице. По умолчанию каждый запрос на активацию остается в таблице до 30 дней. Когда клиент обновляет свою активацию, кэшированный идентификатор клиента удаляется из таблицы, создается новая запись, и 30-дневный период начинается снова. Если клиентский компьютер KMS не продлевает активацию в течение 30 дней, узел KMS удаляет соответствующий идентификатор клиента из таблицы и уменьшает счетчик активаций на единицу.Однако узел KMS кэширует только вдвое больше идентификаторов клиентов, необходимых для достижения порога активации. Следовательно, в таблице хранятся только 50 последних идентификаторов клиентов, а идентификатор клиента можно удалить гораздо раньше, чем через 30 дней. Общий размер кэша определяется типом клиентского компьютера, который пытается активировать. Если узел KMS получает запросы на активацию только от серверов, кеш будет содержать только 10 идентификаторов клиентов (вдвое больше необходимых 5). Если клиентский компьютер под управлением Windows 10 связывается с этим узлом KMS, KMS увеличивает размер кэша до 50, чтобы учесть более высокий порог.KMS никогда не уменьшает размер кеша.

Связь со службой управления ключами

KMS-активация требует подключения TCP / IP. По умолчанию узлы и клиенты KMS используют DNS для публикации и поиска KMS. Можно использовать настройки по умолчанию, которые требуют минимальных административных действий или не требуют их вообще, либо узлы KMS и клиентские компьютеры можно настроить вручную в зависимости от конфигурации сети и требований безопасности.

Продление активации службы управления ключами

Активации

KMS действительны в течение 180 дней (период действия активации ).Чтобы оставаться активированными, клиентские компьютеры KMS должны обновлять свою активацию, подключаясь к узлу KMS не реже одного раза в 180 дней. По умолчанию клиентские компьютеры KMS пытаются обновлять активацию каждые 7 дней. Если активация KMS не удалась, клиентский компьютер повторяет попытку каждые два часа. После возобновления активации клиентского компьютера период действия активации начинается снова.

Публикация службы управления ключами

KMS использует записи ресурсов службы (SRV) в DNS для хранения и передачи данных о расположении узлов KMS.Узлы KMS используют протокол динамического обновления DNS, если он доступен, для публикации записей ресурсов службы KMS (SRV). Если динамическое обновление недоступно или узел KMS не имеет прав на публикацию записей ресурсов, записи DNS необходимо опубликовать вручную или настроить клиентские компьютеры для подключения к определенным узлам KMS.

Обнаружение клиента службы управления ключами

По умолчанию клиентские компьютеры KMS запрашивают информацию KMS в DNS. Когда клиентский компьютер KMS впервые запрашивает информацию KMS в DNS, он случайным образом выбирает узел KMS из списка записей ресурсов службы (SRV), возвращаемых DNS.Адрес DNS-сервера, который содержит записи ресурсов службы (SRV), может быть указан как запись с суффиксом на клиентских компьютерах KMS, что позволяет одному DNS-серверу рекламировать записи ресурсов службы (SRV) для KMS, а клиентские компьютеры KMS - для других первичные DNS-серверы, чтобы найти его. Параметры приоритета и веса можно добавить в значение реестра DnsDomainPublishList для KMS. Установка групп приоритетов узлов KMS и взвешивания внутри каждой группы позволяет указать, какой узел KMS клиентские компьютеры должны попробовать в первую очередь, и распределяет трафик между несколькими узлами KMS.Только Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2 предоставляют эти параметры приоритета и веса. Если узел KMS, выбранный клиентским компьютером, не отвечает, клиентский компьютер KMS удаляет этот узел KMS из своих записей ресурсов списка служб (SRV) и случайным образом выбирает другой узел KMS из списка. Когда узел KMS отвечает, клиентский компьютер KMS кэширует имя узла KMS и использует его для последующих попыток активации и обновления.Если кэшированный узел KMS не отвечает при последующем обновлении, клиентский компьютер KMS обнаруживает новый узел KMS, запрашивая DNS для записей ресурсов службы KMS (SRV). По умолчанию клиентские компьютеры подключаются к узлу KMS для активации с помощью анонимных RPC через порт TCP 1688. (Вы можете изменить порт по умолчанию.) После установления сеанса TCP с узлом KMS клиентский компьютер отправляет один пакет запроса. Узел KMS отвечает счетчиком активаций. Если счетчик соответствует или превышает порог активации для этой операционной системы, клиентский компьютер активируется и сеанс закрывается.Клиентский компьютер KMS использует тот же процесс для запросов на продление. Для связи в каждую сторону используется 250 байтов.

Конфигурация сервера системы доменных имен

Для функции автоматической публикации KMS по умолчанию требуется запись ресурса службы (SRV) и поддержка протокола динамического обновления DNS. Поведение по умолчанию клиентского компьютера KMS и публикация записей ресурсов службы KMS (SRV) поддерживаются на DNS-сервере, на котором работает программное обеспечение Microsoft, или на любом другом DNS-сервере, поддерживающем записи ресурсов службы (SRV) (согласно запросу Internet Engineering Task Force [IETF] Комментарии [RFC] 2782) и динамические обновления (согласно IETF RFC 2136).Например, Berkeley Internet Domain Name версий 8.x и 9.x поддерживает записи ресурсов (SRV) и динамическое обновление. Узел KMS должен быть настроен так, чтобы у него были учетные данные, необходимые для создания и обновления следующих записей ресурсов на DNS-серверах: службы (SRV), узла IPv4 (A) и узла IPv6 (AAAA), либо записи должны быть создан вручную. Рекомендуемое решение для предоставления узлу KMS необходимых учетных данных - создать группу безопасности в AD DS, а затем добавить в эту группу все узлы KMS.На DNS-сервере, на котором работает программное обеспечение Microsoft, убедитесь, что этой группе безопасности предоставлен полный контроль над записью _VLMCS._TCP в каждом домене DNS, который будет содержать записи ресурсов службы KMS (SRV).

Активация первого хоста службы управления ключами

Для хостов

KMS в сети необходимо установить ключ KMS, а затем активировать их с помощью Microsoft. Установка ключа KMS включает KMS на узле KMS. После установки ключа KMS завершите активацию узла KMS по телефону или через Интернет.Помимо этой первоначальной активации, узел KMS не передает никакой информации в Microsoft. Ключи KMS устанавливаются только на узлы KMS, а не на отдельные клиентские компьютеры KMS.

Активация последующих хостов службы управления ключами

Каждый ключ KMS можно установить максимум на шести узлах KMS. Эти хосты могут быть физическими компьютерами или виртуальными машинами. После активации узла KMS один и тот же узел можно повторно активировать до девяти раз с одним и тем же ключом. Если организации требуется более шести узлов KMS, вы можете запросить дополнительную активацию для ключа KMS вашей организации, позвонив в Центр активации корпоративного лицензирования Microsoft и запросив исключение.

Как работает ключ многократной активации

MAK используется для одноразовой активации с помощью служб активации Microsoft. Каждый MAK имеет заранее определенное количество разрешенных активаций. Это число основано на соглашениях о корпоративном лицензировании и может не соответствовать точному количеству лицензий организации. Каждая активация, использующая MAK со службой активации, размещенной на сервере Microsoft, засчитывается в лимит активации.

Активировать компьютеры с помощью MAK можно двумя способами:

  • Независимая активация MAK .Каждый компьютер независимо подключается к Microsoft и активируется через Интернет или по телефону. Независимая активация MAK лучше всего подходит для компьютеров в организации, которые не поддерживают подключение к корпоративной сети. Независимая активация MAK показана на рисунке 16.

    Рисунок 16 . Независимая активация MAK

  • Активация прокси-сервера MAK . Прокси-активация MAK обеспечивает централизованный запрос активации от имени нескольких компьютеров с одним подключением к Microsoft.Вы настраиваете активацию прокси-сервера MAK с помощью VAMT. Прокси-активация MAK подходит для сред, в которых соображения безопасности ограничивают прямой доступ к Интернету или корпоративной сети. Он также подходит для лабораторий разработки и тестирования, в которых отсутствует такая возможность подключения. Прокси-активация MAK с помощью VAMT показана на рисунке 17.

    Рисунок 17 . Прокси-активация MAK с помощью VAMT

MAK рекомендуется для компьютеров, которые редко или никогда не подключаются к корпоративной сети, а также для сред, в которых количество компьютеров, требующих активации, не соответствует пороговому значению активации KMS.

Вы можете использовать MAK для отдельных компьютеров или с образом, который можно скопировать или установить с помощью решений для развертывания Microsoft. Вы также можете использовать MAK на компьютере, который изначально был настроен для использования KMS-активации. Это полезно для перемещения компьютера из базовой сети в отключенную среду.

Архитектура ключа многократной активации и активация

Независимая активация MAK устанавливает ключ продукта MAK на клиентский компьютер. Ключ дает указание этому компьютеру активировать себя на серверах Microsoft через Интернет.При активации прокси-сервера MAK VAMT устанавливает ключ продукта MAK на клиентский компьютер, получает идентификатор установки с целевого компьютера, отправляет идентификатор установки в Microsoft от имени клиента и получает идентификатор подтверждения. Затем инструмент активирует клиентский компьютер, установив идентификатор подтверждения.

Активация как стандартный пользователь

Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2 не требуют прав администратора для активации, но это изменение не позволяет стандартным учетным записям пользователей удалять компьютеры под управлением Windows 7 или Windows Server 2008 R2 из активированного состояния.Учетная запись администратора по-прежнему требуется для других задач, связанных с активацией или лицензией, таких как «переустановка».

См. Также

.

Устранение неполадок клиента HLK для Windows | Документы Microsoft

  • 13 минут на чтение

В этой статье

В этом разделе описывается, как решать проблемы с клиентом Windows Hardware Lab Kit (Windows HLK).

Для получения справки по проблемам, возникающим при установке клиента Windows HLK, см. Устранение неполадок при установке Windows HLK.

Не удается вывести клиентский компьютер из состояния отладки

Проблема. Клиент не переходит из состояния Debug в состояние Ready даже после изменения состояния на Reset в Windows HLK Manager.

Эта проблема может быть вызвана отсутствием связи между компьютером Windows HLK Controller и клиентским компьютером Windows HLK или несоответствием доверенных ключей между двумя системами.

Попробуйте эти решения в следующем порядке:

  1. Попробуйте решения. Клиентские компьютеры не могут обмениваться данными с контроллером Windows HLK.

  2. Переустановите клиент, выполнив действия, описанные в разделе Удаление и переустановка клиента Windows HLK.

Невозможно выбрать тесты после неудачного предыдущего теста

После сбоя теста флажки в списке тестов становятся недоступными, и вы не можете выбрать дополнительные тесты.

Если вы выбрали цель, но не можете выбрать ни один из тестов, компьютер не находится в состоянии готовности.

Перейдите в меню Configuration и переведите компьютер в состояние готовности.

Клиентский компьютер переходит в спящий режим во время теста

Всегда включенный, всегда подключенный (AOAC) компьютер, который не является машиной ARM, может перейти в спящий режим во время теста. Чтобы предотвратить это, выполните следующую команду из командной строки с повышенными привилегиями на каждом клиентском компьютере Windows HLK:

  powercfg / setacvalueindex scheme_current sub_video videoidle 0 & Powercfg / setdcvalueindex scheme_current sub_video videoidle 0 & Powercfg / s scheme_current  

Клиентский компьютер заблокирован учетной записью LLU

Если клиентский компьютер заблокирован учетной записью LLU или не отвечает, необходимо войти в систему, используя правильные учетные данные для учетной записи LLU.Две основные учетные записи LLU на клиентском компьютере:

  • Локальная стандартная учетная запись пользователя

    Клиентский компьютер использует эту учетную запись для запуска тестов, требующих локального стандартного доступа пользователя на клиентском компьютере и любых других компьютерах, с которыми он взаимодействует. Учетные данные локальной учетной записи администратора также могут использоваться для тестов этого типа, но дополнительные привилегии могут не потребоваться.

  • Учетная запись локального администратора

    Клиентский компьютер использует эту учетную запись для запуска тестов, требующих доступа локального администратора на клиентском компьютере и любых других компьютерах, с которыми он взаимодействует.

Клиентские компьютеры не могут обмениваться данными с контроллером Windows HLK

Если клиентский компьютер не может связаться с контроллером Windows HLK Controller, просмотрите следующие проблемы и решения:

  • Клиентские компьютеры не отображаются в списке машин в окне монитора заданий диспетчера Windows HLK .

  • Клиентские компьютеры не могут подключиться к компьютеру контроллера.

  • Клиентские компьютеры не обрабатывают задания в Планировщике заданий в Windows HLK Manager.

  • Клиентские компьютеры всегда переходят в состояние отладки, даже после сброса.

Попробуйте эти решения в следующем порядке:

  1. Просмотрите шаги шага 2: Установите клиент на тестовый компьютер (а) и проверьте базовое сетевое соединение между двумя компьютерами.

  2. Выполните процедуру, чтобы изменить клиент Windows HLK на домашнюю или частную сеть.

  3. Убедитесь, что порт брандмауэра подключения к Интернету (ICF) для Windows HLK открыт как на компьютере клиента Windows HLK, так и на компьютере с контроллером Windows HLK.

    Чтобы открыть порт ICF для Windows HLK в Windows 7

    1. Откройте панель управления.

    2. Щелкните Система и безопасность > Брандмауэр Windows > Дополнительные параметры > Правила для входящих .

    3. Убедитесь, что Клиент WLK присутствует и включен.

    4. Если клиента WLK нет, щелкните Новое правило , щелкните Порт , а затем щелкните Далее .

    5. Введите 1771 в поле Определенные локальные порты , дважды щелкните Далее для Разрешает подключение .

    6. Оставьте все профили отмеченными и нажмите Далее .

    7. В поле «Имя» введите Клиент WLK , а затем щелкните Готово .

    Чтобы открыть порт ICF для Windows HLK

    1. Откройте панель управления.

    2. Щелкните Безопасность > Брандмауэр Windows > Изменить настройки .

    3. Щелкните вкладку Исключения . Убедитесь, что WLK Client присутствует и выбран в Programs and Services .

    4. Если Клиент WLK не отображается, щелкните Добавить порт и введите следующую информацию:

      • В поле Имя введите Клиент WLK .

      • В поле Номер порта введите 1771 .

      • Нажмите кнопку TCP , а затем нажмите ОК .

    5. Вернитесь на вкладку исключений и убедитесь, что установлен флажок WLK Client , а затем нажмите OK .

  4. Отключить безопасность интернет-протокола (IPsec)

    Для обмена данными между компьютерами Windows HLK Client и Windows HLK Controller на всех компьютерах должен быть установлен протокол IPsec, или на всех компьютерах должен быть отключен IPsec.

    Чтобы отключить IPsec

    • В командной строке введите net stop ipsec и нажмите Enter.

    Для изменения свойств IPSec

    1. В командной строке введите services.msc и нажмите Enter. Появится консоль управления Microsoft.

    2. Дважды щелкните IPsec Policy Agent и измените его Тип запуска ( Автоматический | Ручной | Отключен ) и / или Состояние службы ( Начало, | Остановить ).

Информация о клиенте в HLK Studio неточная

Информация о клиенте Windows HLK, отображаемая в Windows HLK Studio, может быть неточной, если данные сборщика не актуальны.Неточная информация может включать следующие данные:

  • Отсутствующие или обнаруженные функции.

  • Отсутствующие или лишние тесты.

  • Драйверы, включенные в операционную систему, считаются не включенными.

    Драйверы, не входящие в состав операционной системы, сообщаются как включенные.

Чтобы обойти эту проблему, выполните следующие действия:

  1. Перезагрузите клиентский компьютер Windows HLK.

  2. (Необязательно) Удалите проект в Windows HLK Studio.

  3. (Необязательно) Сбросьте состояние клиентского компьютера в мониторе заданий Windows HLK Manager.

  4. Закройте все экземпляры Windows HLK Studio и Windows HLK Manager.

  5. Перезапустите Windows HLK Studio.

  6. Создайте новый проект и добавьте клиентский компьютер Windows HLK в пул компьютеров.

Клиентское ПО не удаляется из тестовой системы

Эта проблема возникает, когда запись в базе данных для Windows HLK Controller удаляется для тестовой системы.Через десять минут или меньше клиентское программное обеспечение отправляет новый сигнал (сердцебиение), и контроллер создает новую запись клиента в базе данных. После появления записи клиента он отображается на экране Configuration в Windows HLK Studio; однако, когда вы выбираете машинный пул на вкладке Selection , целевые объекты для системы не отображаются.

Чтобы решить эту проблему, попросите сборщика вернуть некоторые новые данные. Вы можете сделать это, установив драйвер или оборудование или перезапустив клиентскую систему.

Ошибка при добавлении пользователя <домен \ имя пользователя>

При попытке создать учетную запись для пользователя домена появляется следующее сообщение об ошибке:

Ошибка при добавлении пользователя < домен \ имя пользователя >

Не удается предоставить / удалить разрешение для пользователя в хранилище данных имя контроллера : Пользователь имя пользователя не существует в домене домен . Убедитесь, что имя пользователя действительное, или обратитесь к администратору сети.

Домен, к которому относится сообщение об ошибке, - это домен локального компьютера. Вы не можете создать учетную запись для пользователя домена, если вы вошли на компьютер Windows HLK Studio в качестве локального администратора. Вы должны выйти и снова войти в систему как пользователь домена с правами администратора, а затем создать учетную запись для пользователя домена.

Ошибка

: пропущен, поскольку открытый ключ для машины равен нулю

При попытке добавить локального логического пользователя (LLU) на клиентский компьютер появляется следующая ошибка:

Пропущено, так как открытый ключ для машины равен нулю.

Эта ошибка означает, что клиент Windows HLK не установлен правильно. Чтобы решить эту проблему, удалите и переустановите Windows HLK Client. Дополнительные сведения см. В разделе Удаление и повторная установка клиента Windows HLK.

Задание застряло в планировщике

Когда вы настраиваете задание, планировщик Windows ищет клиентский компьютер для его выполнения. Планировщик рассматривает все клиентские компьютеры в машинном пуле, которые доступны и могут выполнять задание.

Когда вы используете Windows HLK Manager Job Monitor для просмотра состояния задания, в столбце Current Pipeline панели Job Execution Status отображается состояние задания.Если значение Current Pipeline для вашего задания - Scheduler , и если это значение не менялось в течение нескольких минут, убедитесь, что клиент Windows HLK в пуле машин со статусом Ready существует.

  • Если клиентские компьютеры Windows HLK не готовы к запуску заданий, см. Шаг 3: Создание пула компьютеров.

  • Если клиентские компьютеры Windows HLK доступны для выполнения задания, убедитесь, что хотя бы один клиентский компьютер Windows HLK может выполнять задание.Проверьте атрибуты клиентских компьютеров Windows HLK и сравните их с требованиями работы.

  • Если задание содержит машинные наборы, убедитесь, что имеется достаточное количество клиентских компьютеров Windows HLK для удовлетворения требований всех машинных наборов. Windows HLK планирует все клиентские компьютеры Windows HLK одновременно.

Если задание остается неизменным в Планировщике, убедитесь, что службы SQL Server ( MSSQLSERVER ), WLKSvc и DTMSERVICE запущены в службах.msc.

Задания не запускаются после переустановки клиента Windows HLK

Ранее запланированные задания не запускаются, если вы установили Windows HLK Controller и Windows HLK Studio, запланировали некоторые задания, а затем удалили и переустановили Windows HLK Client.

В этом случае необходимо установить новое соединение между клиентским компьютером Windows HLK и компьютером с контроллером Windows HLK, удалив и переустановив клиент. Для получения информации о том, как это сделать, см. Удаление и переустановка клиента Windows HLK.

Несколько клиентских систем идентифицируются как одна и та же система

Клиентские системы идентифицируются с помощью пары хэшей. Эти хэши по отдельности состоят из следующих наборов данных:

Хэш2:

  smbios UUID серийный номер smbios производитель smbios модель smbios номер SKU smbios  

Хэш 2:

  MAC-адрес 0 драйвер 0 поставщик драйвер 0 продукт драйвер 0 серийный номер  

Эта характеристика позволяет вам менять оборудование, сохраняя тот же идентификатор машины.Однако, если хеши двух (или более) разных систем слишком похожи, эти системы идентифицируются как одна и та же система. Это заставляет сердцебиение последней системы быть активным клиентом.

Чтобы этого не произошло, хеш-данные должны быть уникальными для каждой клиентской системы. Проще всего обновить значения smbios UUID и smbios серийный номер .

Вы можете увидеть эти значения в данных сборщика CLIENTMACHINE. Этот журнал не определяет эти значения, и изменение этого журнала не предотвращает и не решает проблему.

Этот журнал существует по адресу % SystemDrive% \ WLK \ JobsWorkingDir \ AssetCfg \ Log .

Удаленный рабочий стол не может подключиться к клиентскому компьютеру Windows HLK

Если удаленный рабочий стол не может подключиться к клиентскому компьютеру Windows HLK, убедитесь, что удаленный рабочий стол является исключением брандмауэра Windows.

Чтобы разрешить подключение к удаленному рабочему столу в Windows 7

  1. Откройте панель управления.

  2. Щелкните Система и безопасность > Брандмауэр Windows > Разрешите программу или функцию через брандмауэр Windows .

  3. Установите флажок Удаленный рабочий стол , а затем щелкните ОК .

Чтобы разрешить подключение к удаленному рабочему столу в Windows Vista

  1. Откройте панель управления.

  2. Система и безопасность Безопасность > Брандмауэр Windows > Изменить настройки .

  3. Щелкните вкладку Исключения .

  4. Установите флажок Удаленный рабочий стол , а затем щелкните ОК .

Удалите и переустановите клиент Windows HLK

Предупреждение

Не удаляйте клиент Windows HLK в качестве первого шага в устранении неполадок клиента Windows HLK. Если вы переустановите клиент Windows HLK, все выполняемые сертификационные испытания будут потеряны, и вам придется повторно запустить все тесты в новом проекте.

Удаление и повторная установка клиента Windows HLK

  1. Удаление клиента Windows HLK ( Панель управления > Удаление программы > Клиент комплекта сертификации оборудования Windows .)

  2. Запустите Windows HLK Manager, перейдите в Explorer | Монитор заданий , щелкните правой кнопкой мыши свой компьютер и выберите Изменить статус -> Небезопасный , чтобы перевести компьютер в состояние Небезопасный .

  3. Установите клиент Windows HLK, выполнив действия, описанные в разделе Шаг 2: Установка клиента в теме тестовых систем.

  4. Подождите, пока компьютер перейдет в состояние Manual в HLK Manager | Монитор заданий , под столбцом Состояние .

  5. Перейти к Explorers | Монитор заданий , щелкните правой кнопкой мыши свой компьютер и выберите Изменить статус -> Сбросить .

  6. Подождите, пока компьютер автоматически вернется в состояние Готов , или щелкните Обновить в Windows HLK Manager.

обновления SQL Server вызывают сбой клиента Windows HLK

Обновления

SQL Server могут вызвать сбой клиента Windows HLK. Чтобы исправить, отключите автоматические обновления при запуске тестов HLK:

  • Windows 10
    1. Откройте приложение "Настройки"
    2. Выберите Обновление и безопасность
    3. Выберите Центр обновления Windows
    4. Выберите дополнительные параметры
    5. Выберите вариант отсрочки обновления
  • до Windows 10
    1. Открыть панель управления
    2. Выберите Центр обновления Windows
    3. Выбрать Изменить настройки
    4. Выберите параметр, отключающий автоматические обновления

Клиентский компьютер переходит в режим диагностики Windows после установки клиента HLK

Если появится запрос, проверьте файл C: \ Windows \ System32 \ LogFiles \ srt \ SrtTrail.txt и получите следующую ошибку:

  Обнаружена основная причина: ---------------------------- Важный для загрузки файл c: \ windows \ system32 \ drivers \ msdmfilt.sys поврежден.  

SecureBoot необходимо отключить из BIOS / UEFI. Если вы не запускаете тесты SecureBoot на устройстве / системе, SecurBoot необходимо отключить для запуска тестов HLK.

Неподдерживаемые сценарии

Клиент Windows HLK не поддерживает следующие сценарии:

  • Несколько операционных систем. Установка нескольких операционных систем на компьютер с установленным клиентом Windows HLK не поддерживается. Если на вашем компьютере установлено несколько операционных систем и установлено несколько экземпляров клиента Windows HLK, могут возникнуть ошибки, которые невозможно исправить без переустановки операционной системы.

    В тестируемой системе должен быть установлен только один экземпляр Windows HLK Client. В этом сценарии система включает все связанные физические диски и разделы.

  • Тестирование на нескольких клиентских компьютерах. Если вы используете несколько клиентских компьютеров для выполнения тестового проекта, вы должны использовать одни и те же клиентские компьютеры для завершения и упаковки тестового проекта в Windows HLK Studio. Например, если один компьютер тестирует Windows 7 x86, а другой компьютер тестирует Windows 7 x64, вы должны завершить и упаковать все тесты на каждом компьютере, прежде чем вносить какие-либо изменения в систему или операционную систему. Если вы измените что-либо в клиентском компьютере, вы можете сделать проект недействительным, а затем придется перезапустить тест, используя новый проект.Возможно, вам придется перезапустить тестовый проект, если вы внесете какие-либо из этих изменений:

Если у вас есть один из указанных выше сценариев неподдерживаемых на компьютере с Windows HLK Client, у вас может не быть контрольного сигнала, задания застряли в планировщике или задания, которые не выполняются.

Чтобы восстановить рабочую среду тестирования, верните клиентскую систему Windows HLK в исходное состояние, чтобы продолжить и завершить отправку теста. При желании удалите и переустановите Windows HLK Controller и Windows HLK Client, чтобы все системы были либо присоединены к домену, либо частью рабочей группы.

Наблюдаемая система не имеет пульса

Если вы выбираете пул машин в конфигурации и наблюдаете за тестовой системой на экране конфигурации, пульс, то есть отметка времени пользовательского интерфейса (UI), не обновляется.

Это проблема пользовательского интерфейса Windows HLK Studio. Система продолжает биться, но пользовательский интерфейс просто не обновляется.

Чтобы обновить отметку времени биения сердца, переключите пулы машин.

Клиенты Windows 7 не переходят в состояние готовности

Проблема. Тестовый клиент Windows HLK появляется в пуле тестов по умолчанию и имеет недавнее контрольное сообщение, но при изменении состояния клиента на Сброс статус не меняется на Готов и в конечном итоге меняется на Отладка .

Если тестовый компьютер подключен к общедоступной сети, клиент Windows HLK не переходит в состояние Готов , поскольку категория общедоступной сети является ограничительной, а обнаружение сети по умолчанию отключено.

Решение. Измените сетевое расположение клиента Windows HLK.

Чтобы изменить клиент Windows HLK на домашнюю или частную сеть

  1. На клиентском компьютере откройте Панель управления, щелкните Сеть и Интернет , а затем щелкните Просмотр состояния сети и задач .

  2. В Windows 7, если сеть под Просмотрите активные сети установлено на Общедоступная сеть , щелкните Общедоступная сеть , а затем измените его на Домашняя сеть .

    -или-

    В Windows Vista, если для категории «Сеть» (в разделе Сведения о сети ) задано значение Общедоступная сеть , щелкните Изменить , а затем щелкните Частная .

Состояние клиента Windows HLK меняется с Сброс на Готов , и это действие переустанавливает клиент Windows HLK на компьютере.

Устранение неполадок в среде Windows HLK

.

Устранение проблем с регистрацией устройств Windows в Microsoft Intune - Intune

  • 15 минут на чтение

В этой статье

Эта статья помогает администраторам Intune понять и устранить проблемы при регистрации устройств Windows в Intune.

Предварительные требования

Прежде чем приступить к устранению неполадок, важно собрать некоторую основную информацию.Эта информация может помочь вам лучше понять проблему и сократить время на поиск решения.

Соберите следующую информацию о проблеме:

  • Назначена ли пользователю действующая лицензия Intune? Прежде чем пользователи смогут зарегистрировать свои устройства, им должна быть назначена необходимая лицензия.
  • Установлено ли последнее обновление на устройстве Windows? Некоторые функции Intune работают только с последней версией Windows. Есть много исправлений для известных проблем, доступных через Центр обновления Windows.Применение всех последних обновлений часто решает проблему регистрации устройства Windows.
  • Какое точное сообщение об ошибке?
  • Где вы видите сообщение об ошибке?
  • Когда возникла проблема? Регистрация когда-нибудь работала?
  • На какой платформе (Android, iOS / iPadOS, Windows) возникает проблема?
  • Сколько пользователей пострадали? Затронуты все пользователи или только некоторые?
  • Сколько устройств затронуто? Все устройства затронуты или только некоторые?
  • Что такое орган управления мобильными устройствами (MDM)?
  • Как происходит зачисление? Это «Принесите свое собственное устройство» (BYOD) или Apple Automated Device Enrollment (ADE) с профилями регистрации?

Сообщения об ошибках

Этот пользователь не авторизован для регистрации.

Ошибка 0x801c003: «Этот пользователь не авторизован для регистрации. Вы можете попробовать сделать это снова или сообщить системному администратору код ошибки (0x801c0003)». Ошибка 80180003: «Что-то пошло не так. Этот пользователь не авторизован для регистрации. Вы можете попробовать сделать это еще раз или обратиться к системному администратору с кодом ошибки 80180003.»

Причина: Любое из следующих условий:

  • Пользователь уже зарегистрировал максимальное количество устройств, разрешенное в Intune.
  • Устройство заблокировано из-за ограничений типа устройства.
  • На компьютере установлена ​​Windows 10 Домашняя. Однако регистрация в Intune или присоединение к Azure AD поддерживается только в Windows 10 Pro и более поздних версиях.
Разрешение

Есть несколько возможных решений этой проблемы:

Удалить зарегистрированные устройства
  1. Войдите в центр администрирования Microsoft Endpoint Manager.
  2. Перейти к Пользователи > Все пользователи .
  3. Выберите учетную запись затронутого пользователя, а затем щелкните Устройства .
  4. Выберите любые неиспользуемые или ненужные устройства, а затем нажмите Удалить .
Увеличить предел регистрации устройства

Примечание

Этот метод увеличивает предел регистрации устройства для всех пользователей, а не только для затронутого пользователя.

  1. Войдите в центр администрирования Microsoft Endpoint Manager.
  2. Перейти к устройствам > Ограничения регистрации > По умолчанию (ниже Ограничения по количеству устройств )> Свойства > Изменить (рядом с Ограничение устройств )> увеличить ограничение устройств (максимум 15) > Просмотр и сохранение .
Проверить ограничения типа устройства
  1. Войдите в центр администрирования Microsoft Endpoint Manager с учетной записью глобального администратора.

  2. Перейдите к Устройства > Ограничения регистрации , а затем выберите ограничение по умолчанию в разделе Ограничения типа устройства .

  3. Выберите платформы , а затем выберите Разрешить для Windows (MDM) .

    Важно

    Если текущая настройка уже Разрешить , измените ее на Блок , сохраните настройку, а затем снова измените ее на Разрешить и снова сохраните настройку. Это сбрасывает настройки регистрации.

  4. Подождите примерно 15 минут, а затем снова зарегистрируйте затронутое устройство.

Обновление Windows 10 Home

Обновите Windows 10 Домашняя до Windows 10 Pro или более поздней версии.

Этому пользователю не разрешено регистрироваться.

Ошибка 0x801c0003: «Этому пользователю не разрешено регистрироваться. Вы можете попробовать еще раз или обратиться к системному администратору с кодом ошибки 801c0003».

Причина: Пользователи могут присоединять устройства к Azure AD. Для параметра установлено значение Нет . Это не позволяет новым пользователям присоединять свои устройства к Azure AD. Поэтому регистрация в Intune не выполняется.

Разрешение
  1. Войдите на портал Azure как администратор.
  2. Перейдите к Azure Active Directory > Устройства > Настройки устройства .
  3. Установить Пользователи могут присоединять устройства к Azure AD с по Все .
  4. Зарегистрируйте устройство еще раз.

Устройство уже зарегистрировано.

Ошибка 8018000a: «Что-то пошло не так. Устройство уже зарегистрировано. Вы можете связаться со своим системным администратором и сообщить код ошибки 8018000a».

Причина: Выполняется одно из следующих условий:

  • Другой пользователь уже зарегистрировал устройство в Intune или присоединил устройство к Azure AD.Чтобы определить, так ли это, перейдите к Настройки > Учетные записи > Рабочий доступ . Найдите сообщение, подобное . Другой пользователь системы уже подключен к работе или учебе. Удалите соединение с работой или учебным заведением и повторите попытку.
Разрешение

Используйте один из следующих методов для решения этой проблемы:

Удалить другую рабочую или учебную учетную запись
  1. Выйдите из Windows, затем войдите, используя другую учетную запись, которая зарегистрировала или присоединила устройство.
  2. Перейдите в раздел «Настройки » > Учетные записи > Рабочий доступ , затем удалите рабочую или учебную учетную запись.
  3. Выйдите из Windows, затем войдите, используя свою учетную запись.
  4. Зарегистрируйте устройство в Intune или присоедините устройство к Azure AD.

Эта учетная запись не разрешена на этом телефоне.

Ошибка: "Эта учетная запись не разрешена на этом телефоне. Убедитесь, что предоставленная вами информация верна, а затем повторите попытку или запросите поддержку у своей компании.«

Причина: У пользователя, который пытался зарегистрировать устройство, нет действующей лицензии Intune.

Разрешение

Назначьте пользователю действующую лицензию Intune, а затем зарегистрируйте устройство.

Похоже, что конечная точка условий использования MDM настроена неправильно.

Причина: Выполняется одно из следующих условий:

  • На клиенте используются как MDM для Microsoft 365, так и Intune. А у пользователя, который пытается зарегистрировать устройство, нет действующей лицензии Intune или лицензии Office 365.В этой ситуации может появиться следующее сообщение об ошибке:

    Что-то пошло не так.
    Похоже, мы не можем подключиться к URL-адресу условий использования MDM вашей организации. Повторите попытку или обратитесь к системному администратору с информацией о проблеме с этой страницы.

  • Условия использования MDM в Azure AD не указаны или содержат неправильный URL-адрес.

Разрешение

Чтобы устранить эту проблему, используйте один из следующих методов:

Назначьте действующую лицензию пользователю

Перейдите в Центр администрирования Microsoft 365 и назначьте пользователю лицензию на Intune или Microsoft 365.

Исправьте условия использования MDM URL
  1. Войдите на портал Azure и выберите Azure Active Directory .
  2. Выберите Mobility (MDM и MAM) , а затем щелкните Microsoft Intune .
  3. Выберите Восстановить URL-адреса MDM по умолчанию , убедитесь, что URL-адрес условий использования MDM установлен на https://portal.manage.microsoft.com/TermsofUse.aspx .
  4. Выберите Сохранить .

Что-то пошло не так.

Ошибка 80180026: «Что-то пошло не так. Убедитесь, что вы используете правильную информацию для входа и что ваша организация использует эту функцию. Вы можете попробовать сделать это еще раз или связаться с системным администратором, указав код ошибки 80180026.»

Причина: Эта ошибка может возникнуть при попытке присоединить компьютер с Windows 10 к Azure AD, и выполняются оба следующих условия:

  • Автоматическая регистрация MDM включена в Azure.
  • Программный клиент Intune для ПК (агент Intune для ПК) установлен на компьютере с Windows 10.
Разрешение

Используйте один из следующих методов для решения этой проблемы:

Отключить автоматическую регистрацию MDM в Azure.
  1. Войдите на портал Azure.
  2. Перейдите к Azure Active Directory > Мобильность (MDM и MAM) > Microsoft Intune .
  3. Установите MDM User scope to None , а затем нажмите Save .
Удалить

Удалите агент клиента программного обеспечения Intune для ПК с компьютера.

Программное обеспечение не может быть установлено.

Ошибка: «Не удается установить программное обеспечение, 0x80cf4017».

Причина: Клиентское программное обеспечение устарело.

Разрешение
  1. Войдите на https://admin.manage.microsoft.com.
  2. Перейдите к Admin > Загрузка клиентского программного обеспечения , а затем щелкните Загрузить клиентское программное обеспечение .
  3. Сохраните установочный пакет, а затем установите клиентское программное обеспечение.

Сертификат учетной записи недействителен и может быть просрочен.

Ошибка: «Сертификат учетной записи недействителен и может быть просрочен, 0x80cf4017».

Причина: Клиентское программное обеспечение устарело.

Разрешение
  1. Войдите на https://admin.manage.microsoft.com.
  2. Перейдите к Admin > Загрузка клиентского программного обеспечения , а затем щелкните Загрузить клиентское программное обеспечение .
  3. Сохраните установочный пакет, а затем установите клиентское программное обеспечение.

Ваша организация не поддерживает эту версию Windows.

Ошибка: «Возникла проблема. Ваша организация не поддерживает эту версию Windows. (0x80180014)»

Причина: Регистрация Windows MDM отключена в вашем клиенте Intune.

Разрешение

Чтобы устранить эту проблему в автономной среде Intune, выполните следующие действия:

  1. В центре администрирования Microsoft Endpoint Manager выберите Устройства > Ограничения регистрации > выберите ограничение типа устройства.
  2. Выберите Свойства > Изменить (рядом с настройками платформы )> Разрешить для Windows (MDM) .
  3. Щелкните Просмотр и сохранение .

Ошибка установки во время массовой регистрации.

Причина: Учетные записи пользователей Azure AD в пакете учетных записей (Package_GUID) для соответствующего пакета подготовки не могут присоединять устройства к Azure AD. Эти учетные записи Azure AD создаются автоматически при настройке пакета подготовки с помощью конструктора конфигураций Windows (WCD) или приложения Set up School PCs .Затем эти учетные записи используются для присоединения устройств к Azure AD.

Разрешение
  1. Войдите на портал Azure как администратор.

  2. Перейдите в Azure Active Directory> Устройства> Настройки устройства .

  3. Установить Пользователи могут присоединять устройства к Azure AD с по Все или Выбрано .

    Если вы выбрали Selected , щелкните Selected , а затем нажмите Добавить участников , чтобы добавить всех пользователей, которые могут присоединять свои устройства к Azure AD.Убедитесь, что все учетные записи Azure AD для пакета подготовки добавлены.

Дополнительные сведения о создании пакета подготовки для конструктора конфигураций Windows см. В разделе Создание пакета подготовки для Windows 10.

Дополнительные сведения о приложении Настройка школьных компьютеров см. В разделе Использование приложения «Настройка школьных компьютеров».

Автоматическая регистрация в MDM: сбой

При попытке автоматически зарегистрировать устройство Windows 10 с помощью групповой политики возникают следующие проблемы:

Причина: Выполняется одно из следующих условий:

  • UPN содержит непроверенный или немаршрутизируемый домен, например .местный (например, [email protected]).
  • Область действия пользователя MDM установлена ​​на Нет .
Разрешение

Если UPN содержит непроверенный или немаршрутизируемый домен, выполните следующие действия:

  1. На сервере, на котором запущены доменные службы Active Directory (AD DS), откройте Пользователи и компьютеры Active Directory , набрав dsa.msc в диалоговом окне Выполнить , а затем нажмите ОК .

  2. Щелкните Пользователи в своем домене и выполните следующие действия:

    • Если затронут только один пользователь, щелкните его правой кнопкой мыши и выберите Свойства .На вкладке Учетная запись в раскрывающемся списке суффикс UPN в разделе Имя пользователя для входа выберите допустимый суффикс UPN, например contoso.com, а затем нажмите OK .
    • Если есть несколько затронутых пользователей, выберите пользователей, в меню Действие щелкните Свойства . На вкладке Учетная запись установите флажок суффикс UPN , выберите допустимый суффикс UPN, например contoso.com, в раскрывающемся списке, а затем нажмите ОК .
  3. Дождитесь следующей синхронизации. Или принудительно выполните дельта-синхронизацию с сервера синхронизации, выполнив следующие команды в командной строке PowerShell с повышенными привилегиями:

      Импорт-модуль ADSync Start-ADSyncSyncCycle -PolicyType Delta  

Если Область действия пользователя MDM установлена ​​на Нет , выполните следующие действия:

  1. Войдите на портал Azure и выберите Azure Active Directory .
  2. Выберите Mobility (MDM и MAM) , а затем выберите Microsoft Intune .
  3. Установить MDM user scope на Все . Или установите пользовательскую область MDM с на Некоторые и выберите группы, которые могут автоматически регистрировать свои устройства с Windows 10.
  4. Установить МАМ Область пользователя с по Нет .

Ошибка при создании профиля автопилота.

Причина: Указанный формат наименования шаблона имени устройства не соответствует требованиям. Например, вы используете строчные буквы для последовательного макроса, например% serial% вместо% SERIAL%.

Разрешение

Убедитесь, что формат наименования соответствует следующим требованиям:

  • Создайте уникальное имя для своих устройств. Имена должны содержать не более 15 символов и могут содержать буквы (a – z, A – Z), цифры (0–9) и дефисы (-).
  • Имена не могут состоять только из чисел.
  • Имена не могут содержать пробелов.
  • Используйте макрос% SERIAL%, чтобы добавить зависящий от оборудования серийный номер. Или используйте макрос% RAND: <# of digits>%, чтобы добавить случайную строку чисел, строка содержит <# of digits> цифр.Например, MYPC-% RAND: 6% генерирует имя, такое как MYPC-123456.

Что-то пошло не так. OOBEIDPS.

Причина: Эта проблема возникает, если прокси-сервер, брандмауэр или другое сетевое устройство блокируют доступ к поставщику удостоверений (IdP).

Разрешение

Убедитесь, что необходимый доступ к интернет-службам для автопилота не заблокирован. Дополнительные сведения см. В разделе Требования к сети для автопилота Windows.

Регистрация устройства автопилота завершилась ошибкой HRESULT = 0x80180022

Причина: Подготавливаемое устройство работает под управлением Windows Home Edition

Разрешение

Обновите устройство до версии Pro или выше

Регистрация вашего устройства для управления мобильными устройствами (Ошибка: 3, 0x801C03EA).

Причина: В устройстве есть микросхема TPM, поддерживающая версию 2.0, но еще не обновленная до версии 2.0.

Разрешение

Обновите микросхему TPM до версии 2.0.

Если проблема не устранена, проверьте, входит ли одно и то же устройство в две назначенные группы, причем каждой группе назначен другой профиль автопилота. Если он разделен на две группы, определите, какой профиль автопилота следует применить к устройству, а затем удалите назначение другого профиля.

Дополнительные сведения о развертывании устройства Windows в режиме киоска с помощью автопилота см. В разделе Развертывание киоска с помощью автопилота Windows.

Защита вашего оборудования (Ошибка: 0x800705b4).

Ошибка 800705b4:

  Защита вашего оборудования (Ошибка: 0x800705b4) Присоединение к сети вашей организации (предыдущий шаг не прошел) Регистрация вашего устройства для управления мобильными устройствами (предыдущий шаг не прошел)  

Причина: Целевое устройство Windows не соответствует ни одному из следующих требований:

  • На устройстве должен быть физический TPM 2.0 чип. Устройства с виртуальными TPM (например, виртуальные машины Hyper-V) или микросхемы TPM 1.2 не работают в режиме самостоятельного развертывания.
  • На устройстве должна быть установлена ​​одна из следующих версий Windows:
    • Windows 10 build 1709 или более поздняя версия.
    • Если используется гибридное присоединение к Azure AD, Windows 10 build 1809 или более поздняя версия.
Разрешение

Убедитесь, что целевое устройство соответствует обоим требованиям, описанным в разделе Причина .

Дополнительные сведения о развертывании устройства Windows в режиме киоска с помощью автопилота см. В разделе Развертывание киоска с помощью автопилота Windows.

Что-то пошло не так. Код ошибки 80070774.

Ошибка 0x80070774: что-то пошло не так. Убедитесь, что вы используете правильную информацию для входа и что ваша организация использует эту функцию. Вы можете попробовать сделать это еще раз или обратиться к системному администратору с кодом ошибки 80070774.

Эта проблема обычно возникает до перезапуска устройства в сценарии гибридного автопилота Azure AD, когда время ожидания устройства истекает во время начального экрана входа.Это означает, что контроллер домена не может быть найден или успешно достигнут из-за проблем с подключением. Или устройство перешло в состояние, которое не может присоединиться к домену.

Причина: Наиболее частая причина заключается в том, что используется гибридное присоединение к Azure AD, а функция «Назначить пользователя» настроена в профиле автопилота. Использование функции «Назначить пользователя» выполняет присоединение к Azure AD на устройстве во время начального экрана входа. Это переводит устройство в состояние, которое не может присоединиться к вашему локальному домену.Таким образом, функцию «Назначить пользователя» следует использовать только в стандартных сценариях автопилота присоединения к Azure AD. Эту функцию не следует использовать в сценариях гибридного присоединения к Azure AD.

Другой возможной причиной этой ошибки является удаление устройства AzureAD, связанного с объектом автопилота. Чтобы решить эту проблему, удалите объект «Автопилот» и повторно импортируйте хэш, чтобы сгенерировать новый.

Разрешение
  1. В центре администрирования Microsoft Endpoint Manager выберите> Устройства > Windows > Устройства Windows .
  2. Выберите устройство, на котором возникла проблема, а затем щелкните многоточие (…) справа.
  3. Выберите Отменить назначение пользователя и дождитесь завершения процесса.
  4. Перед повторной попыткой OOBE убедитесь, что профиль гибридного автопилота Azure AD назначен.
Второе разрешение

Если проблема не устранена, на сервере, на котором размещен коннектор присоединения к автономному домену Intune, проверьте, зарегистрировано ли событие с кодом 30312 в журнале службы коннектора ODJ.Событие 30312 напоминает следующее событие:

 Имя журнала : Служба соединителя ODJ Источник: Источник службы коннектора ODJ ID события: 30132 Уровень: Ошибка Описание: { "Метрика": { "Габаритные размеры":{ "RequestId": "", "DeviceId": "", «DomainName»: «contoso.com», «ErrorCode»: «5», «RetryCount»: «1», "ErrorDescription": "Не удалось получить BLOB-объект ODJ.Коннектор ODJ не имеет достаточных прав для завершения операции ", "InstanceId": "", «DiagnosticCode»: «0x00000800», «DiagnosticText»: «Не удалось получить BLOB-объект ODJ. Коннектор ODJ не имеет достаточных прав для завершения операции [Сообщение об исключении: \" DiagnosticException: 0x00000800. Не удалось получить ODJ Blob. У соединителя ODJ недостаточно прав для выполнения операции \ "] [Сообщение об исключении: \" Не удалось вызвать NetProvisionComputerAccount machineName =  \ "]" }, "Имя": "RequestOfflineDomainJoinBlob_Failure", «Значение»: 0 } }  

Эта проблема обычно возникает из-за неправильного делегирования разрешений организационному подразделению, в котором созданы устройства Windows Autopilot.Дополнительные сведения см. В разделе Увеличение лимита учетной записи компьютера в организационном подразделении.

  1. Открыть Пользователи и компьютеры Active Directory (DSA.msc) .
  2. Щелкните правой кнопкой мыши подразделение, которое вы будете использовать для создания гибридных компьютеров, подключенных к Azure AD> Управление делегатами .
  3. В мастере передачи управления выберите Далее > Добавить > Типы объектов .
  4. На панели Типы объектов установите флажок Компьютеры > ОК .
  5. На панели Выбор пользователей , Компьютеры или Группы в поле Введите имена объектов для выбора введите имя компьютера, на котором установлен Connector.
  6. Выберите Проверить имена для подтверждения ввода> ОК > Далее .
  7. Выберите Создайте настраиваемую задачу для делегирования > Далее .
  8. Установите флажок Только следующие объекты в папке , а затем установите флажки Компьютерные объекты , Создать выбранные объекты в этой папке и Удалить выбранные объекты в этой папке .
  9. Выбрать Далее .
  10. В разделе Разрешения установите флажок Полный доступ . Это действие выбирает все остальные параметры.
  11. Выбрать Далее > Завершить .

Время ожидания страницы состояния регистрации истекает до появления экрана входа

Причина: Эта проблема может возникнуть, если выполняются все следующие условия:

  • Вы используете страницу состояния регистрации для отслеживания приложений Microsoft Store для бизнеса.
  • У вас есть политика условного доступа Azure AD, которая использует устройство Require, чтобы пометить его как совместимый элемент управления .
  • Политика применяется ко всем облачным приложениям и Windows.
Разрешение

Попробуйте один из следующих методов:

  • Нацелите свои политики соответствия Intune на устройства. Убедитесь, что соответствие может быть определено до того, как пользователь войдет в систему.
  • Используйте автономное лицензирование для приложений магазина. Таким образом, клиенту Windows не нужно проверять Microsoft Store перед определением соответствия устройства.

Следующие шаги

.

Получите помощь при ошибках активации Windows

Windows сообщила, что аппаратное обеспечение вашего устройства изменилось.

0xC004F211

Лицензия Windows связана с оборудованием вашего устройства. Если вы внесете значительные изменения в оборудование, например замените материнскую плату, Windows не сможет найти соответствующую лицензию при следующем запуске устройства.Если на устройстве была предустановлена ​​Windows, и вы внесли изменения, например заменили материнскую плату, вам понадобится новая лицензия.

Чтобы приобрести новую лицензию Windows, Запустите > Настройки > Обновление и безопасность > Активация , а затем выберите Перейти в Microsoft Store .
Откройте настройки активации

Если у вас есть ключ продукта Windows, который вы использовали на вашем устройстве до смены оборудования, введите его, выбрав Пуск > Настройки > Обновление и безопасность > Активация , а затем выберите Изменить ключ продукта .

Кроме того, Microsoft предоставляет путь исключения для передачи лицензии Windows после смены оборудования. Перед заменой оборудования вам необходимо войти в ту же учетную запись Microsoft и использовать путь исключения.

Чтобы получить доступ к этому пути исключения, выберите Start > Settings > Update & Security > Activation , а затем выберите Troubleshoot .Если средство устранения неполадок не может решить проблему, вы увидите ссылку для повторной активации после замены оборудования. Выберите его, чтобы следовать по этому пути. Дополнительные сведения см. В разделе «Повторная активация Windows 10 после смены оборудования».

Ключ продукта, используемый на этом устройстве, не работал с этим выпуском Windows. Возможно, вам потребуется связаться с магазином или компанией, в которой вы купили Windows, ввести другой ключ продукта или перейти в Магазин, чтобы купить подлинную Windows.

0xC004F212

При переустановке Windows 10 с цифровой лицензией вам будет предложено выбрать, какой выпуск установить. Если вы выберете версию, отличную от той, на использование которой у вас есть лицензия, вы можете получить эту ошибку.

Если вы считаете, что установили неправильную версию, выберите Start > Settings > Update & Security > Activation , а затем выберите Troubleshoot .Если средство устранения неполадок обнаружит действительную цифровую лицензию Windows 10 для выпуска, который в настоящее время не установлен, оно сообщит вам об этом и покажет, как установить правильный выпуск.
Откройте настройки активации

Windows сообщила, что на вашем устройстве не найден ключ продукта.

0xC004F213

Лицензия Windows связана с оборудованием вашего устройства.Если вы внесете значительные изменения в оборудование, например замените материнскую плату, Windows не сможет найти соответствующую лицензию при следующем запуске устройства. Если на устройстве была предустановлена ​​Windows, и вы внесли изменения, например заменили материнскую плату, вам понадобится новая лицензия.

Чтобы приобрести новую лицензию Windows, выберите Пуск > Настройки > Обновление и безопасность > Активация , а затем выберите Перейти в Microsoft Store .
Откройте настройки активации

Если у вас есть ключ продукта Windows, который вы использовали на вашем устройстве до смены оборудования, введите его, выбрав Пуск > Настройки > Обновление и безопасность > Активация , а затем выберите Изменить ключ продукта .

Кроме того, Microsoft предоставляет путь исключения для передачи лицензии Windows после смены оборудования.Перед заменой оборудования вам необходимо войти в ту же учетную запись Microsoft и использовать путь исключения.

Чтобы получить доступ к этому пути исключения, выберите Start > Settings > Update & Security > Activation , а затем выберите Troubleshoot . Если средство устранения неполадок не может решить проблему, вы увидите ссылку для повторной активации после замены оборудования. Выберите его, чтобы следовать по этому пути.Дополнительные сведения см. В разделе «Повторная активация Windows 10 после смены оборудования».

Предупреждение «Срок действия вашей лицензии Windows скоро истечет»

Это может произойти, если у вас установлен клиент корпоративной лицензии. Клиенты с корпоративной лицензией Windows 10 Pro используются крупными организациями, которые развертывают Windows 10 на сотнях или тысячах компьютеров.

В этой ситуации активацией обычно управляет ваша организация, и вам необходимо обратиться за помощью к системному администратору. Для получения дополнительной информации см. Устранение проблем с истечением срока действия лицензии Windows.

0x803f7001

Если вы видите код ошибки 0x803F7001, это означает, что не удалось найти действующую лицензию Windows 10 для активации Windows на вашем устройстве.Вот как активировать Windows:

  1. Выберите Пуск > Настройки > Обновление и безопасность > Активация .

  2. Если у вас есть действующий ключ продукта, выберите Изменить ключ продукта , а затем введите 25-значный ключ продукта. Если у вас нет действующего ключа продукта, выберите Перейти в Microsoft Store и следуйте инструкциям, чтобы купить цифровую лицензию для Windows.
    Открыть настройки активации

Примечание: Ваш ключ продукта должен быть в электронном письме с подтверждением, которое вы получили после покупки Windows, включенном в комплект поставки вашего устройства, или в сертификате подлинности (COA), прикрепленном к задней или нижней части устройства.

Чтобы узнать, как найти ключ продукта, см. Раздел Поиск ключа продукта Windows.

Для получения дополнительной информации о том, как устранить ошибку с кодом 0x803F7001, см. Исправление ошибки активации Windows 10 0x803F7001.

0x800704cF

Эта ошибка означает, что мы не нашли действующую лицензию Windows для вашего устройства.

Для активации Windows необходимо использовать действующий ключ продукта. Ключ продукта должен быть в электронном письме с подтверждением, которое вы получили после покупки Windows, включенном в упаковку, поставляемую с вашим устройством, или в сертификате подлинности (COA), прикрепленном к задней или нижней части вашего устройства.

Чтобы узнать, как найти ключ продукта, см. Раздел Поиск ключа продукта Windows.

Если у вас есть действующий ключ продукта, используйте его для активации Windows:

  1. Выберите Пуск > Настройки > Обновление и безопасность > Активация .

  2. Выберите Изменить ключ продукта , а затем введите 25-значный ключ продукта.
    Открыть настройки активации

Если вы внесли серьезные изменения в оборудование своего устройства, например заменили материнскую плату, запустите средство устранения неполадок активации Windows, расположенное на странице параметров активации. Обратите внимание, что вас могут попросить пройти процесс повторной активации. Для получения дополнительной информации см. Использование средства устранения неполадок активации.

0xC004C060, 0xC004C4A2, 0xC004C4A2, 0x803FA067L, 0xC004C001, 0xC004C004, 0xC004F004, 0xC004C007, 0xC004F005, 0xC004C00F, 0xC004C010, 0xC004C00E, 0xC004C4A4, 0xC004C4A5, 0xC004B001, 0xC004F010, 0xC004F050

Причины, по которым вы можете увидеть эти ошибки:

  • Вы ввели ключ продукта, который нельзя использовать для активации Windows.Введите другой ключ продукта или купите новый ключ продукта.

  • Вы обновились до Windows 10, но серверы активации были заняты. Если вы обновились с активированной копии Windows 7 или Windows 8.1, ваша копия Windows 10 будет автоматически активирована, или вы можете немного подождать, а затем выбрать Активировать . Если у вас по-прежнему возникают проблемы с активацией, обратитесь в службу поддержки.

  • Вы обновились до Windows 10 с помощью предложения бесплатного обновления, но Windows 10 не активируется после переустановки.Ваша копия Windows 10 должна быть активирована автоматически, если вы не внесли в устройство каких-либо значительных изменений оборудования (например, замены материнской платы). Если у вас по-прежнему возникают проблемы с активацией, обратитесь в службу поддержки.

0xC004C003

Вы можете увидеть эту ошибку, потому что введенный вами ключ продукта Windows 10 недействителен.Ключи продуктов уникальны - назначаются конкретному пользователю для установки на одном устройстве. Если ключ использовался (или пытались использовать) на нескольких устройствах, он помечается как недействительный. Чтобы активировать Windows, вам нужно будет предоставить другой ключ Windows, уникальный для вашего устройства.

Если вы купили устройство у продавца Windows 10 и ожидали, что ключ будет действительным, обратитесь к торговому посреднику. Если ваше устройство было приобретено с предустановленной Windows 10 и вы получили эту ошибку активации при первом включении, обратитесь к производителю устройства.

Если ваш опыт работы с вашим устройством отличается от перечисленных выше, попробуйте следующее:

  • Запустите средство устранения неполадок активации Windows 10: выберите Пуск > Параметры > Обновление и безопасность > Активация , а затем выберите Устранение неполадок .
    Открыть настройки активации

  • Убедитесь, что у вас есть бумажная копия 25-значного ключа продукта Windows, которую вы можете ввести для активации Windows 10.

  • Если ваше устройство недавно было отремонтировано в независимой ремонтной мастерской, свяжитесь с ними, чтобы узнать, требуется ли для ремонта новая лицензия на Windows 10.

  • Если устройство новое и никогда не активировалось, обратитесь к производителю устройства.

0xC004F034

Эта ошибка может появиться, если вы ввели неверный ключ продукта или ключ продукта для другой версии Windows.

Введите действительный ключ продукта, который соответствует версии и выпуску Windows 10, установленной на вашем устройстве.

Если Windows установлена ​​на устройстве, которое подключается к серверу службы управления ключами (KMS), обратитесь в службу поддержки вашей организации за дополнительной информацией о том, как активировать Windows.

0xC004F210

Вы можете увидеть эту ошибку, если вы ввели ключ продукта для выпуска Windows, отличного от выпуска, установленного на вашем устройстве.Вы также можете увидеть эту ошибку, если ранее выполняли обновление до Windows 10, но текущая версия Windows, установленная на вашем устройстве, не соответствует выпуску вашей цифровой лицензии.

Вы можете ввести действительный ключ продукта, соответствующий выпуску Windows, установленному на вашем устройстве, или переустановить выпуск Windows 10, соответствующий вашей цифровой лицензии.

Если ваше устройство работает под управлением Windows 10 (версия 1607 или более поздняя), средство устранения неполадок активации может помочь вам установить правильную версию Windows на вашем устройстве.Для получения дополнительной информации см. Использование средства устранения неполадок активации.

0xC004E016, 0xC004F210

Вы можете увидеть эту ошибку, если ввели ключ продукта для другой версии или выпуска Windows. Например, ключ продукта для выпуска Windows 10 Enterprise нельзя использовать для активации выпусков Windows 10 Home или Windows 10 Core.

Введите ключ продукта, соответствующий версии и выпуску Windows, установленной на вашем устройстве, или купите новую копию Windows в Microsoft Store.

0xC004FC03

Вы можете увидеть эту ошибку, если вы не подключены к Интернету или настройки брандмауэра не позволяют Windows завершить процесс активации через Интернет.

Убедитесь, что вы подключены к Интернету и ваш брандмауэр не блокирует активацию Windows. Если проблемы по-прежнему возникают, попробуйте активировать Windows по телефону. В поле поиска на панели задач введите SLUI 04 , выберите SLUI 04 из списка результатов, а затем следуйте инструкциям на экране, чтобы активировать Windows.

0xC004E028

Вы можете увидеть эту ошибку, если попытаетесь активировать устройство, которое уже находится в процессе активации.Ваше устройство должно быть активировано после выполнения первого запроса.

0x8007267C

Вы можете увидеть эту ошибку, если вы не подключены к Интернету или сервер активации временно недоступен. Убедитесь, что вы подключены к Интернету и ваш брандмауэр не блокирует активацию Windows.

0xD0000272, 0xC0000272, 0xc004C012, 0xC004C013, 0xC004C014

Если сервер активации временно недоступен, ваша копия Windows будет автоматически активирована, когда служба снова подключится к сети.

0xC004C008, 0xC004C770, 0x803FA071

Вы можете увидеть эту ошибку, если ключ продукта уже использовался на другом устройстве или он используется на большем количестве устройств, чем позволяют условия лицензии на программное обеспечение Microsoft.Чтобы решить эту проблему, купите ключ продукта для каждого из ваших устройств, чтобы активировать на них Windows.

Если вы используете Windows 10, вы можете купить Windows в Microsoft Store:

  1. Выберите Пуск > Настройки > Обновление и безопасность > Активация .

  2. Выберите Перейдите в Microsoft Store , затем следуйте инструкциям, чтобы купить Windows 10.
    Открыть настройки активации

Примечания:

  • Если вы не видите Перейти в Microsoft Store на странице активации, обратитесь в службу поддержки вашей организации.

  • Если вы внесли существенные изменения в оборудование своего устройства (например, заменили материнскую плату) и у вас есть действующий ключ продукта, попробуйте активировать Windows по телефону.В поле поиска на панели задач введите SLUI 04 , выберите SLUI 04 из списка результатов, а затем следуйте инструкциям на экране, чтобы активировать Windows. Дополнительные сведения о повторной активации Windows 10 (версии 1607 или более поздней) после изменения оборудования см. В разделе Повторная активация Windows 10 после изменения оборудования.

  • Если вы используете Windows 10 Pro EDU или Windows 10 Pro для рабочих станций, вы должны активировать Windows через Интернет - активацию по телефону и SLUI 04 использовать нельзя.Узнайте больше о Windows 10 Pro EDU или Windows 10 Pro для рабочих станций.

0xC004F00F

Вы можете увидеть эту ошибку, если ввели ключ продукта для корпоративной версии Windows, чтобы активировать Windows 10 Домашняя или Windows 10 Pro. Введите ключ продукта, соответствующий выпуску Windows на вашем устройстве.

0xC004C020

Эта ошибка возникает, когда корпоративная лицензия (лицензия, которая была куплена у Microsoft организацией для установки Windows на несколько устройств) использовалась на большем количестве устройств, чем позволяют условия лицензии на программное обеспечение Microsoft. Чтобы решить эту проблему, вам может потребоваться другой ключ продукта для активации Windows на вашем устройстве.Свяжитесь со службой поддержки вашей организации для получения дополнительной информации.

0x8007232B, 0xC004F074, 0xC004F038, 0x8007007B

  • Вы можете увидеть эту ошибку, если ввели ключ продукта для корпоративной версии Windows, чтобы активировать Windows 10 Домашняя или Windows 10 Pro. Попробуйте ввести ключ продукта, соответствующий выпуску Windows на вашем устройстве.

  • Или вы можете увидеть эту ошибку, если пытаетесь активировать рабочее устройство, но не подключены к сети вашего рабочего места. Если вы подключены к своей рабочей сети и по-прежнему видите эту ошибку, возможно, вам нужно изменить настройки сети. Свяжитесь со службой поддержки вашей организации для получения дополнительной информации.

  • Если в вашей организации нет сотрудника службы поддержки, вам может потребоваться снова ввести ключ продукта:

  1. Выберите Пуск > Настройки > Обновление и безопасность > Активация .

  2. Выберите Изменить ключ продукта , а затем введите свой 25-значный ключ продукта.
    Открыть настройки активации

Вас могут попросить ввести пароль администратора или подтвердить свой выбор.

0x80072F8F

Вы можете увидеть эту ошибку, если дата и время для устройства неверны или Windows не может подключиться к службе онлайн-активации и не может проверить ваш ключ продукта.

Чтобы проверить дату и время, выберите Пуск > Настройки > Время и язык > Дата и время .
Проверьте дату и время в настройках

Для проверки подключения к Интернету:

  1. В поле поиска на панели задач введите средство устранения неполадок сети , затем выберите Выявление и устранение сетевых проблем из списка результатов.

  2. Следуйте инструкциям, чтобы исправить любые проблемы с сетью.

Если средство устранения неполадок сети не обнаружило проблем с сетевым подключением, попробуйте перезапустить устройство, чтобы проверить, решит ли это проблему.

0xC004E003

Вы можете увидеть эту ошибку после установки стороннего программного обеспечения, которое изменило системные файлы.Для активации Windows требуются определенные системные файлы. Вы можете попытаться восстановить системные файлы на более ранний момент времени. Это удалит все программное обеспечение, которое вы установили после этого момента, без ущерба для ваших личных файлов.

Дополнительные сведения см. В разделе о восстановлении из точки восстановления системы в параметрах восстановления в Windows 10.

0x80004005

Выберите Пуск > Настройки > Обновление и безопасность > Активация , а затем выберите Устранение неполадок , чтобы запустить средство устранения неполадок активации.Дополнительные сведения об инструменте устранения неполадок см. В разделе Использование средства устранения неполадок активации.

Открыть настройки активации

Если это не сработает, возможно, вам потребуется перезагрузить устройство. Дополнительные сведения см. В разделе Параметры восстановления в Windows10.

0x87e10bc6

Произошла ошибка нашего сервера активации или службы лицензирования.Подождите несколько минут, а затем попробуйте выполнить следующие действия по восстановлению лицензии Windows 10 Pro: Выберите Пуск > Параметры > Обновление и безопасность > Активация , а затем выберите Устранение неполадок , чтобы запустить средство устранения неполадок активации.
Открыть настройки активации

Когда средство устранения неполадок будет завершено, выберите Перейти в Microsoft Store , чтобы запустить приложение Microsoft Store.Если приложение Microsoft Store показывает, что возникла проблема, выберите Повторить попытку . Через несколько минут вы должны увидеть сообщение с благодарностью за активацию подлинной Windows, а затем еще одно сообщение, показывающее, что Windows была активирована.

Для получения дополнительной информации о средстве устранения неполадок см. Использование средства устранения неполадок активации.

0x80070652

Эта ошибка может возникнуть, если компоненты обновления отсутствуют или повреждены на компьютере.Эта ошибка также может возникать из-за плохого сетевого подключения, полученного системой.

Используйте средство устранения неполадок Центра обновления Windows, чтобы проверить наличие поврежденных или отсутствующих обновлений или компонентов. Запуск средства устранения неполадок поможет найти и в некоторых случаях устранить проблему.

Также проверьте мощность вашего интернет-соединения.

Все остальные коды ошибок

Перейдите в справку Windows, введите код ошибки в поле Search for Help вверху справа и запустите поиск.Внимательно просмотрите результаты поиска, чтобы убедиться, что вы пробуете только те, которые подходят для вашей ситуации.

.

Windows Admin Center Общие шаги по устранению неполадок

  • 8 минут на чтение

В этой статье

Применимо к: Windows Admin Center, Windows Admin Center Preview

Важно

Это руководство поможет вам диагностировать и решить проблемы, которые мешают вам использовать Windows Admin Center.Если у вас возникла проблема с конкретным инструментом, проверьте, нет ли у вас известной проблемы.

Установщик

не работает с сообщением: Не удалось загрузить модуль Microsoft.PowerShell.LocalAccounts.

Это может произойти, если путь к модулю PowerShell по умолчанию был изменен или удален. Чтобы решить эту проблему, убедитесь, что % SystemRoot% \ system32 \ WindowsPowerShell \ v1.0 \ Modules является первым элементом в вашей переменной среды PSModulePath.Вы можете добиться этого с помощью следующей строки PowerShell:

  [Environment] :: SetEnvironmentVariable ("PSModulePath", "% SystemRoot% \ system32 \ WindowsPowerShell \ v1.0 \ Modules;" + ([Environment] :: GetEnvironmentVariable ("PSModulePath", "User")), "User ")  

Я получаю Этот сайт / страница недоступна Ошибка в моем веб-браузере

Если вы установили Windows Admin Center как приложение в Windows 10

  • Убедитесь, что Windows Admin Center запущен.Найдите значок Windows Admin Center на панели задач или Windows Admin Center Desktop / SmeDesktop.exe в диспетчере задач. Если нет, запустите Windows Admin Center из меню «Пуск».

Примечание

После перезагрузки необходимо запустить Windows Admin Center из меню «Пуск».

  • Проверьте версию Windows

  • Убедитесь, что вы используете Microsoft Edge или Google Chrome в качестве веб-браузера.

  • Правильно ли вы выбрали сертификат при первом запуске?

    • Попробуйте открыть браузер в частном сеансе - если это сработает, вам нужно очистить кеш.
  • Вы недавно обновляли Windows 10 до новой сборки или версии?

Если вы установили Windows Admin Center в качестве шлюза на Windows Server

  • Проверьте версию Windows клиента и сервера.

  • Убедитесь, что вы используете Microsoft Edge или Google Chrome в качестве веб-браузера.

  • На сервере откройте Диспетчер задач> Службы и убедитесь, что работает ServerManagementGateway / Windows Admin Center .

  • Проверьте сетевое соединение со шлюзом (замените информацией из вашего развертывания)

      Test-NetConnection -Port  -ComputerName  -InformationLevel Подробный  

Если вы установили Windows Admin Center на виртуальной машине Azure Windows Server

Проверьте версию Windows

  • Откройте диалоговое окно запуска (Windows Key + R) и запустите winver .

  • Если вы используете Windows 10 версии 1703 или ниже, Windows Admin Center не поддерживается в вашей версии Microsoft Edge. Либо обновитесь до последней версии Windows 10, либо используйте Chrome.

  • Если вы используете предварительную версию Windows 10 или Server с версией сборки между 17134 и 17637, в Windows была ошибка, которая приводила к сбою Windows Admin Center. Пожалуйста, используйте текущую поддерживаемую версию Windows.

Убедитесь, что служба удаленного управления Windows (WinRM) запущена как на шлюзе, так и на управляемом узле

  • Откройте диалоговое окно запуска с помощью WindowsKey + R
  • Тип услуги.msc и нажмите ввод
  • В открывшемся окне найдите Удаленное управление Windows (WinRM), убедитесь, что он запущен и настроен на автоматический запуск

Вы обновляли свой сервер с 2016 по 2019?

Я получаю сообщение: «Невозможно безопасно подключиться к этой странице. Это может быть связано с тем, что сайт использует устаревшие или небезопасные настройки безопасности TLS.

Ваш компьютер ограничен соединениями HTTP / 2. Windows Admin Center использует встроенную проверку подлинности Windows, которая не поддерживается в HTTP / 2.Добавьте следующие два значения реестра в раздел HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Http \ Parameters на компьютере, на котором запущен браузер , чтобы удалить ограничение HTTP / 2:

  EnableHttp2Cleartext = dword: 00000000 EnableHttp2Tls = двойное слово: 00000000  

Для этих трех инструментов требуется протокол websocket, который обычно блокируется прокси-серверами и межсетевыми экранами. Если вы используете Google Chrome, существует известная проблема с веб-сокетами и аутентификацией NTLM.

Я могу подключиться к некоторым серверам, но не могу подключиться к другим

  • Войдите в систему на шлюзе локально и попробуйте Enter-PSSession <имя машины> в PowerShell, заменив <имя машины> на имя машины, которой вы пытаетесь управлять в Windows Admin Center.

  • Если в вашей среде используется рабочая группа вместо домена, см. Использование Windows Admin Center в рабочей группе.

  • Использование учетных записей локального администратора: Если вы используете локальную учетную запись пользователя, которая не является встроенной учетной записью администратора, вам потребуется включить политику на целевом компьютере, выполнив следующую команду в PowerShell или в командной строке как администратор на целевой машине:

      REG ДОБАВИТЬ HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v LocalAccountTokenFilterPolicy / t REG_DWORD / d 1  

Использование Windows Admin Center в рабочей группе

Какую учетную запись вы используете?

Убедитесь, что используемые учетные данные входят в группу локальных администраторов целевого сервера.В некоторых случаях WinRM также требует членства в группе «Пользователи удаленного управления». Если вы используете локальную учетную запись пользователя , а не встроенную учетную запись администратора , вам необходимо включить политику на целевом компьютере, выполнив следующую команду в PowerShell или в командной строке от имени администратора на целевом компьютере:

  REG ДОБАВИТЬ HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v LocalAccountTokenFilterPolicy / t REG_DWORD / d 1  

Вы подключаетесь к компьютеру рабочей группы в другой подсети?

Чтобы подключиться к компьютеру рабочей группы, который не находится в той же подсети, что и шлюз, убедитесь, что порт межсетевого экрана для WinRM (TCP 5985) разрешает входящий трафик на целевой машине.Вы можете запустить следующую команду в PowerShell или в командной строке от имени администратора на целевом компьютере, чтобы создать это правило брандмауэра:

Настроить TrustedHosts

При установке Windows Admin Center вам предоставляется возможность разрешить Windows Admin Center управлять настройкой TrustedHosts шлюза. Это требуется в среде рабочей группы или при использовании учетных данных локального администратора в домене. Если вы решите отказаться от этого параметра, вам необходимо настроить TrustedHosts вручную.

Чтобы изменить TrustedHosts с помощью команд PowerShell:

  1. Откройте сеанс администратора PowerShell.

  2. Просмотрите текущую настройку TrustedHosts:

      Get-Item WSMan: \ localhost \ Client \ TrustedHosts  

    Предупреждение

    Если текущая настройка вашего TrustedHosts не пуста, приведенные ниже команды перезапишут ваш параметр. Мы рекомендуем вам сохранить текущую настройку в текстовый файл с помощью следующей команды, чтобы вы могли восстановить ее при необходимости:

    Get-Item WSMan: localhost \ Client \ TrustedHosts | Исходящий файл C: \ OldTrustedHosts.txt

  3. Задайте для TrustedHosts NetBIOS, IP или полное доменное имя компьютеров, которые вы намерены управлять:

      Set-Item WSMan: localhost \ Client \ TrustedHosts -Value '192.168.1.1, server01.contoso.com, server02'  

    Подсказка

    Чтобы упростить установку всех TrustedHosts одновременно, можно использовать подстановочный знак.

      Set-Item WSMan: \ localhost \ Client \ TrustedHosts -Value '*'  
  4. Когда вы закончите тестирование, вы можете выполнить следующую команду из сеанса PowerShell с повышенными привилегиями, чтобы очистить настройку TrustedHosts:

      Очистить элемент WSMan: localhost \ Client \ TrustedHosts  
  5. Если вы ранее экспортировали свои настройки, откройте файл, скопируйте значения и используйте эту команду:

      Set-Item WSMan: localhost \ Client \ TrustedHosts -Value '<вставить значения из текстового файла>'  

Раньше у меня был установлен Windows Admin Center, и теперь ничто другое не может использовать тот же порт TCP / IP

Вручную запустите эти две команды в командной строке с повышенными привилегиями:

  netsh http удалить sslcert ipport = 0.0,0.0: 443 netsh http удалить urlacl url = https: // +: 443 /  

Функции Azure не работают должным образом в Edge

Edge имеет известные проблемы, связанные с зонами безопасности, которые влияют на вход в Azure в Windows Admin Center. Если у вас возникли проблемы с использованием функций Azure при использовании Edge, попробуйте добавить https://login.microsoftonline.com, https://login.live.com и URL-адрес вашего шлюза в качестве надежных сайтов и в разрешенные сайты для всплывающих окон Edge. настройте блокировщик в браузере на стороне клиента.

Для этого:

  1. Найдите Свойства обозревателя в меню «Пуск» Windows
  2. Перейдите на вкладку Безопасность
  3. Под опцией Надежные сайты нажмите кнопку сайтов и добавьте URL-адреса в открывшемся диалоговом окне.Вам нужно будет добавить URL-адрес вашего шлюза, а также https://login.microsoftonline.com и https://login.live.com.
  4. Перейдите на вкладку Конфиденциальность
  5. В разделе Блокировщик всплывающих окон нажмите кнопку Настройки и добавьте URL-адреса в открывшемся диалоговом окне. Вам нужно будет добавить URL-адрес вашего шлюза, а также https://login.microsoftonline.com и https://login.live.com.

Отправьте нам электронное письмо по адресу [email protected] со следующей информацией:

  • Общая информация о проблеме из вопросов, перечисленных ниже.
  • Опишите проблему и шаги, которые вы предприняли для ее воспроизведения.
  • Вы ранее регистрировали свой шлюз в Azure с помощью загружаемого сценария New-AadApp.ps1, а затем выполняли обновление до версии 1807? Или вы зарегистрировали свой шлюз в Azure с помощью пользовательского интерфейса в разделе Параметры шлюза> Azure?
  • Связана ли ваша учетная запись Azure с несколькими каталогами / клиентами?
    • Если да: при регистрации приложения Azure AD в Windows Admin Center использовался ли каталог в качестве каталога по умолчанию в Azure?
  • Есть ли у вашей учетной записи Azure доступ к нескольким подпискам?
  • Прилагается ли к используемой вами подписке биллинг?
  • Были ли вы вошли в несколько учетных записей Azure, когда столкнулись с проблемой?
  • Требуется ли для вашей учетной записи Azure многофакторная проверка подлинности?
  • Является ли машина, которой вы пытаетесь управлять, виртуальной машиной Azure?
  • Установлен ли Центр администрирования Windows на виртуальной машине Azure?

Обратная связь по вопросам

Перейдите в «Просмотр событий»> «Приложения и службы»> «Microsoft-ServerManagementExperience» и найдите все ошибки или предупреждения.

Сообщите об ошибке в UserVoice, описывающей вашу проблему.

Пожалуйста, включите любые ошибки или предупреждения, которые вы найдете в журнале событий, а также следующую информацию:

  • Платформа, на которой установлен Windows Admin Center (Windows 10 или Windows Server):
    • Если установлено на сервере, какая версия Windows на машине, на которой запущен браузер для доступа к Windows Admin Center:
    • Вы используете самозаверяющий сертификат, созданный установщиком?
    • Если вы используете свой собственный сертификат, соответствует ли имя субъекта устройству?
    • Если вы используете свой собственный сертификат, указывается ли в нем альтернативное имя субъекта?
  • Вы устанавливали с настройкой порта по умолчанию?
    • Если нет, то какой порт вы указали?
  • Подключен ли компьютер, на котором установлен Windows Admin Center к домену?
  • Версия Windows, в которой установлен Windows Admin Center :
  • Присоединена ли машина, которой вы пытаетесь управлять к домену?
  • Версия Windows машины, которой вы пытаетесь управлять :
  • Какой браузер вы используете?
    • Если вы используете Google Chrome, какая версия? (Справка> О Google Chrome)
.

локальных учетных записей (Windows 10) - Microsoft 365 Security

  • 20 минут на чтение

В этой статье

Относится к

  • Windows 10
  • Windows Server 2019
  • Windows Server 2016

В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.

Об учетных записях локальных пользователей

Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей - это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.

В этом разделе описывается следующее:

Для получения информации об участниках безопасности см. Принципы безопасности.

Учетные записи локальных пользователей по умолчанию

Учетные записи локальных пользователей по умолчанию - это встроенные учетные записи, которые создаются автоматически при установке Windows.

После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступа к сетевым ресурсам.

Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и созданные вами учетные записи локальных пользователей находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления Microsoft (MMC) на локальном компьютере. Управление компьютером - это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.

Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.

Учетная запись администратора

Учетная запись локального администратора по умолчанию - это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5- домен -500, отображаемое имя «Администратор»). Учетная запись администратора - это первая учетная запись, которая создается во время установки Windows.

Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любое время взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.

Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования опции Запуск от имени администратора .Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.

Членство в группе счетов

По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.

Учетную запись администратора нельзя удалить или удалить из группы администраторов, но ее можно переименовать.

Соображения безопасности

Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.

Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя.

В целях безопасности используйте локальную учетную запись (не администратора) для входа в систему, а затем используйте Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем учетная запись стандартного пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.

Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.

В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.

Примечание Пустые пароли не допускаются в версиях, указанных в списке Применимо к в начале этого раздела.

Важно Даже если учетная запись администратора отключена, ее все равно можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.

Гостевой аккаунт

Учетная запись гостя отключена по умолчанию при установке. Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.

Членство в группе счетов

По умолчанию учетная запись «Гость» является единственным членом группы «Гости» по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы «Администраторы», может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

Соображения безопасности

При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения. По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.

Кроме того, гостевой пользователь в учетной записи «Гость» не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника)

Учетная запись HelpAssistant - это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если запросы удаленного помощника не ожидают обработки.

HelpAssistant - это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет приглашение со своего компьютера по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, оказывающему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.

Соображения безопасности

Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

  • SID: S-1-5- <домен> -13, отображаемое имя Пользователь сервера терминалов. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

  • SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат идентификатор безопасности интерактивного входа.

Для операционной системы Windows Server Удаленный помощник - это дополнительный компонент, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.

Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.

Атрибуты учетной записи HelpAssistant

Атрибут Значение

Известный SID / RID

S-1-5- <домен> -13 (пользователь терминального сервера), S-1-5- <домен> -14 (удаленный интерактивный вход в систему)

Тип

Пользователь

Контейнер по умолчанию

CN = Пользователи, DC = <домен>, DC =

Элементы по умолчанию

Нет

Член по умолчанию

Гости домена

Гости

Защищено ADMINSDHOLDER?

Нет

Можно ли выйти из контейнера по умолчанию?

Можно выдвинуть, но мы не рекомендуем это делать.

Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

Нет

Счет по умолчанию

DefaultAccount, также известная как управляемая система по умолчанию (DSMA), - это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA - это хорошо известный тип учетной записи пользователя. Это нейтральная к пользователю учетная запись, которая может использоваться для запуска процессов, которые либо учитывают многопользовательскую, либо не зависят от пользователя.DSMA по умолчанию отключен для номеров SKU для настольных ПК (SKU для полной версии Windows) и WS 2016 с Desktop.

DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- -503

DSMA является членом хорошо известной группы System Managed Accounts Group , которая имеет известный SID S-1-5-32-581.

Псевдоним DSMA может получить доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи.Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).

Как Windows использует DefaultAccount

С точки зрения разрешений DefaultAccount - это стандартная учетная запись пользователя. DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA). Приложения MUMA работают все время и реагируют на вход и выход пользователей из устройств. В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.

Приложения

MUMA работают в SKU общего сеанса, например Xbox. Например, оболочка Xbox - это приложение MUMA. Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения запускаются в этом контексте. Все приложения поддерживают работу с несколькими пользователями и реагируют на события, инициированные менеджером пользователей. Приложения запускаются как гостевая учетная запись.

Аналогичным образом, Phone автоматически входит в систему как учетная запись DefApps, которая сродни стандартной учетной записи пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.

В конвергентной пользовательской модели многопользовательские приложения и брокеры с поддержкой многопользовательского режима должны будут работать в контексте, отличном от контекста пользователей. Для этого в системе создается DSMA.

Как создается DefaultAccount на контроллерах домена

Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с помощью контроллеров домена под управлением более ранней версии Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена под управлением Windows Server 2016.Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.

Рекомендации по управлению учетной записью по умолчанию (DSMA)

Microsoft не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Отсутствие угрозы безопасности при отключенном состоянии учетной записи. Изменение конфигурации по умолчанию может помешать будущим сценариям, основанным на этой учетной записи.

Учетные записи локальной системы по умолчанию

СИСТЕМА

Учетная запись SYSTEM используется операционной системой и службами, работающими под Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.

С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе Permissions меню Security .По умолчанию учетной записи SYSTEM предоставлены разрешения полного доступа ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.

Примечание Предоставление учетной записи прав доступа к файлам группы администраторов не означает неявного разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.

СЕТЕВОЕ ОБСЛУЖИВАНИЕ

Учетная запись NETWORK SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, которая запускается в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см. Учетная запись NetworkService.

МЕСТНОЕ ОБСЛУЖИВАНИЕ

Учетная запись LOCAL SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.

Как управлять локальными учетными записями пользователей

Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе Управление локальными пользователями.

Вы можете использовать «Локальные пользователи и группы» для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение доступа - это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.

Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.

Примечание Вы используете «Пользователи и компьютеры Active Directory» для управления пользователями и группами в Active Directory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.

Ограничение и защита локальных учетных записей с правами администратора

Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».

Самый простой подход - войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей пользователей (UAC), чтобы запрашивать разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:

  • Применять ограничения локальной учетной записи для удаленного доступа.

  • Запретить вход в сеть для всех учетных записей локальных администраторов.

  • Создайте уникальные пароли для локальных учетных записей с правами администратора.

Каждый из этих подходов описан в следующих разделах.

Примечание Эти подходы неприменимы, если все административные локальные учетные записи отключены.

Применять ограничения локальной учетной записи для удаленного доступа

Контроль учетных записей пользователей (UAC) - это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список Применимо к .UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен таким образом, чтобы уведомлять вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомления UAC.

UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключать пользователей, выходить из системы или использовать команду Run as .

Кроме того, UAC может потребовать, чтобы администраторы специально одобряли приложения, которые вносят общесистемные изменения, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в пользовательском сеансе администратора.

Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без административных прав, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.

Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.

В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.

Примечание

Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемого ADMX в шаблонах безопасности.

Чтобы применить ограничения локальной учетной записи для удаленного доступа

  1. Запустите консоль управления групповой политикой (GPMC).

  2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домена. где вы хотите установить объект групповой политики (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

  4. В диалоговом окне New GPO введите < gpo_name > и> OK , где gpo_name - это имя нового GPO. Имя GPO указывает, что GPO используется для ограничения переноса прав локального администратора на другой компьютер.

  5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

  6. Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив следующие действия:

    1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ и> Параметры безопасности .

    2. Дважды щелкните Контроль учетных записей пользователей: запустить всех администраторов в режиме одобрения администратором > Включено > ОК .

    3. Дважды щелкните Управление учетными записями пользователей: режим утверждения администратором для встроенной учетной записи администратора > Включено > ОК .

  7. Убедитесь, что к сетевым интерфейсам применяются ограничения локальной учетной записи, выполнив следующие действия:

    1. Перейдите в раздел Конфигурация компьютера \ Настройки и настройки Windows и> Реестр .

    2. Щелкните правой кнопкой мыши Registry и> New > Registry Item .

    3. В диалоговом окне New Registry Properties на вкладке General измените значение параметра в поле Action на Replace .

    4. Убедитесь, что поле Hive установлено на HKEY_LOCAL_MACHINE .

    5. Щелкните (), перейдите к следующему местоположению для Key Path > Выберите для: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .

    6. В области Имя значения введите LocalAccountTokenFilterPolicy .

    7. В поле Тип значения из раскрывающегося списка выберите REG_DWORD , чтобы изменить значение.

    8. Убедитесь, что в поле Value data установлено значение 0 .

    9. Проверьте эту конфигурацию и> OK .

  8. Свяжите GPO с первыми рабочими станциями организационной единицей (OU), выполнив следующие действия:

    1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

    2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

    3. Выберите только что созданный объект групповой политики и> OK .

  9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.

  10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

  11. Создайте ссылки на все другие подразделения, содержащие серверы.

Запретить вход в сеть для всех учетных записей локального администратора

Отказ локальным учетным записям в возможности выполнять вход в сеть может помочь предотвратить повторное использование хэша пароля локальной учетной записи в злонамеренной атаке.Эта процедура помогает предотвратить боковое перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут быть использованы для компрометации дополнительных компьютеров, использующих те же учетные данные.

Примечание Чтобы выполнить эту процедуру, вы должны сначала определить имя локальной учетной записи администратора по умолчанию, которая может не быть именем пользователя по умолчанию «Администратор», и любых других учетных записей, которые являются членами локальной группы администраторов.

В следующей таблице показаны параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

Настройка

Подробное описание

Расположение полиса

Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

1

Название политики

Запретить доступ к этому компьютеру из сети

Параметр политики

Локальная учетная запись и член группы администраторов

2

Расположение полиса

Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

Название политики

Запретить вход через службы удаленных рабочих столов

Параметр политики

Локальная учетная запись и член группы администраторов

Запретить вход в сеть для всех учетных записей локальных администраторов

  1. Запустите консоль управления групповой политикой (GPMC).

  2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домен, в котором вы хотите установить объект групповой политики (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

  4. В диалоговом окне New GPO введите < gpo_name >, а затем> OK , где gpo_name - это имя нового объекта GPO, указывает, что он используется для ограничения интерактивной подписи локальных административных учетных записей. в компьютер.

  5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

  6. Настройте права пользователя для запрета входа в сеть для административных локальных учетных записей следующим образом:

    1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ и> Назначение прав пользователя .

    2. Дважды щелкните Запретить доступ к этому компьютеру из сети .

    3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

  7. Настройте права пользователя для запрета входа на удаленный рабочий стол (удаленный интерактивный) для административных локальных учетных записей следующим образом:

    1. Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows и локальные политики, а затем щелкните Назначение прав пользователя .

    2. Дважды щелкните Запретить вход через службы удаленных рабочих столов .

    3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

  8. Свяжите GPO с первыми рабочими станциями OU следующим образом:

    1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

    2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

    3. Выберите только что созданный объект групповой политики и> OK .

  9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.

  10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

  11. Создайте ссылки на все другие подразделения, содержащие серверы.

    Примечание Возможно, вам придется создать отдельный объект групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.

Создание уникальных паролей для локальных учетных записей с правами администратора

Пароли должны быть уникальными для каждой отдельной учетной записи. Хотя это обычно верно для индивидуальных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, например, для учетной записи администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.

Пароли, которые не меняются или меняются синхронно для сохранения идентичности, создают значительный риск для организаций.Рандомизация паролей снижает вероятность атак «pass-the-hash» за счет использования разных паролей для локальных учетных записей, что ограничивает возможность злоумышленников использовать хеш-коды паролей этих учетных записей для компрометации других компьютеров.

Пароли могут быть рандомизированы по:

  • Покупка и внедрение корпоративного инструмента для выполнения этой задачи. Эти инструменты обычно называют инструментами «привилегированного управления паролями».

  • Настройка пароля локального администратора (LAPS) для выполнения этой задачи.

  • Создание и реализация специального сценария или решения для случайного выбора паролей локальных учетных записей.

См. Также

Следующие ресурсы предоставляют дополнительную информацию о технологиях, связанных с локальными учетными записями.

.

Смотрите также