Главная » Разное » Локальная учетная запись windows 10 что это

Локальная учетная запись windows 10 что это


Создание учетной записи локального пользователя или администратора в Windows 10

Создание локальной учетной записи пользователя для ребенка или другого пользователя, у которого нет своей учетной записи Майкрософт. При необходимости можно предоставить этой учетной записи права администратора. Автономная учетная запись — это просто еще один термин для обозначения локальной учетной записи.

При создании учетной записи помните, что выбор пароля и его сохранение являются обязательными шагами. Поскольку мы не знаем ваш пароль, если вы забудете или потеряете его, нам не удастся его восстановить для вас.

Если вы используете Windows 10 версии 1803 и более поздней версии, можно добавить секретные вопросы, как описано в шаге 4 раздела Создание учетной записи локального пользователя. С помощью ответов на секретные вопросы можно сбросить пароль к вашей локальной учетной записи Windows 10.

Создание учетной записи локального пользователя

1. Выберите Пуск  > Параметры  > Учетные записи  и щелкните "Семья и другие пользователи". (В некоторых выпусках Windows отображается пункт Другие пользователи.) 

2. Выберите Добавить пользователя для этого компьютера.

3. Выберите пункт У меня нет данных для входа этого человека и на следующей странице щелкните Добавить пользователя без учетной записи Майкрософт.

4. Введите имя пользователя, пароль, подсказку о пароле или выберите секретные вопросы, а затем нажмите Далее.

Создать другую учетную запись

Изменение учетной записи локального пользователя на учетную запись администратора

1. Выберите Пуск  >Параметры  > Учетные записи и в разделе Семья и другие пользователи щелкните имя владельца учетной записи и нажмите Изменить тип учетной записи.

2. В разделе Тип учетной записи выберите Администратор и нажмите кнопку OK.

3. Войдите в систему с новой учетной записью администратора.

Связанные разделы

Справка по учетной записи Майкрософт

Как сбросить пароль учетной записи Майкрософт

Справка по ошибкам активации Windows

Разница между локальными и учетными записями Microsoft в Windows

При первой установке или запуске Windows 8 / 8.1 или 10 вам придется сделать выбор, которого у вас никогда не было. Вы хотите использовать локальную или учетную запись Microsoft ?


Этот выбор будет немного озадачивающим, поскольку учетные записи Microsoft являются новой функцией, и Microsoft действительно не хочет, чтобы вы использовали локальную учетную запись в Windows 10.

Это немного запутанно, и вы, возможно, не знаете, в какую сторону идти. На самом деле, у вас может возникнуть соблазн просто пойти с тем, что проще всего, но это было бы ошибкой.

Неправильный выбор здесь может заставить вас пропустить множество замечательных функций, предлагаемых вашей новой ОС.

Что такое локальная учетная запись?


Если вы когда-либо входили на домашний компьютер под управлением Windows XP или Windows 7, вы использовали локальную учетную запись. Имя может отбрасывать начинающих пользователей, но это не более чем учетная запись для доступа к компьютеру перед вами. Локальная учетная запись работает на этом конкретном компьютере, а другие нет.

Выберите локальную учетную запись, если вы хотите сохранить такие вещи, как в предыдущих версиях Windows.

Вы сможете войти в систему, изменить свои настройки, установить программное обеспечение и сохранить свою пользовательскую область отдельно от других в системе.

Но вы будете пропускать кучу функций, которые стали доступны для учетных записей Microsoft. Любопытно, что вы пропустили?

Что такое учетная запись Microsoft?

Учетная запись Microsoft — это просто новое имя для того, что раньше называлось идентификатором Windows Live ID. Если вы когда-либо пользовались такими сервисами, как Xbox Live, Hotmail, Outlook.com , OneDrive или Windows Messenger, у вас уже есть учетная запись Microsoft.

Microsoft просто объединила все свои службы, позволяя вам получить к ним доступ с помощью одной учетной записи. Только один адрес электронной почты и пароль.

 

Очевидно, что наличие учетной записи Microsoft означает, что у вас будет более легкий доступ ко всем различным службам Microsoft, но использование ее с Windows 8 / 8.1 или 10 дает еще несколько преимуществ.

Доступ к хранилищу Windows

Вход в Windows 8 / 8.1 или 10 дает вам доступ к новому хранилищу Windows, где вы можете загружать современные приложения на ваш компьютер под управлением Windows 8. Эти современные приложения похожи на приложения, которые вы видите в Google Play Store или в магазине iTunes App Store.

Разница заключается в том, что приложения Windows Store могут быть использованы на вашем ПК. Пользователи Windows 10 могут рассматривать их как обычные настольные приложения.

Вы найдете тысячи бесплатных приложений в категориях, включая игры , спортивные, социальные, развлекательные, фото, музыку и новости. Некоторые из них являются платными приложениями, но многие из них бесплатны, и все они просты в использовании.

Свободное облачное хранилище

Настройка учетной записи Microsoft автоматически дает вам 5 ГБ пространства для хранения в облаке бесплатно. Эта служба, известная как OneDrive, позволяет хранить ваши файлы в сети, чтобы вы могли получить к ним доступ с других устройств.

Мало того, что ваши данные легче получить, но их также легче разделить. OneDrive позволяет легко предоставлять своим друзьям и членам семьи доступ ко всему, что хранится в облаке. Они могут войти в систему, чтобы просмотреть ее или даже скачать копию для себя.

OneDrive также предоставляет инструменты для редактирования ваших файлов через Office Online: набор упрощенных программ Microsoft Office для редактирования или создания документов, хранящихся в OneDrive.

Если вы решите не использовать учетную запись Microsoft на своем ПК, вы все равно можете получить 5 ГБ свободного места на OneDrive. Скорее всего, у вас уже есть, даже если вы этого не осознаете.

Синхронизация настроек учетной записи

Возможно, наиболее интересной особенностью учетной записи Microsoft является то, что вы можете хранить свои настройки Windows 8 / 8.1 или 10 в облаке.

Это означает, что вы можете войти в учетную запись на одном современном компьютере под управлением Windows, настроить ее так, как вам нравится, а сделанные вами изменения хранятся в облаке через процесс, который синхронизирует ваш рабочий стол с OneDrive.

Войдите в систему, используя ту же учетную запись Microsoft на другом устройстве Windows, и ваши настройки следуют за вами.

Ваши обои, темы, настройки обновления, настройка экрана экрана, история браузера Internet и языковые настройки будут настроены так, как вам нравится.

В Windows 8.1 и 10 учетная запись делает синхронизацию еще лучше, позволяя синхронизировать сетевые профили, пароли и даже настройки хранилища в Windows между учетными записями. Windows 10 также позволяет легко обмениваться паролями Wi-Fi с друзьями и коллегами.

Какой тип учетной записи следует выбрать?

Хотя очевидно, что учетная запись Microsoft предлагает множество функций, которых нет в локальной учетной записи, это не значит, что это для всех.

Если вам не нужны приложения Windows Store, у вас есть только один компьютер и вам не нужен доступ к вашим данным нигде, кроме вашего дома, тогда локальная учетная запись будет работать нормально.

Это приведет вас в Windows и предоставит вам личное пространство. Если вас интересуют новые функции , которые могут предложить Windows 8 / 8.1 или 10, тогда вам понадобится учетная запись Microsoft, чтобы в полной мере использовать их.

Переход на локальную учетную запись устройства Windows 10

Применяется к Windows 10 Домашняя и Windows 10 Профессиональная.

  • Сохраните все результаты работы.

  • В меню Пуск  выберите Параметры  > Учетные записи  > Сведения.  

  • Выберите Войти с помощью локальной учетной записи.

  • Введите пользователя имя, пароль и подсказку для пароля для новой учетной записи. Имя пользователя должно отличаться от других учетных записей на устройстве. Примечание. Если вы используете Windows 10 версии 1803, вы можете добавить контрольные вопросы безопасности (вместо подсказки) для вашей локальной учетной записи, чтобы упростить сброс пароля, если вы его забудете. Проверьте свою версию Windows 10

  • Нажмите кнопку Далее,а затем выберите Выйти и завершить работу.Войдите снова с помощью новой локальной учетной записи.

  • Если вы не добавили контрольные вопросы для сброса пароля, рекомендуется создать диск для сброса пароля. Если этого не сделать это, вы не сможете восстановить пароль, если забудете его.

    • Зачем нужна учётная запись Майкрософт в Windows 10, типы учётных записей

    Как установить Windows 10 без учётной записи и для чего нужен аккаунт Microsoft? С подобным вопросом сталкиваются многие пользователи Виндовс, которые перешли с "семерки" на "десятку".

    СОДЕРЖАНИЕ СТАТЬИ:

    Зачем нужна учётная запись Майкрософт в Windows 10?

    Это сборка всех онлайн - продуктов, выпускаемых компаний, которые объединены общим названием. В случаях, когда вы зарегистрированы в таких программах, как Windows Live, Outlook и другими похожими - вам очень повезло. Вы без проблем сможете активироваться в ней при помощи ранее созданного профиля (адреса электронной почты и пароля пользователя).

    Стоит отметить, что в отличии от локальной, Microsoft для входа используется не логин, а именно адрес вашей электронной почты. В этом случае разрешается использование достаточно широко ряда сайтов: Gmail, Mail, Yahoo, Live и Hotmail.

    Такая учётная запись обустроена двухшаговой системой идентификации личности пользователя. Если вход в аккаунт осуществляется при помощи нового или не проверенного устройства, может потребоваться введение специального кода безопасности.

    Преимущества

    • Бесплатное, быстрое удобное пользование и восстановление наиболее важных для вас приложений через Windows Store. Если вы являетесь владельцем любого устройства, на котором установленная десятая версия Виндовс, то вы сможете пользоваться всеми самыми лучшими уникальными приложениями. Ещё один явный плюс - купив приложение с одного устройства, оно станет автоматически доступно на другом вашем планшете, ноутбуке, смартфоне и других похожих приспособлениях.
    • Позволяет избежать проблем с настройкой конфигураций всех ваших персональных компьютеров (система может проводить полностью автоматизированную синхронизацию настроек между ПК). При помощи данной функции вы сможете синхронизировать: темы, настройки интернет - браузера, логины и пароли для сайтов.

    Полезный контент:

    Локальная учётная запись

    Многие пользователи заметили, что Local account имеет ряд ограничений. Пользуясь ею, вам доступно минимальное количество функций и возможностей операционной системы. В новой версии Виндовс - все наиболее сильные ограничение были полностью сняты, а статус локальной был поднят (сейчас её сравнивают с Windows 7).

    Данная УЗ позволяет без каких-либо ограничений работать с такими офисными программами как: Почта, Люди, Календарь и другие. Кроме того, выше описанные стандартные почтовые клиенты позволят пользователю ПК выбирать любой профиль Gmail. Данные нововведения стали отличной новостью не только для владельцев одного ПК, для которых функция синхронизации параметров не нужна, но и для тех людей, активно пользующихся софтами из Store.

    Если учитывать достаточно обширные изменения от компания Microsoft, можно сделать смелый вывод - корпорации удалось воссоздать отличный баланс между двумя видами учётных записей.

    Как установить Windows 10 с локальным аккаунтом

    Ни для кого не секрет, что в процессе инсталляции ОС Виндовс 10 установщик требует осуществить привязку персонального компьютера к профилю Майкрософт. В случаях, когда человеку не нужно проводить синхронизацию пользовательских данных между различными устройствами, можно обойтись без создания такого профиля или онлайн - аккаунта. Чтобы отключить создание такого аккаунта, нужно придерживаться похожей инструкции:

    • Во вкладке "Вход в учётную запись Майкрософт" найдите пункт "Создать новую учётную запись "и нажмите кнопку "Далее".

    • В появившемся окне, в самом низу страницы найдите пункт "Войти без учётной записи Майкрософт" и нажмите "Далее".

    • Дождитесь появления на экране компьютера специального диалогового окна, которое предназначено для создания локального профиля вашей операционной системы.

    • Придумайте имя пользователя и пароль для осуществления входа, нажмите "Далее".

    Полезный контент:

    Как удалить старую запись и перейти на новую

    Для удаления одной учетной записи, нам нужно будет создать как минимум вторую или иметь их несколько. О том как перейти из одного аккаунта на другой - прочитаете ниже, а для тех у кого уже есть их несколько, нужно проделать следующее:

    • Перейдите в меню "Пуск", и на жмите на ваш аккаунт. В выпадающем списке выберите "Изменить параметры учетной записи".
    • Заходим в "Семья и другие пользователи", там видим другие аккаунты. Выбрав любой из них. Нажимаем кнопку "Удалить".

    Альтернативное удаление аккаунта

    • Нажмите клавиши Win + R на клавиатуре;
    • В появившейся консоли "Выполнить" введите команду:

    netplwiz

    • На вкладке «Пользователи» выберите ту УЗ, которую нужно удалить и нажмите кнопку «Удалить».

    Как сменить учётную запись в Windows 10 на локальную

    Первым вашим действием станет переход в меню "Пуск", в нём найдите кнопку "Параметры".

    Перед вами будет открыто новое окно (Настройки). Выберете вкладку "Учётные записи".

    Здесь будет размещено тип вашего профиля, название администратора системы и аватар пользователя. В данном меню вашей главной целью будет найти вкладку "Войти вместо этого с локальной учеткой".

    Подтвердите пароль к от вашей электронной почты и пароль для входа в систему. После чего вы сможете создать нового пользователя, задать ему имя и код доступа. Нажмите далее, и вы осуществите переход между аккаунтами.

    Как пользоваться предложениями Microsoft при помощи локальной учётной записи?

    Огромное количество людей, которые используют локальную у.з., имеют огромное желание пользоваться приложениями из магазина.

    Проблема заключается в следующем: при входе в Store, операционная система Виндовс автоматически выключает локальную запись и осуществляет переход в аккаунт Microsoft. Чтобы этого не происходило, советую воспользоваться следующими рекомендациями:

    • Войдите в магазин, наведите курсор на значок пользователя, размещённый возле поля для поиска, нажмите на вкладку "Sign In".
    • Выделите учётную запись Майкрософт.
    • В появившемся поле (Add your Microsoft Account), введите только идентификатор вашей у.з. и введите пароль, нажмите кнопку "Sign In".
    • В следующем окне, которое появится на вашем экране, не вводите свой пароль Виндовс, так как именно это действие приведёт к автоматическому переходу на другой тип записи.
    • Вместо ввода пароля, обращаем внимание на пункт "Sign in to just this app instead", кликаем на него ЛКМ.

    Теперь вы сможете установить новые приложения или игры из магазина, не используя при этом профиль Microsoft.

    Очень не хочу прощаться, но вынужден завершить данную статью. В ней я попытался раскрыть все Ваши часто задаваемые вопросы. Делал материал, который, как я надеюсь, поможет решить все проблемы с установкой или выключением двух абсолютно разных учётных записей. Напомню, что буду очень благодарен за подписку на мой блог.

    Все об автономной учетной записи пользователя в Виндовс 10: описание и настройки

    Операционная система Windows 10 – самая последняя версия винды. Ее необычный дизайн и большой функционал привлекает новых пользователей. Вместе с тем стоит отметить, что разработчики последней ОС настойчиво пытаются отучить пользователей от локальных учетных записей. Суть последних обновлений заключается в сокрытии возможности в принципе активировать локальную учетную запись. В статье можно ознакомиться с инструкциями, как обойти подобные ограничения.

    Локальная учетная запись Windows 10 – что это

    Локальная учетка в Windows 10 представляет собой имя пользователя и ключ безопасности (другими словами – пароль), используется для входа в операционную систему. Информация в ней связана всегда только с одним отдельным устройством: стационарным компьютером, ноутбуком, планшетом и т. д.

    Авторизация в локальной учетной записи операционной системы Windows 10

    Обратите внимание! Если юзер использует несколько компьютеров, то на каждом из них нужно отдельно создавать локальную учетную запись.

    Особенность таких учеток заключается в том, что все их данные хранятся локально на серверах. Они могут назначать разрешения и права на определенном сервере. Также они позволяют устанавливать настольные программы, игры и всевозможные приложения, использовать операционную систему «по старинке». У пользователя есть возможность просматривать Windows Store от Microsoft, вот только для скачивания и установки ПО потребуется активировать синхронизацию параметров.

    Как создать автономную учетную запись

    Существует несколько способов, как на консоли с ОС Виндовс 10 создать автономный аккаунт. Для выбора предпочтительного варианта создания учетки нужно внимательно ознакомиться с особенностями реализации каждого.

    С помощью е-мейла учетной записи Майкрософт

    Самый простой в реализации метод создания автономного аккаунта вместо использования учетки от Microsoft – это осуществление чистой установки версии ОС Windows 10 «Домашняя» без подключения к глобальной сети Интернет. Если же пользователь уже подключился к Интернету и дошел до этапа настройки «Войдите с помощью уч. записи Microsoft», то не стоит приступать к настройке компьютера с самого начала.

    Рекомендуется воспользоваться альтернативным способом создания учетки:

    1. Если у пользователя есть уже аккаунт в Майкрософт, то достаточно в  соответствующую форму ввести используемый e-mail. Если же нет, то можно ввести любой адрес электронной почты, для которого такая запись существует, например: [email protected]
    2. Ввести любой ключ безопасности, за исключением правильного. Да, читатель все правильно понимает: обязательно нужно вводить только неправильные пароли, то есть «забыть» единственно верный.
    3. После нескольких попыток ввести «правильный» пароль системой будет предложено восстановить его несколькими способами: «сбросить пароль» и «пока что пропустить этот шаг». Предпочтение отдается второму варианту.
    4. На экране отобразится новая форма, где нужно будет тапнуть по строке «Ограниченные возможности».
    5. В этом шаге перед пользователем открывается возможность создать нужную локальную учетку для использования на персональном компьютере.

    Стоит отметить, что после создания запись будет иметь права администратора, поэтому использовать имя «Администратор» нельзя, поскольку оно зарезервировано скрытым системным пользователем.

    Создание локальной учетки через восстановление доступа

    Если все перечисленные действия были выполнены пользователем правильно, то ему удастся без проблем «включить» автономный локальный аккаунт. Использовать его можно вместо учетки Microsoft.

    Второй способ создания

    Аккаунт можно создать еще одним простым в реализации способом. Открыть на своем ПК раздел «Параметры», используя сочетание клавиш «Win» + «I». Из доступных инструментов выбрать «Учетные записи», затем «Электронная почта и уч. записи».

    Далее из доступных подразделов потребуется выбрать «Войти с локальной учетной записи». Останется в соответствующую форму вписать правильный пароль от текущей учетки. В противном случае вопрос – другой пользователь Windows 10, как войти – будет неактуален. Поскольку система не позволит отключить или изменить уже используемый кем-то аккаунт.

    Обязательно присвоить имя, которое будет использоваться, а также дважды ввести код доступа. Чтобы далее выполнялась настройка, нужно нажать «Next». Затем останется только выйти из системы и заново авторизоваться, введя данные от нового аккаунта.

    Второй способ создания аккаунта

    Обратите внимание! Интернет-магазин Windows пользователю будет недоступен, как и большинство других онлайн-сервисов. Обусловлено это тем, что пользователь там зарегистрирован под учеткой Microsoft.

    Вход с автономной учетной записи в Виндовс 10

    Выполняется вход в автономную учетку следующим образом:

    1. На своем стационарном компьютере или ноутбуке зайти в раздел «Параметры», затем «Учетные записи» — «Ваши данные».
    2. Среди отобразившихся подразделов пользователю нужно выбрать пункт «Войти вместо этого с локальной учетной записью».

    Юзеру останется правильно ввести все данные.

    Как войти с автономной учетки в Windows 10

    Локальная учетная запись Windows 10: пользователь по умолчанию

    Такие учетки представляют собой встроенные записи, которые при установке операционной системы создаются автоматически. Они не могут быть добавлены или удалены, отсутствует возможность редактирования. Также, учетки по умолчанию не обеспечивают доступ к сетевым ресурсам.

    Используют их для управления доступом к данным, хранящихся на локальном сервере с учетом прав и разрешений. По умолчанию такие аккаунты хранятся в папке «Users».

    Управление учетными записями Windows 10 в целом редко вызывает сложности в процессе эксплуатации, несмотря на то, что интерфейс последней ОС сложнее, в сравнении с предыдущими версиями.  При возникновении сложностей в процессе настройки также можно ознакомиться с подробными инструкциями на официальном сайте Майкрософт.

    Локальная учетная запись в Windows 10: как создать, удалить

    В данной статье мы разберем, как именно можно создать новую локальную учетную запись пользователя в операционной системе Windows 10 и рассмотрим возможные варианты выполнения этой процедуры.

    Наверняка многие знают, что в “десятке” есть два типа аккаунтов пользователей:

    • Локальные аккаунты – это обычные профили пользователей, к которым мы привыкли, работая в предыдущих версиях операционных систем компании Microsoft.
    • Аккаунты, связанные с учетной записью Майкрософт – профили, для которых требуется регистрация на сайте компании-разработчика. Безусловный плюс в данных аккаунтах заключается в том, что данные пользователя постоянно будут синхронизироваться и храниться на серверах Microsoft.

    В то время, как одни пользователи с радостью пользуются новой возможностью и активно регистрируют учетные записи Майкрософт, другие, все же, предпочитают не делиться своими данными и создают на своих компьютерах локальные профили. Сделать это можно по-разному.

    Метод 1: создание аккаунта в Параметрах Windows

    Это основной способ, пользуясь которым можно создавать и редактировать профили в “десятке”, поэтому начнем именно с него.

    1. Заходим в Параметры системы, нажав комбинацию клавиш Win+I. Также, можно выбрать данный инструмент в контекстном меню Пуска, которое запускается сочетанием Win+X или кликом правой кнопки мыши по значку Пуска.
    2. В открывшемся окне Параметров щелкаем по разделу “Учетные записи”.
    3. В перечне слева переходим в подраздел “Семья и другие люди”, в котором видим два основных блока с пользователями:
      1. Ваша семья. Здесь можно создать учетные записи для членов своей семьи, в том числе, для детей.
      2. Другие люди. В этой группе можно создавать локальные учетные записи, причем с разными правами (администратор или обычный пользователь). На этом варианте мы и остановимся в рамках темы нашей статьи.
    4. Жмем кнопку “Добавить пользователя для этого компьютера”.
    5. Откроется окно, в котором нужно выбрать способ входа пользователя в систему: электронная почта или телефонный номер. В случае, когда в дальнейшем создание аккаунта Microsoft не требуется (или пока финальное решение не принято), щелкаем по надписи “У меня нет данных для входа этого человека” в нижней части окна.
    6. Следом откроется окно, в котором будет предложено создать учетную запись Майкрософт. Чтобы это сделать, нужно в соответствующих полях заполнить адрес электронной почты и придумать пароль к нему. В противном случае щелкаем по надписи “Добавить пользователя без учетной записи Майкрософт”.
    7. В очередном оке указываем Имя пользователя, а также, пароль к профилю. Также здесь нужно выбрать три вопроса (из предложенного системой списка) и написать на них ответы. Это нужно в ситуациях, когда не получается вспомнить пароль к аккаунту. По готовности жмем кнопку “Далее”.
    8. Все готово. Система вернет нас в Параметры (раздел “Учетные записи”), где мы видим в блоке “Другие люди” созданный нами только что локальный профиль.
    9. Чтобы изменить тип учетной записи, щелкаем по нему левой кнопкой мыши. После этого появится кнопка “Изменить тип учетной записи”, на которую следует нажать.
    10. В появившемся небольшом окошке щелкаем по текущему типу пользователя и выбираем тот, который нужен. Затем жмем кнопку OK.
    11. В нашем случае мы решили наделить нового пользователя правами администратора.

    Метод 2: использование Командной строки

    Некоторые пользователи привыкли многие системные настройки и действия в ОС выполнять через Командную строку. Поэтому, давайте рассмотрим, как создать новый локальный профиль пользователя через данный инструмент.

    Примечание: для выполнения данной операции в Командной строке нужно обладать правами администратора.

    Итак, алгоритм действий следующий:

    1. Открываем Командную строку. Для этого можно воспользоваться Поиском. Набираем название приложения, щелкаем правой кнопкой мыши по найденному варианту и выбираем “Запуск от имени администратора”.
    2. В окне программы вводим команду net user User_Name Password /add и жмем клавишу Enter.
      • User_Name – вместо этой фразы нужно написать имя нового пользователя;
      • Password – вместо этого фрагмента пишем пароль к создаваемому аккаунту.
    3. Все готово, локальная учетная запись успешно создана, о чем свидетельствует сообщение “Команда успешно выполнена”. Переходим в Параметры системы (раздел “Учетные записи” – подраздел “Семья и другие люди”) и убеждаемся в том, что, действительно, новая стандартная учетная запись появилась в группе пользователей “Другие люди”. При необходимости, меняем ее тип. Как это сделать, описано в первом методе.

    Метод 3: утилита “Учетные записи пользователей”

    1. Нажимаем комбинацию клавиш Win+R, в открывшемся окне “Выполнить” набираем команду netplwiz и жмем Enter.
    2. В открывшемся окне учетных записей, находясь во вкладке “Пользователи”, жмем кнопку “Добавить”.
    3. Дальше нужно действовать примерно по такому же алгоритму, что и в первом методе. В появившемся окне щелкаем по кнопке “Вход без учетной записи Майкрософт”.
    4. В вариантах входа в систему выбираем “Локальную учетную запись”.
    5. Вводим имя пользователя, придумываем и пишем пароль, а также, подсказку для него. Затем жмем кнопку “Далее”.
    6. Следующее окно носит информационный характер и сообщает нам о том, что новая учетная запись создана. Жмем кнопку “Готово”, чтобы закрыть окно.

    Удаление локальной учетной записи

    Если появилась необходимость в удалении какой-либо локальной учетной записи, проще всего это сделать в Параметрах системы.

    1. Заходим в раздел “Учетные записи”, затем – в подраздел “Семья и другие люди” (как это сделать, описано выше).
    2. В группе пользователей “Другие люди” находим учетную запись, которую хотим удалить, кликаем по ней, после чего появится кнопка “Удалить”. На нее и следует нажать.
    3. Система запросит наше подтверждения на выполнение удаления. Жмем кнопку “Удалить учетную запись и данные”.
    4. После выполнения операции мы снова окажемся в Параметрах системы, где можем проверить результат.

    Заключение

    Таким образом, в Windows 10 существуют несколько различных способов, пользуясь которыми можно создать новую локальную учетную запись пользователя, если она вдруг понадобится. Самым очевидным и распространенным способом является использованием Параметров системы, которые пришли на замену Панели управления. Помимо это есть возможность реализовать данную задачу через Командную строку, запущенную с правами администратора, или через утилиту “Учетные записи пользователей”.

    локальных учетных записей (Windows 10) - Microsoft 365 Security

    • 20 минут на чтение

    В этой статье

    Относится к

    • Windows 10
    • Windows Server 2019
    • Windows Server 2016

    В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.

    Об учетных записях локальных пользователей

    Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей - это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.

    В этом разделе описывается следующее:

    Для получения информации об участниках безопасности см. Принципы безопасности.

    Учетные записи локальных пользователей по умолчанию

    Учетные записи локальных пользователей по умолчанию - это встроенные учетные записи, которые создаются автоматически при установке Windows.

    После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступа к сетевым ресурсам.

    Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и созданные вами учетные записи локальных пользователей находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления Microsoft (MMC) на локальном компьютере. Управление компьютером - это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.

    Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.

    Учетная запись администратора

    Учетная запись локального администратора по умолчанию - это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5- домен -500, отображаемое имя «Администратор»). Учетная запись администратора - это первая учетная запись, которая создается во время установки Windows.

    Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любое время взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.

    Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

    В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования опции Запуск от имени администратора .Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.

    Членство в группе счетов

    По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.

    Учетную запись администратора нельзя удалить или удалить из группы администраторов, но ее можно переименовать.

    Соображения безопасности

    Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.

    Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя.

    В целях безопасности используйте локальную учетную запись (не администратора) для входа в систему, а затем используйте Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем учетная запись стандартного пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.

    Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.

    В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.

    Примечание Пустые пароли не допускаются в версиях, указанных в списке Применимо к в начале этого раздела.

    Важно Даже если учетная запись администратора отключена, ее все равно можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.

    Гостевой аккаунт

    Учетная запись гостя отключена по умолчанию при установке. Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.

    Членство в группе счетов

    По умолчанию учетная запись «Гость» является единственным членом группы «Гости» по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы «Администраторы», может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

    Соображения безопасности

    При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения. По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.

    Кроме того, гостевой пользователь в учетной записи «Гость» не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

    Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника)

    Учетная запись HelpAssistant - это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если запросы удаленного помощника не ожидают обработки.

    HelpAssistant - это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет приглашение со своего компьютера по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, оказывающему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.

    Соображения безопасности

    Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

    • SID: S-1-5- <домен> -13, отображаемое имя Пользователь сервера терминалов. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

    • SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат идентификатор безопасности интерактивного входа.

    Для операционной системы Windows Server Удаленный помощник - это дополнительный компонент, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.

    Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.

    Атрибуты учетной записи HelpAssistant

    Атрибут Значение

    Известный SID / RID

    S-1-5- <домен> -13 (пользователь терминального сервера), S-1-5- <домен> -14 (удаленный интерактивный вход в систему)

    Тип

    Пользователь

    Контейнер по умолчанию

    CN = Пользователи, DC = <домен>, DC =

    Элементы по умолчанию

    Нет

    Член по умолчанию

    Гости домена

    Гости

    Защищено ADMINSDHOLDER?

    Нет

    Можно ли выйти из контейнера по умолчанию?

    Можно выдвинуть, но мы не рекомендуем это делать.

    Можно ли делегировать управление этой группой администраторам, не связанным с сервисами?

    Нет

    Счет по умолчанию

    DefaultAccount, также известная как управляемая система по умолчанию (DSMA), - это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA - это хорошо известный тип учетной записи пользователя. Это нейтральная к пользователю учетная запись, которая может использоваться для запуска процессов, которые либо учитывают многопользовательскую, либо не зависят от пользователя.DSMA по умолчанию отключен для номеров SKU для настольных ПК (SKU для полной версии Windows) и WS 2016 с Desktop.

    DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- -503

    DSMA является членом хорошо известной группы System Managed Accounts Group , которая имеет известный SID S-1-5-32-581.

    Псевдоним DSMA может получить доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи.Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).

    Как Windows использует DefaultAccount

    С точки зрения разрешений DefaultAccount - это стандартная учетная запись пользователя. DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA). Приложения MUMA работают все время и реагируют на вход и выход пользователей из устройств. В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.

    Приложения

    MUMA работают в SKU общего сеанса, например Xbox. Например, оболочка Xbox - это приложение MUMA. Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения запускаются в этом контексте. Все приложения поддерживают работу с несколькими пользователями и реагируют на события, инициированные менеджером пользователей. Приложения запускаются как гостевая учетная запись.

    Аналогичным образом, Phone автоматически входит в систему как учетная запись DefApps, которая сродни стандартной учетной записи пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.

    В конвергентной пользовательской модели многопользовательские приложения и брокеры с поддержкой многопользовательского режима должны будут работать в контексте, отличном от контекста пользователей. Для этого в системе создается DSMA.

    Как создается DefaultAccount на контроллерах домена

    Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с помощью контроллеров домена под управлением более ранней версии Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена под управлением Windows Server 2016.Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.

    Рекомендации по управлению учетной записью по умолчанию (DSMA)

    Microsoft не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Отсутствие угрозы безопасности при отключенном состоянии учетной записи. Изменение конфигурации по умолчанию может помешать будущим сценариям, основанным на этой учетной записи.

    Учетные записи локальной системы по умолчанию

    СИСТЕМА

    Учетная запись SYSTEM используется операционной системой и службами, работающими под Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.

    С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе Permissions меню Security .По умолчанию учетной записи SYSTEM предоставлены разрешения полного доступа ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.

    Примечание Предоставление учетной записи прав доступа к файлам группы администраторов не означает неявного разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.

    СЕТЕВОЕ ОБСЛУЖИВАНИЕ

    Учетная запись NETWORK SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, которая запускается в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см. Учетная запись NetworkService.

    МЕСТНОЕ ОБСЛУЖИВАНИЕ

    Учетная запись LOCAL SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.

    Как управлять локальными учетными записями пользователей

    Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе Управление локальными пользователями.

    Вы можете использовать «Локальные пользователи и группы» для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение доступа - это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.

    Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.

    Примечание Вы используете «Пользователи и компьютеры Active Directory» для управления пользователями и группами в Active Directory.

    Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.

    Ограничение и защита локальных учетных записей с правами администратора

    Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».

    Самый простой подход - войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей пользователей (UAC), чтобы запрашивать разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

    Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:

    • Применять ограничения локальной учетной записи для удаленного доступа.

    • Запретить вход в сеть для всех учетных записей локальных администраторов.

    • Создайте уникальные пароли для локальных учетных записей с правами администратора.

    Каждый из этих подходов описан в следующих разделах.

    Примечание Эти подходы неприменимы, если все административные локальные учетные записи отключены.

    Применять ограничения локальной учетной записи для удаленного доступа

    Контроль учетных записей пользователей (UAC) - это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список Применимо к .UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен таким образом, чтобы уведомлять вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомления UAC.

    UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключать пользователей, выходить из системы или использовать команду Run as .

    Кроме того, UAC может потребовать, чтобы администраторы специально одобряли приложения, которые вносят общесистемные изменения, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в пользовательском сеансе администратора.

    Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без административных прав, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.

    Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.

    В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.

    Примечание

    Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемого ADMX в шаблонах безопасности.

    Чтобы применить ограничения локальной учетной записи для удаленного доступа

    1. Запустите консоль управления групповой политикой (GPMC).

    2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домена. где вы хотите установить объект групповой политики (GPO).

    3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

    4. В диалоговом окне New GPO введите < gpo_name > и> OK , где gpo_name - это имя нового GPO. Имя GPO указывает, что GPO используется для ограничения переноса прав локального администратора на другой компьютер.

    5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

    6. Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив следующие действия:

      1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ и> Параметры безопасности .

      2. Дважды щелкните Контроль учетных записей пользователей: запустить всех администраторов в режиме одобрения администратором > Включено > ОК .

      3. Дважды щелкните Управление учетными записями пользователей: режим утверждения администратором для встроенной учетной записи администратора > Включено > ОК .

    7. Убедитесь, что к сетевым интерфейсам применяются ограничения локальной учетной записи, выполнив следующие действия:

      1. Перейдите в раздел Конфигурация компьютера \ Настройки и настройки Windows и> Реестр .

      2. Щелкните правой кнопкой мыши Registry и> New > Registry Item .

      3. В диалоговом окне New Registry Properties на вкладке General измените значение параметра в поле Action на Replace .

      4. Убедитесь, что поле Hive установлено на HKEY_LOCAL_MACHINE .

      5. Щелкните (), перейдите к следующему местоположению для Key Path > Выберите для: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .

      6. В области Имя значения введите LocalAccountTokenFilterPolicy .

      7. В поле Тип значения из раскрывающегося списка выберите REG_DWORD , чтобы изменить значение.

      8. Убедитесь, что в поле Value data установлено значение 0 .

      9. Проверьте эту конфигурацию и> OK .

    8. Свяжите GPO с первыми рабочими станциями организационной единицей (OU), выполнив следующие действия:

      1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

      2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

      3. Выберите только что созданный объект групповой политики и> OK .

    9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.

    10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

    11. Создайте ссылки на все другие подразделения, содержащие серверы.

    Запретить вход в сеть для всех учетных записей локального администратора

    Отказ локальным учетным записям в возможности выполнять вход в сеть может помочь предотвратить повторное использование хэша пароля локальной учетной записи в злонамеренной атаке.Эта процедура помогает предотвратить боковое перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут быть использованы для компрометации дополнительных компьютеров, использующих те же учетные данные.

    Примечание Чтобы выполнить эту процедуру, вы должны сначала определить имя локальной учетной записи администратора по умолчанию, которая может не быть именем пользователя по умолчанию «Администратор», и любых других учетных записей, которые являются членами локальной группы администраторов.

    В следующей таблице показаны параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

    Настройка

    Подробное описание

    Расположение полиса

    Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

    1

    Название политики

    Запретить доступ к этому компьютеру из сети

    Параметр политики

    Локальная учетная запись и член группы администраторов

    2

    Расположение полиса

    Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя

    Название политики

    Запретить вход через службы удаленных рабочих столов

    Параметр политики

    Локальная учетная запись и член группы администраторов

    Запретить вход в сеть для всех учетных записей локальных администраторов

    1. Запустите консоль управления групповой политикой (GPMC).

    2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домен, в котором вы хотите установить объект групповой политики (GPO).

    3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

    4. В диалоговом окне New GPO введите < gpo_name >, а затем> OK , где gpo_name - это имя нового объекта GPO, указывает, что он используется для ограничения интерактивной подписи локальных административных учетных записей. в компьютер.

    5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

    6. Настройте права пользователя для запрета входа в сеть для административных локальных учетных записей следующим образом:

      1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ и> Назначение прав пользователя .

      2. Дважды щелкните Запретить доступ к этому компьютеру из сети .

      3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

    7. Настройте права пользователя для запрета входа на удаленный рабочий стол (удаленный интерактивный) для административных локальных учетных записей следующим образом:

      1. Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows и локальные политики, а затем щелкните Назначение прав пользователя .

      2. Дважды щелкните Запретить вход через службы удаленных рабочих столов .

      3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

    8. Свяжите GPO с первыми рабочими станциями OU следующим образом:

      1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

      2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

      3. Выберите только что созданный объект групповой политики и> OK .

    9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.

    10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

    11. Создайте ссылки на все другие подразделения, содержащие серверы.

      Примечание Возможно, вам придется создать отдельный объект групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.

    Создание уникальных паролей для локальных учетных записей с правами администратора

    Пароли должны быть уникальными для каждой отдельной учетной записи. Хотя это обычно верно для индивидуальных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, например, для учетной записи администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.

    Пароли, которые не меняются или меняются синхронно для сохранения идентичности, создают значительный риск для организаций.Рандомизация паролей снижает вероятность атак «pass-the-hash» за счет использования разных паролей для локальных учетных записей, что ограничивает возможность злоумышленников использовать хеш-коды паролей этих учетных записей для компрометации других компьютеров.

    Пароли могут быть рандомизированы по:

    • Покупка и внедрение корпоративного инструмента для выполнения этой задачи. Эти инструменты обычно называют инструментами «привилегированного управления паролями».

    • Настройка пароля локального администратора (LAPS) для выполнения этой задачи.

    • Создание и реализация специального сценария или решения для случайного выбора паролей локальных учетных записей.

    См. Также

    Следующие ресурсы предоставляют дополнительную информацию о технологиях, связанных с локальными учетными записями.

    .

    Переключите устройство с Windows 10 на локальную учетную запись

    Применимо к Windows 10 Домашняя и Windows 10 Профессиональная.

    1. Сохраните всю свою работу.

    2. В Start выберите Settings > Accounts > Your info .

    3. Выберите Войдите в систему с локальной учетной записью вместо .

    4. Введите имя пользователя, пароль и подсказку к паролю для вашей новой учетной записи. Имя пользователя должно отличаться от любого другого имени на устройстве. Примечание : Если вы используете Windows 10 версии 1803, вы можете добавить контрольные вопросы вместо подсказки в локальную учетную запись, чтобы сбросить пароль на случай, если вы его забудете. Проверьте свою версию Windows 10

    5. Выберите Далее , затем выберите Выйти и закончите .Войдите снова, используя свою новую локальную учетную запись.

    6. Если вы не добавляли контрольные вопросы для сброса пароля, рекомендуется создать дискету для сброса пароля. Если вы этого не сделаете, а затем забудете свой пароль, вы не сможете его восстановить.

    .

    Создайте локальную учетную запись пользователя или администратора в Windows 10

    Создайте локальную учетную запись пользователя для ребенка или кого-то еще, у кого нет учетной записи Microsoft. При необходимости вы можете предоставить этой учетной записи права администратора. Автономная учетная запись - это просто еще один термин для локальной учетной записи.

    При создании учетной записи помните, что выбор пароля и его сохранение являются важными шагами. Поскольку мы не знаем ваш пароль, если вы его забудете или потеряете, мы не сможем его восстановить.

    Если вы используете Windows 10 версии 1803 или более поздней, вы можете добавить контрольные вопросы, как вы увидите на шаге 4 в разделе Создайте локальную учетную запись пользователя . Ответив на контрольные вопросы, вы можете сбросить пароль локальной учетной записи Windows 10.

    Создайте локальную учетную запись пользователя

    1. Выберите Start > Settings > Accounts , а затем выберите Family & other users. (В некоторых выпусках Windows вы увидите Другие пользователи .)

    2. Выберите Добавить кого-нибудь на этот ПК .

    3. Выберите У меня нет данных для входа этого человека , а на следующей странице выберите Добавить пользователя без учетной записи Microsoft .

    4. Введите имя пользователя, пароль, подсказку для пароля или выберите контрольные вопросы, а затем выберите Далее .

    Создать другую учетную запись

    Измените локальную учетную запись пользователя на учетную запись администратора

    1.Выберите Start > Settings > Accounts , а затем в разделе Family & other users выберите имя владельца учетной записи, затем выберите Изменить тип учетной записи .

    2. В Тип учетной записи выберите Администратор , , а затем выберите OK .

    3. Войдите в систему с новой учетной записью администратора.

    Связанные темы

    Справка по учетной записи Microsoft

    Как сбросить пароль учетной записи Microsoft

    Получите помощь при ошибках активации Windows

    .

    Сброс пароля локальной учетной записи Windows 10

    Используйте следующие инструкции для сброса пароля локальной учетной записи. Ваша локальная учетная запись выполняет вход на вашем устройстве в автономном режиме, но не связана с другими вашими устройствами. Для более полной работы мы рекомендуем вам войти в систему с учетной записью Microsoft для доступа к таким службам, как Outlook, Skype и OneDrive, на любом из ваших устройств. Если вы забыли свой пароль Windows 10, самый простой способ вернуться в свою учетную запись - сбросить пароль для своей учетной записи Microsoft.

    Сброс пароля локальной учетной записи для Windows 10 версии 1803 и выше

    Если вы добавили контрольные вопросы при настройке локальной учетной записи для Windows 10, значит, у вас установлена ​​как минимум версия 1803, и вы можете ответить на контрольные вопросы для повторного входа в систему.

    После ввода неверного пароля:

    1. Выберите ссылку Сбросить пароль на экране входа.Если вместо этого вы используете PIN-код, см. Раздел Проблемы при входе с помощью PIN-кода. Если вы используете рабочее устройство, подключенное к сети, вы можете не увидеть возможность сбросить пароль или PIN-код. В этом случае обратитесь к своему администратору.

    2. Ответьте на ваши вопросы безопасности.

    3. Введите новый пароль.

    4. Войдите как обычно, используя новый пароль.

    Сброс пароля локальной учетной записи для Windows 10 до версии 1803

    Для версий Windows 10 ранее, чем 1803, пароли локальных учетных записей не могут быть сброшены, поскольку нет вопросов безопасности. Вы можете сбросить настройки своего устройства, чтобы выбрать новый пароль, однако эта опция навсегда удалит ваши данные, программы и настройки. Если вы сделали резервную копию своих файлов, вы сможете восстановить удаленные файлы.Дополнительные сведения см. В разделе Параметры восстановления в Windows 10.

    .

    Для сброса настроек устройства, при котором будут удалены данные, программы и настройки:

    1. Нажмите клавишу Shift , одновременно нажимая кнопку Power > Restart в правом нижнем углу экрана.

    2. На экране Выберите вариант выберите Устранение неполадок > Перезагрузите этот компьютер.

    3. Выбрать Удалить все .

    .Учетные записи

    Ограничение использования пустых паролей для локальной учетной записи (Windows 10) - Windows Security

    • 3 минуты на чтение

    В этой статье

    Относится к

    Описывает передовой опыт, расположение, значения и соображения безопасности для учетных записей : ограничение использования пустых паролей локальной учетной записи только для входа в консоль. Параметр политики безопасности.

    Ссылка

    Учетные записи : ограничение использования пустых паролей в локальной учетной записи только для входа в консоль Параметр политики определяет, разрешены ли удаленные интерактивные входы в систему с помощью сетевых служб, таких как службы удаленных рабочих столов, Telnet и протокол передачи файлов (FTP) для локальных учетных записей с пустыми пароли. Если этот параметр политики включен, локальная учетная запись должна иметь непустой пароль, который будет использоваться для выполнения интерактивного или сетевого входа в систему с удаленного клиента.

    Этот параметр политики не влияет на интерактивный вход в систему, который выполняется физически с консоли, или в систему, использующую учетные записи домена.Для приложений сторонних производителей, использующих удаленный интерактивный вход в систему, можно обойти этот параметр политики. Пустые пароли представляют собой серьезную угрозу для компьютерной безопасности, и их следует запретить с помощью корпоративной политики и соответствующих технических мер. Тем не менее, если пользователь с возможностью создавать новые учетные записи создает учетную запись, которая обходит ваши настройки политики паролей на основе домена, эта учетная запись может иметь пустой пароль. Например, пользователь может создать автономную систему, создать одну или несколько учетных записей с пустыми паролями, а затем присоединить компьютер к домену.Локальные учетные записи с пустыми паролями по-прежнему будут работать. Любой, кто знает имя учетной записи, может затем использовать учетные записи с пустыми паролями для входа в систему.

    Устройства, которые не находятся в физически безопасных местах, всегда должны применять политики надежных паролей для всех локальных учетных записей пользователей. В противном случае любой, у кого есть физический доступ к устройству, может войти в систему, используя учетную запись пользователя без пароля. Это особенно важно для портативных устройств.

    Если применить эту политику безопасности к группе «Все», никто не сможет войти в систему через службы удаленных рабочих столов.

    Возможные значения

    • Включено
    • Отключено
    • Не определено

    Лучшие практики

    • Рекомендуется установить Учетные записи: Ограничьте использование пустых паролей локальной учетной записью только для входа в консоль. - Включено.

    Расположение

    Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности

    Значения по умолчанию

    В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики.Значения по умолчанию также перечислены на странице свойств политики.

    Тип сервера или GPO Значение по умолчанию
    Политика домена по умолчанию Не определено
    Политика контроллера домена по умолчанию Не определено
    Настройки по умолчанию для автономного сервера Включено
    DC Действующие настройки по умолчанию Включено
    Действующие настройки рядового сервера по умолчанию Включено
    Эффективные настройки по умолчанию для клиентского компьютера Включено

    Управление политиками

    В этом разделе описаны функции и инструменты, которые помогут вам управлять этой политикой.

    Требование перезапуска

    Нет. Изменения этой политики вступают в силу без перезапуска устройства, если они сохраняются локально или распространяются через групповую политику.

    Соображения о конфликте политики

    Политика, распространяемая через GPO, имеет приоритет над локально настроенным параметром политики на компьютере, присоединенном к домену. На контроллере домена используйте ADSI Edit или команду dsquery, чтобы определить эффективную минимальную длину пароля.

    Групповая политика

    Этот параметр политики можно настроить с помощью консоли управления групповой политикой (GPMC) для распространения через объекты групповой политики (GPO).Если эта политика не содержится в распределенном объекте групповой политики, ее можно настроить на локальном устройстве с помощью оснастки «Локальная политика безопасности».

    Соображения безопасности

    В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать меры противодействия и возможные негативные последствия реализации мер противодействия.

    Уязвимость

    Пустые пароли представляют серьезную угрозу компьютерной безопасности, и они должны быть запрещены политикой организации и соответствующими техническими мерами.Начиная с Windows Server 2003, параметры по умолчанию для доменов Active Directory требуют сложных паролей из не менее семи символов и восьми символов, начиная с Windows Server 2008. Однако, если пользователи, имеющие возможность создавать новые учетные записи, обходят ваши доменные политики паролей, они могли создавать учетные записи с пустыми паролями. Например, пользователь может создать автономный компьютер, создать одну или несколько учетных записей с пустыми паролями, а затем присоединить компьютер к домену. Локальные учетные записи с пустыми паролями по-прежнему будут работать.Любой, кто знает имя одной из этих незащищенных учетных записей, может затем использовать ее для входа в систему.

    Противодействие

    Включите учетные записи : Ограничьте использование пустых паролей локальной учетной записью только для входа в консоль. .

    Возможное воздействие

    Нет. Это конфигурация по умолчанию.

    Параметры безопасности

    .

    учетных записей служб (Windows 10) - Microsoft 365 Security

    • 6 минут на чтение

    В этой статье

    Относится к

    • Windows 10
    • Windows Server 2016

    В этом разделе для ИТ-специалистов объясняются групповые и автономные управляемые учетные записи служб, а также учетная запись виртуального компьютера для конкретного компьютера, а также приводятся ссылки на ресурсы, посвященные этим учетным записям служб.

    Обзор

    Учетная запись службы - это учетная запись пользователя, которая создается явно для обеспечения контекста безопасности для служб, работающих в операционных системах Windows Server. Контекст безопасности определяет способность службы получать доступ к локальным и сетевым ресурсам. Операционные системы Windows полагаются на службы для запуска различных функций. Эти службы можно настроить с помощью приложений, оснастки «Службы», диспетчера задач или с помощью Windows PowerShell.

    В этом разделе содержится информация о следующих типах учетных записей служб:

    Автономные управляемые учетные записи служб

    Управляемая учетная запись службы предназначена для изоляции учетных записей домена в важных приложениях, таких как Internet Information Services (IIS), и устраняет необходимость для администратора вручную администрировать имя участника службы (SPN) и учетные данные для учетных записей.

    Чтобы использовать управляемые учетные записи служб, сервер, на котором установлено приложение или служба, должен работать под управлением Windows Server 2008 R2 как минимум. Одна управляемая учетная запись службы может использоваться для служб на одном компьютере. Управляемые учетные записи служб нельзя использовать совместно с несколькими компьютерами, и их нельзя использовать в кластерах серверов, где служба реплицируется на нескольких узлах кластера. Для этого сценария необходимо использовать учетную запись службы, управляемой группой. Для получения дополнительной информации см. Обзор групповых управляемых учетных записей служб.

    В дополнение к повышенной безопасности, которая обеспечивается индивидуальными учетными записями для критически важных служб, существует четыре важных административных преимущества, связанных с управляемыми учетными записями служб:

    • Вы можете создать класс учетных записей домена, которые можно использовать для управления и обслуживания служб на локальных компьютерах.

    • В отличие от учетных записей домена, в которых администраторы должны сбрасывать пароли вручную, сетевые пароли для этих учетных записей сбрасываются автоматически.

    • Чтобы использовать управляемые учетные записи служб, не нужно выполнять сложные задачи управления SPN.

    • Административные задачи для управляемых учетных записей служб можно делегировать не администраторам.

    Требования к программному обеспечению

    Учетные записи управляемых служб

    применяются к операционным системам Windows, указанным в списке Применимо к в начале этого раздела.

    Групповые управляемые сервисные счета

    Групповые управляемые учетные записи служб являются расширением автономных управляемых учетных записей служб, которые были представлены в Windows Server 2008 R2.Это управляемые учетные записи домена, которые обеспечивают автоматическое управление паролями и упрощенное управление именами участников-служб (SPN), включая делегирование управления другим администраторам.

    Учетная запись групповой управляемой службы обеспечивает те же функциональные возможности, что и отдельная управляемая учетная запись службы в домене, но расширяет эту функциональность на несколько серверов. При подключении к службе, размещенной на ферме серверов, такой как балансировка сетевой нагрузки, протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, требуют, чтобы все экземпляры служб использовали одного и того же участника.Когда групповые управляемые учетные записи служб используются в качестве субъектов служб, операционная система Windows Server управляет паролем для учетной записи, а не полагается на администратора для управления паролем.

    Служба распространения ключей Microsoft (kdssvc.dll) предоставляет механизм для безопасного получения последнего ключа или определенного ключа с идентификатором ключа для учетной записи Active Directory. Эта служба была представлена ​​в Windows Server 2012 и не работает в предыдущих версиях операционной системы Windows Server.Служба распространения ключей разделяет секрет, который используется для создания ключей для учетной записи. Эти ключи периодически меняются. Для учетной записи групповой управляемой службы контроллер домена вычисляет пароль на ключе, который предоставляется службами распространения ключей, в дополнение к другим атрибутам учетной записи групповой управляемой службы.

    Практическое применение

    Групповые управляемые учетные записи служб предоставляют единое решение для идентификации служб, работающих на ферме серверов или в системах, использующих балансировку сетевой нагрузки.Предоставляя решение для групповой управляемой учетной записи службы, службы могут быть настроены для субъекта групповой управляемой учетной записи службы, а управление паролями осуществляется операционной системой.

    Используя групповую управляемую учетную запись службы, службы или администраторы служб не нуждаются в управлении синхронизацией паролей между экземплярами службы. Учетная запись службы, управляемой группой, поддерживает узлы, которые отключены в течение длительного периода времени, и управление узлами-участниками для всех экземпляров службы.Это означает, что вы можете развернуть ферму серверов, поддерживающую единственное удостоверение, с которым существующие клиентские компьютеры могут проходить проверку подлинности, не зная экземпляра службы, к которой они подключаются.

    Отказоустойчивые кластеры не поддерживают групповые управляемые учетные записи служб. Однако службы, которые работают поверх службы кластеров, могут использовать учетную запись группы управляемой службы или отдельную управляемую учетную запись службы, если они являются службой Windows, пулом приложений, запланированной задачей или если они изначально поддерживают учетную запись управляемой группы или автономную. управляемые учетные записи служб.

    Требования к программному обеспечению

    Групповые управляемые учетные записи служб можно настраивать и администрировать только на компьютерах под управлением как минимум Windows Server 2012, но они могут быть развернуты как единое решение для удостоверения службы в доменах, в которых все еще есть контроллеры домена под управлением операционных систем более ранних версий, чем Windows Server 2012. Нет требования к функциональному уровню домена или леса.

    Для выполнения команд Windows PowerShell, используемых для администрирования групповых управляемых учетных записей служб, требуется 64-разрядная архитектура.

    Управляемая учетная запись службы зависит от типов шифрования, поддерживаемых Kerberos. Когда клиентский компьютер проходит проверку подлинности на сервере с использованием протокола Kerberos, контроллер домена создает билет службы Kerberos, защищенный шифрованием, поддерживаемым контроллером домена и сервером. Контроллер домена использует атрибут msDS-SupportedEncryptionTypes учетной записи, чтобы определить, какое шифрование поддерживает сервер, и, если атрибут отсутствует, он предполагает, что клиентский компьютер не поддерживает более надежные типы шифрования.Расширенный стандарт шифрования (AES) всегда должен быть явно настроен для управляемых учетных записей служб. Если компьютеры, на которых размещена управляемая учетная запись службы, не поддерживают RC4, проверка подлинности всегда завершается ошибкой.

    Примечание Стандарт шифрования данных (DES), представленный в Windows Server 2008 R2, по умолчанию отключен. Дополнительные сведения о поддерживаемых типах шифрования см. В разделе «Изменения в проверке подлинности Kerberos».

    Групповые управляемые учетные записи служб не применимы в операционных системах Windows до Windows Server 2012.

    Виртуальные счета

    Виртуальные учетные записи были введены в Windows Server 2008 R2 и Windows 7 и представляют собой управляемые локальные учетные записи, которые предоставляют следующие функции для упрощения администрирования служб:

    • Виртуальный счет управляется автоматически.

    • Виртуальная учетная запись может получить доступ к сети в доменной среде.

    • Управление паролями не требуется. Например, если значение по умолчанию используется для учетных записей служб во время установки SQL Server в Windows Server 2008 R2, виртуальная учетная запись, которая использует имя экземпляра в качестве имени службы, создается в формате NT SERVICE \ .

    Службы, которые запускаются как виртуальные учетные записи, получают доступ к сетевым ресурсам с использованием учетных данных учетной записи компьютера в формате <имя_домена> \ <имя_компьютера> $.

    Для получения информации о настройке и использовании учетных записей виртуальных служб см. Пошаговое руководство по учетным записям служб.

    Требования к программному обеспечению

    Виртуальные учетные записи

    применяются к операционным системам Windows, указанным в списке Применимо к в начале этого раздела.

    См. Также

    В следующей таблице приведены ссылки на дополнительные ресурсы, которые относятся к автономным управляемым учетным записям служб, групповым управляемым учетным записям служб и виртуальным учетным записям.

    .

    Смотрите также

  • Категории

  • Топ программ

  • Рейтинг программ

  • Голосуемые

    •