Как получить права администратора на рабочем компьютере

Как получить права администратора в Windows 7, 10

Возможность проводить действия с папками и файлами, относящимися к системной конфигурации, даёт только получение прав администратора в Windows. Без расширенного доступа на праве администратора система Windows не может быть в безопасности.

К тому же административная учётная запись даст пользователю право редактировать и удалять не только системные, но и другие папки и файлы, имеющие ограниченный доступ. Запускать некоторые программы, делать настройки без таких расширенных полномочий также нельзя. Рассмотрим все возможности того, как получить права администратора в Windows.

Командная строка

Рекомендуем воспользоваться меню кнопки «Пуск». При этом, если на компьютере стоит Windows 10, добраться до командной строки можно просто кликнув правой кнопкой мыши «Пуск». Затем выбирается пункт «Командная строка (администратор)». Независимо от версии операционной системы вводится такая команда: net user администратор /active:yes:

Редактор групповой политики

Применять этот редактор имеет смысл только, если у вас установлена система в редакции «Профессиональная». Нужно открыть окно «Выполнить» одновременным нажатием Win и R. В окошке прописывается команда gpedit.msc:

Далее, зайдя в раздел, расположенный слева, под названием «Параметры безопасности» надо активировать параметр «Состояние учётной записи Администратора». Это делается двойным кликом. Повышение прав доступа станет возможным после перезагрузки системы:

Мы описали, как получить полные права администратора в Windows 7 и 10. Примерно таким же образом надо действовать в случае Windows 8.1, разве что называться открывшееся окно будет иначе – «Локальная политика безопасности».

Настройка учётных записей

Если ваша версия Windows имеет статус профессиональной, можно применить и метод учётных записей. Их параметры имеются в любой версии операционной системы. Нужно сходным образом вызвать окошко «Выполнить», но прописать уже другую команду — control userpasswords2:

Чтобы управлять учётными записями пользователей надо нажать кнопку «Дополнительно», находящуюся на поле «Дополнительное управление пользователями»:

Появится окно, где слева нужно открыть раздел «Пользователи». В нём, уже с правой стороны, необходимо дважды нажать на строку «Администратор». Во вновь открывшемся окне следует убрать галочку в квадратике «Отключить учётную запись». По аналогии с прошлым методом требуется перегрузить компьютер или ноутбук:

Встроенный компонент

Здесь все вообще очень просто, но метод работает только для Windows 10. Для этого в строку поиска вводим «Администратор». Когда появится «Включить встроенного администратора» нажимаем и перезагружаем компьютер:

Если самостоятельно провести эти операции не получилось или возникли вопросы, то наши мастера готовы помочь. «Служба добрых дел» работает круглосуточно. Мы проводим консультации по телефону или выезжаем в офис и на дом в удобное время. Оставьте заявку любым оптимальным для вас способом, и мы непременно ответим на возникшие вопросы или сделаем все за вас!

Как получить или убрать права администратора в Windows

В процессе пользования компьютером можно заметить, что изначально пользователь не имеет полного доступа ко всем настройкам и параметрам. Как следствие, не удаётся внести некоторые значительные изменения в систему. Чтобы исправить эту ситуацию необходимо получить права администратора системы. В этой статье разберёмся с тем, как получить или убрать права администратора в Windows 10 и более ранних версиях. Давайте же начнём. Поехали!

О том, как включить и отключить администратора

Права администратора — это очень полезная вещь, которая даст вам более широкие полномочия при работе с системой. Запустить программу с правами администратора можно, перейдя к свойствам ярлыка, кликнув правой кнопкой мыши, однако, в этом случае они будут неполными и для некоторых изменений их может не хватить, например, для активации «Режима бога». Получение нужных прав в системе будет полезно многим пользователям. Рассмотрим процесс включения этого режима на примере самой новой версии операционной системы Windows 10, если на вашем компьютере установлен более старый Виндовс, в этом нет ничего страшного, поскольку процесс ничем не отличается.

Первым делом необходимо открыть окно «Выполнить». Делается это нажатием комбинации клавиш Win+R. Далее, в соответствующем поле для поиска введите control userpasswords2 и нажмите кнопку «ОК».

Пишем control userpasswords2 (именно с цифрой 2 на конце)

После этого появится новое окно «Учётные записи пользователей». Перейдите к вкладке «Дополнительно» и нажмите одноимённую кнопку в разделе «Дополнительное управление пользователями». Вы попадёте в окно утилиты, которая называется «Управление локальными пользователями и группами». Перейдите к папке «Пользователи», расположенной слева.

Производя все указанные действия, будьте внимательны

Дважды щёлкните по учётной записи «Администратор», чтобы открыть её свойства. Находясь на вкладке «Общие», снимите птичку с пункта «Отключить учётную запись», а затем подтвердите внесённые изменения. Готово. Остаётся только перезагрузить компьютер, чтобы новые параметры вступили в силу.

Если при запуске системы появляется страница выбора пользователя, то можно удалить старую учётную запись, однако, в этом случае можно потерять некоторые данные. Поэтому лучше всего выполнять эту операцию сразу после того, как была переустановлена система.

Если необходимо убрать права администратора, откройте то же самое окно и установите галочку напротив пункта «Отключить учётную запись». Если вы используете Windows 8, то проще и удобнее всего это можно сделать через командную строку. Воспользуйтесь комбинацией клавиш Win+R и пропишите в поле для поиска «cmd». Далее, введите в командной строке команду:

Net user Администратор /Active:no

Команда Net user Администратор /Active:yes (либо /Active:no)

Нажмите Enter для выполнения. Как только команда будет выполнена, на экране появится специальное сообщение с информацией о том, что функция была отключена. Точно так же можно включать или отключать любые другие учётные записи, указывая их имена вместо «Администратор» и «yes» — если хотите получить, либо «no» — если хотите убрать права для конкретного пользователя. Через командную строку сделать это гораздо проще и быстрее, но, если отсутствие интерфейса неудобно для вас, вы можете воспользоваться классическим способом, приведённым выше.

Получение прав админа не гарантирует безопасность

Нужно заметить, что если учётная запись обладает правами администратора системы, то их получат и все вредоносные программы, попавшие на компьютер. То есть зловредное ПО сможет нанести больший вред всей системе. Если установленное антивирусное программное обеспечение недостаточно надёжно или отсутствует вовсе, лучше воздержаться от активации полных полномочий, чтобы не навредить безопасности компьютера.

Теперь вы знаете, что делать, если понадобится получить полные права администратора в Windows 8, 10 и более ранних версиях, также вы всегда сможете легко их убрать, если возникнет такая необходимость. Пишите в комментариях помогла ли эта статья разобраться в вопросе и спрашивайте, если что-то осталось непонятным после ознакомления с материалом.

Как получить права администратора в Windows 7, 8, 10

При работе с операционной системой Windows пользователю приходится прибегать к решению задач, требующих повышенные привилегии. Стандартно, вы можете редактировать в Виндовс любые файлы, устанавливать приложения. Для изменения каких-то системных конфигурационных файлов потребуются права администратора. Конечно, редактировать системные файлы нужно с осторожностью, так как, в какой-то момент Windows не запустится или будет работать некорректно.

Также в каких-то коммерческих компаниях имеется администратор, следящий за компьютерами в офисах. Для этого у него есть повышенные привилегии, которые осуществляют доступ к любому месту в системе.

Использование командной строки

Самый распространённый метод включения повышенных привелегий – пустить в ход командную строку. В Виндовс 10 и 7 можно использовать меню Пуск. В «десятке» нажимаем правой кнопкой мышки по Пуску и выбираем командную строку от имени администратора. Чтобы активировать повышенные привилегии вбиваем следующую фразу:

net user администратор /active:yes

Теперь можно войти с использованием данной учетки.

Встроенный компонент Windows 10

Достаточно простой метод. В Windows 10 открываем поиск на панели задач и вбиваем слово «Администратор».

Нажимаем на результат «Включить встроенного администратора при следующей загрузке». После чего надо перезапустить ПК.

Использование редактора групповых политик

Чтобы использовать данный метод нужно убедиться, что система имеет редакцию «Профессиональная», иначе работать не будет. Открываем окошко «Выполнить» с помощью сочетания Win+R и прописываем команду gpedit.msc.

Теперь слева открываем такой раздел: Параметры безопасности. С правой стороны окошка находим параметр «Состояние учетной записи Администратора». Должно быть активно. Для этого дважды нажимаем по параметру и включаем его.

После перезагрузки Windows, пользователю будут доступны повышенные права.

Настройки учетных записей пользователей

В любой версии Windows есть основные параметры учетных записей. Чтобы их настраивать надо зажать клавиши Win+R и прописать команду control userpasswords2.

Идём на вкладку «Дополнительно» и жмём кнопку «Дополнительно» в поле «Дополнительное управление пользователями».

Важно! В данном способе редакция Windows должна соответствовать профессиональной, так как в других версиях «Локальные пользователи и группы» не работают.

• Слева открываем раздел «Пользователи».
• Справа находим строчку «Администратор» и дважды нажимаем по ней.
• В открывавшемся окошке сниманием галочку с опции «Отключить учетную запись».
• Чтобы получить повышенные права надо перезапустить ноутбук или ПК.

Если запись была удалена

Бываю случаи, когда в системе вышеуказанными способами обнаружить учетную запись с повышенными правами не удается. В этом случае её могли удалить как пользователи, так и вирусы. Для исправления проблемы стоит выполнить следующий ряд действий:

• Устранение неполадок компьютера из безопасного режима;
• Проверка компьютера на вирусы различными утилитами;
• Восстановление образа системы с помощью команды DISM;
• Восстановление системы.

Читайте также:

Как обычному пользователю Windows получить права администратора, чтобы об этом не узнал владелец компьютера

Не так давно мы опубликовали материал, в котором для установки программы без прав администратора предлагалось использовать скрипт для подавления контроля учетных записей. Полагаем, что у более или менее опытных пользователей этот материал вызвал вопрос по поводу самой возможности обхода ограничений администратора. На самом деле речь шла не о получении администраторских прав, а о получении разрешения установить программу с правами текущего пользователя.

Причём если в самой программе изначально заложена такая возможность.

К тому же мы тут же пояснили, что применение трюка никак не повышает права, если вы работаете под учетной записью обычного пользователя, вы всё равно получите запрос ввести пароль администратора. Если вы хотите обойти такое требование, вам самому нужно стать администратором. Хотя бы временно. И провернуть такое вполне реально, правда, вам придется поработать в загрузочной среде.

Перемещение пользователя в группу Администраторы, не имея прав администратора

Использование команды net localgroup вряд ли здесь поможет, поскольку уже при выводе имен пользователей в загрузочной среде в консоли командой net users вы получите ошибку. Для временного перемещения обычного пользователя мы будем использовать утилиту OO UserManager, входящую в состав ряда спасательных дисков, включая диск WinPE 10-8 Sergei Strelec.

Итак, загрузите компьютер с диска Стрельца и запустите обозначенную утилиту из меню Пуск Программы WinPE -> Сброс паролей.

При этом автоматически будет создан бекап пользовательской базы данных.

Нажмите «OK» и выберите в открывшемся окне вашего пользователя.

Открыв его свойства и просмотрев права на вкладке «Членство в группах», вы обнаружите, что его группа не имеет прав на изменение параметров системы.

Поэтому жмем кнопку «Добавить», выбираем в списке «Администраторы» и нажимаем кнопку-стрелку «Вниз», чтобы добавить группу в список.

После нажатия «Добавить» группа появится на вкладке «Членство в группах».

Чтобы сохранить настройки, нажмите «Применить» и «OK». Всё, можно выходить из среды WinPE 10-8 Sergei Strelec и загружаться в обычном режиме в свою учетную запись.

Если вы теперь откроете ее свойства, то увидите, что она находится в группе «Администраторы».

Установив нужные вам программы, удалите свою учетную запись из админской группы, используя для этого либо ту же OO UserManager, либо PowerShell.

Второй способ даже удобнее, поскольку избавляет от необходимости загружаться с диска Стрельца.

Запускаем PowerShell с имеющимися у нас на данный момент администраторскими правами и выполняем команду:

net localgroup Администраторы USER /delete

USER в данном примере это имя пользователя, которого нужно удалить из группы «Администраторы».

Перезагрузив ПК и просмотрев свойства вашей учетной записи, вы увидите, что она, как и прежде, не имеет в системе привилегий.

Будьте, однако, осторожны, проводя подобные манипуляции на не принадлежащем вам компьютере, так как ваши действия наверняка сохранятся в логах системы, и опытный администратор при желании сможет найти их и прочитать.

Как получить права администратора Windows

• Рейтинги
• Обзоры
  • Смартфоны и планшеты
  • Компьютеры и ноутбуки
  • Комплектующие
  • Периферия
  • Фото и видео
  • Аксессуары
  • ТВ и аудио
  • Техника для дома
  • Программы и приложения
• Новости
• Советы
  • Покупка
  • Эксплуатация
  • Ремонт
• Подборки
  • Смартфоны и планшеты

Как получить полный контроль над компьютером, используя права Суперадмина

• Рейтинги
• Обзоры
  • Смартфоны и планшеты
  • Компьютеры и ноутбуки
  • Комплектующие
  • Периферия
  • Фото и видео
  • Аксессуары
  • ТВ и аудио
  • Техника для дома
  • Программы и приложения
• Новости
• Советы
  • Покупка
  • Эксплуатация
  • Ремонт
• Подборки

Как получить права администратора в Windows

Windows разделяет учетные записи пользователей на уровни администратора и стандартный. Стандартные учетные записи могут вносить изменения, не влияющие на других пользователей компьютера, например параметры персонализации или установку программного обеспечения для себя. Однако вам понадобится учетная запись администратора, чтобы изменять часы, получать доступ к защищенным системным файлам, добавлять пользователей и выполнять аналогичные действия.

Возможно, вы только что пытались получить к чему-то доступ, но вам сказали, что у вас нет прав администратора.Мы покажем вам, как получить права администратора в Windows 10.

Во-первых: убедитесь, что у вас есть права администратора

Это кажется очевидным, но, возможно, у вас нет прав администратора на компьютере, потому что владелец этого не хочет.На корпоративном компьютере или компьютере, принадлежащем вашим родителям, друзьям и т. Д., Вы, вероятно, были ограничены стандартной учетной записью, поэтому вы не можете вносить существенные изменения.

Если вам нужен доступ администратора на чужом компьютере, попросите его внести изменения или обновить вашу учетную запись с правами администратора.К сожалению, мы не можем показать вам, как обойти ограничения администратора в Windows 10 для школьного компьютера или аналогичного. Вы должны уважать меры контроля, установленные менеджером компьютера.

Контроль учетных записей пользователей: знайте свои права

Windows использует сине-желтый значок щита управления учетными записями пользователей (UAC) для обозначения функций компьютера, требующих прав администратора.Если вы попытаетесь принять меры, вы увидите два разных запроса в зависимости от того, являетесь ли вы администратором или нет.

Администраторам просто нужно нажать Да , когда их спросят, хотят ли они разрешить программе вносить изменения.Стандартные учетные записи должны ввести пароль администратора, чтобы продолжить.

Это позволяет выполнять административные функции без постоянного входа в учетную запись администратора.Если вы знаете пароль администратора, вы можете получать подсказки UAC. См. Наш обзор управления учетными записями пользователей для получения дополнительной информации о том, как это работает.

Если вы хотите повысить уровень своей стандартной учетной записи до учетной записи администратора, другому администратору потребуется перейти в Настройки > Учетные записи> Семья и другие пользователи . Выберите свою учетную запись в разделе Другие люди (или Ваша семья ), если она у вас есть) и нажмите кнопку Изменить тип учетной записи .

Измените его с Standard User на Administrator , и вы получите полные права.

Также разумно убедиться, что вы не отключили UAC.Это предотвратит то, что стандартные учетные записи даже не будут видеть запросы UAC, поэтому попытка выполнить действия администратора потерпит неудачу без уведомления.

Чтобы проверить это, введите UAC в меню «Пуск» и нажмите Изменить настройки управления учетными записями пользователей .Убедитесь, что ползунок не установлен в нижнюю позицию Никогда не уведомлять . Второй вариант сверху используется по умолчанию и в большинстве случаев должен работать нормально.

Если вы забыли пароль учетной записи администратора

Одна из распространенных ситуаций, когда вы не можете войти в учетную запись администратора, возникает, когда вы теряете свой пароль.К счастью, вы не заблокированы, даже если пароль ускользнул от вас.

Мы рассмотрели, как сбросить пароль Windows.Если вы используете логин Microsoft для учетной записи администратора, легко сбросить пароль через портал Microsoft. У локальных учетных записей есть несколько других методов сброса пароля, но они требуют некоторой работы.

Как только вы восстановите пароль своей учетной записи, вы снова получите полные права администратора.

Временный доступ к учетной записи администратора Windows

Начиная с Windows Vista и появления UAC, Windows поставляется с отключенной встроенной учетной записью администратора.Это сделано для защиты вашего ПК, поскольку учетная запись администратора по умолчанию может выполнять любые действия на вашем компьютере без ограничений. Очевидно, если вредоносное ПО завладело этой учетной записью, это было бы огромной проблемой.

В Windows есть несколько утилит для предоставления прав администратора вашей учетной записи, но ни одна из них не будет работать, если вы сами не являетесь администратором.В зависимости от того, в чем именно заключается ваша проблема с правами администратора (возможно, вы можете принимать запросы UAC, но не получать доступ к файлам других пользователей), вы все равно можете включить встроенную учетную запись администратора.

Чтобы включить учетную запись администратора по умолчанию, щелкните правой кнопкой мыши кнопку Пуск или нажмите Win + X .Выберите Командная строка (администратор) или Windows PowerShell (администратор) , чтобы открыть командную строку с повышенными привилегиями. Если вы можете это сделать, введите эту команду, чтобы включить встроенную учетную запись администратора:

  сетевой администратор пользователя / активный: есть 
  

Теперь просто выйдите из своей учетной записи, и вы увидите Administrator в качестве опции.У него нет пароля, поэтому вы можете войти в систему и выполнить любую функцию, которая вам нравится. Когда вы закончите работу, вы должны снова запустить указанную выше команду и изменить yes на no , чтобы отключить ее в целях безопасности.

Временное решение для встроенной учетной записи администратора

Если вы попытаетесь открыть командную строку с повышенными привилегиями, указанную выше, и не можете сделать это из-за отсутствия прав администратора, вам придется включить учетную запись администратора, используя обходной путь.

Для этого обратитесь к нашему подробному руководству по сбросу пароля Windows, так как оно содержит инструкции по обходному пути для включения этой учетной записи.

Как исправить права администратора в вашей учетной записи

После того, как вы вошли в систему с учетной записью администратора, вы можете использовать инструменты Windows, чтобы исправить проблемы в своей учетной записи администратора.Начните с посещения той же страницы учетных записей, что и раньше, чтобы убедиться, что ваша учетная запись действительно является администратором: Настройки> Учетные записи> Семья и другие пользователи .

Щелкните имя своей учетной записи под Другие пользователи (или Ваша семья , если применимо), а затем нажмите кнопку Изменить тип учетной записи .Измените раскрывающийся список с Standard User на Administrator , если это еще не сделано.

Другой способ сделать это - использовать страницу Учетные записи пользователей .Введите netplwiz в меню «Пуск» (или в меню «Выполнить» Win + R ), чтобы получить к нему доступ. Здесь вы увидите список всех пользователей вашего компьютера.

Щелкните один и нажмите кнопку Properties , затем выберите вкладку Group Membership .Вы можете изменить учетную запись с Стандартные пользователи на Администратор . Опция Other содержит множество других типов учетных записей, которые не используются за пределами бизнеса.

Есть еще одно место, которое вы должны проверить, чтобы убедиться, что вы не упускаете никаких прав.Откройте в проводнике файлов This PC . В разделе Устройства и диски щелкните правой кнопкой мыши основной диск (вероятно, тот, который помечен как C: ) и выберите Свойства .

В появившемся окне перейдите на вкладку Security .Затем нажмите кнопку Advanced внизу. Вы увидите полный список разрешений для каждой группы пользователей на вашем ПК. Это будет отличаться, если вы внесли изменения, но вот представление о том, как должен выглядеть обычный список разрешений:

Убедитесь, что группа «Администраторы » имеет полный доступ , указанный для Access .Если нет, значит, вы нашли причину, по которой не можете просмотреть все файлы. Нажмите кнопку Изменить разрешения сначала, чтобы внести изменения, затем дважды щелкните группу, чтобы изменить ее.

Обязательно отметьте поле Полный доступ для группы Администраторы .Помните, вы не должны ничего менять здесь, в чем не уверены. Если у вас все еще возникают проблемы, попробуйте создать новую учетную запись администратора в Настройки> Учетные записи> Семья и другие пользователи> Добавить кого-нибудь на этот компьютер .

Получение прав администратора: успех

Мы рассмотрели наиболее распространенные решения для получения прав администратора в Windows 10.Независимо от того, отключили ли вы UAC, забыли пароль или страдаете от странных настроек файлов, эти методы позволяют восстановить права администратора и снова управлять своим компьютером.

Теперь, когда вы являетесь администратором, убедитесь, что вы знаете, как запускать программы от имени администратора в Windows.Вы также можете заблокировать свой компьютер с Windows, чтобы другие пользователи не могли получить доступ к конфиденциальным функциям. И последнее, но не менее важное: как опытный пользователь, вам также необходимо попробовать Windows 10 PowerToys.

Кредиты изображений: Сергей Нивенс / Shutterstock

Не лучше ли оставлять компьютер включенным, даже если вы им не пользуетесь? Или всегда нужно выключать компьютер? Вот плюсы и минусы обоих!

Бен - заместитель редактора и менеджер по адаптации в MakeUseOf.Он оставил свою работу в сфере ИТ, чтобы писать полный рабочий день в 2016 году, и никогда не оглядывался назад. В качестве профессионального писателя он освещал технические руководства, рекомендации по видеоиграм и многое другое уже более шести лет.

Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

Как мне узнать, есть ли у меня права администратора Windows?

Обновлено: 27.02.2019 компанией Computer Hope

В зависимости от версии Windows на вашем компьютере шаги по определению наличия у вашей учетной записи прав администратора могут отличаться. Следуйте инструкциям ниже для версии Windows на вашем компьютере.

Windows Vista, 7, 8 и 10

Самый простой способ проверить, есть ли у вашей учетной записи права администратора на компьютере, - это получить доступ к учетным записям пользователей в Windows.

1. Откройте панель управления.
2. Щелкните опцию Учетные записи пользователей .
3. В User Accounts вы видите имя вашей учетной записи, указанное справа. Если у вашей учетной записи есть права администратора, под ее именем будет написано «Администратор».

Windows XP

1. На рабочем столе Windows щелкните правой кнопкой мыши «Мой компьютер».
2. Щелкните Manage , чтобы открыть окно Computer Management , как показано ниже.

3. Щелкните + рядом с Локальные пользователи и группы или дважды щелкните его.

Если вы не можете получить доступ к этому разделу, у вас нет прав администратора на компьютере.

4. Щелкните Пользователи , и на правой панели вы увидите все настройки учетных записей пользователей на вашем компьютере.
5. Дважды щелкните по интересующей вас учетной записи.
6. Щелкните вкладку Член .
7. Если пользователь является членом «Администраторов», эта учетная запись имеет права администратора.

Как мне войти в систему как администратор?

Администратор - это человек, который может вносить изменения на компьютере, которые повлияют на других пользователей компьютера. Администраторы могут изменять параметры безопасности, устанавливать программное обеспечение и оборудование, получать доступ ко всем файлам на компьютере и вносить изменения в учетные записи других пользователей. Чтобы войти в систему как администратор, вам необходимо иметь учетную запись пользователя на компьютере с учетной записью типа Administrator .

Если вы не уверены, является ли ваша учетная запись на компьютере учетной записью администратора, вы можете проверить тип учетной записи после входа в систему.Действия, которые вы должны выполнить, будут различаться в зависимости от того, находится ли ваш компьютер в домене или в рабочей группе.

1. Введите имя пользователя и пароль для своей учетной записи на экране приветствия.

2. Откройте учетные записи пользователей, нажав кнопку Start , нажав Control Panel , нажав User Accounts , щелкнув User Accounts, а затем нажав Manage User Accounts .Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.

   Ваше имя пользователя выделено, а тип вашей учетной записи отображается в столбце Group .
   

1. Введите имя пользователя и пароль для своей учетной записи на экране приветствия.

2. Откройте учетные записи пользователей, нажав кнопку Start , нажав Control Panel , нажав User Accounts and Family Safety , щелкнув User Accounts , а затем нажав Manage another account .Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.

   Тип вашей учетной записи отображается под вашим именем пользователя.

   Если тип вашей учетной записи - Администратор , то в настоящее время вы вошли в систему как администратор.
   

Если тип вашей учетной записи не Администратор , то вы не сможете войти в систему как администратор, если не знаете пароль имени пользователя для другой учетной записи на компьютере, который является администратором.Если вы не являетесь администратором, вы можете попросить администратора изменить тип вашей учетной записи.

Создайте локальную учетную запись пользователя или администратора в Windows 10

Создайте локальную учетную запись пользователя для ребенка или кого-то еще, у кого нет учетной записи Microsoft. При необходимости вы можете предоставить этой учетной записи права администратора. Автономная учетная запись - это просто еще один термин для локальной учетной записи.

При создании учетной записи помните, что выбор пароля и его безопасность являются важными шагами. Поскольку мы не знаем ваш пароль, если вы его забудете или потеряете, мы не сможем его восстановить.

Если вы используете Windows 10 версии 1803 или более поздней, вы можете добавить контрольные вопросы, как вы увидите на шаге 4 в разделе Создание локальной учетной записи пользователя . Ответив на контрольные вопросы, вы можете сбросить пароль локальной учетной записи Windows 10.

Создайте локальную учетную запись пользователя

1. Выберите Start > Settings > Accounts , а затем выберите Family & other users. (В некоторых выпусках Windows вы увидите Другие пользователи .)

2. Выберите Добавить кого-нибудь на этот ПК .

3. Выберите У меня нет данных для входа этого человека , а на следующей странице выберите Добавить пользователя без учетной записи Microsoft .

4. Введите имя пользователя, пароль, подсказку для пароля или выберите контрольные вопросы, а затем выберите Далее .

Создать другую учетную запись

Измените локальную учетную запись пользователя на учетную запись администратора

1.Выберите Start > Settings > Accounts , а затем в разделе Family & other users выберите имя владельца учетной записи, затем выберите Изменить тип учетной записи .

2. В Тип учетной записи выберите Администратор , и затем выберите OK .

3. Войдите в систему с новой учетной записью администратора.

Связанные темы

Справка по учетной записи Microsoft

Как сбросить пароль учетной записи Microsoft

Получите помощь при ошибках активации Windows

Как войти в режим администратора на компьютере | Small Business

Учетная запись администратора - самая мощная учетная запись, доступная в Windows 7; он обеспечивает полный доступ к режиму администратора, давая вам возможность вносить изменения не только в свою учетную запись пользователя, но и в другие учетные записи пользователей на том же компьютере. Как владелец бизнеса вы можете предоставить себе доступ к учетной записи администратора, чтобы обеспечить полный контроль над повседневными операциями компьютеров вашей компании.По умолчанию Windows 7 отключает учетную запись администратора; однако есть два способа повторно включить учетную запись администратора: с помощью инструмента «Управление компьютером» или с помощью командной строки.

Управление компьютером

2

Щелкните правой кнопкой мыши «Компьютер». Выберите «Управление» во всплывающем меню, чтобы открыть окно «Управление компьютером».

3

Щелкните стрелку рядом с локальными пользователями и группами на левой панели.

4

Дважды щелкните папку «Пользователи».

5

Щелкните «Администратор» в центральном списке.

6

Щелкните «Дополнительные действия» в списке действий. Выберите «Свойства» во всплывающем меню.

7

Щелкните поле рядом с «Учетная запись отключена» на вкладке «Общие», чтобы снять флажок с поля. Нажмите «Применить», а затем «ОК», чтобы активировать учетную запись администратора.

8

Щелкните «Администратор» на центральной панели окна «Управление компьютером». Нажмите «Дополнительные действия» в правой части окна, а затем «Установить пароль».«Нажмите« Продолжить ».

9

Введите свой пароль для учетной записи администратора в оба поля пароля. Нажмите« ОК ».

10

Откройте меню« Пуск ». Нажмите стрелку рядом с« Завершением работы »и нажмите «Выйти».

11

Нажмите «Администратор» и введите пароль администратора, чтобы войти в учетную запись администратора.

Командная строка

2

Введите «cmd» без кавычек в строке поиска в нижней части меню «Пуск».

3

Щелкните правой кнопкой мыши «cmd.exe» в списке результатов поиска и выберите «Запуск от имени администратора».

4

Введите в командной строке фразу «сетевой администратор / активный: да» без кавычек. Нажмите «Enter», чтобы активировать учетную запись администратора.

Ссылки

Советы

• Папка «Локальные пользователи и группы» доступна только в версиях Windows 7 Professional и Ultimate.
• Отключите учетную запись администратора, набрав «net user administrator / active: no» без кавычек в командной строке.

Writer Bio

Джошуа Филлипс сделал все, что касается видеоигр: руководства по стратегии, превью, обзоры, подробные интервью с разработчиками и обширную работу по связям с общественностью. Он писал для таких сайтов, как Hardcore Gaming 101 и MyInsideGamer.

локальных учетных записей (Windows 10) - Microsoft 365 Security

• 28.02.2019
• 20 минут на чтение

В этой статье

Относится к

• Windows 10
• Windows Server 2019
• Windows Server 2016

В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.

Об учетных записях локальных пользователей

Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей - это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.

В этом разделе описывается следующее:

Для получения информации об участниках безопасности см. Принципы безопасности.

Учетные записи локальных пользователей по умолчанию

Учетные записи локальных пользователей по умолчанию - это встроенные учетные записи, которые создаются автоматически при установке Windows.

После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступа к сетевым ресурсам.

Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления Microsoft (MMC) на локальном компьютере. Управление компьютером - это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.

Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.

Учетная запись администратора

Учетная запись локального администратора по умолчанию - это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5- домен -500, отображаемое имя «Администратор»). Учетная запись администратора - это первая учетная запись, которая создается во время установки Windows.

Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любое время взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.

Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования параметра Запуск от имени администратора .Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.

Членство в группе счетов

По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.

Учетную запись администратора нельзя удалить или удалить из группы «Администраторы», но ее можно переименовать.

Соображения безопасности

Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.

Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя.

В целях безопасности используйте локальную (не администраторскую) учетную запись для входа в систему, а затем используйте Запуск от имени администратора для выполнения задач, требующих более высокого уровня прав, чем стандартная учетная запись пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.

Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.

В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.

Примечание Пустые пароли не допускаются в версиях, указанных в списке Применимо к в начале этого раздела.

Важно Даже если учетная запись администратора отключена, ее все равно можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.

Гостевой аккаунт

Учетная запись гостя отключена по умолчанию при установке. Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.

Членство в группе счетов

По умолчанию учетная запись гостя является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы «Администраторы», может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

Соображения безопасности

При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения. По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.

Кроме того, гостевой пользователь в учетной записи «Гость» не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника)

Учетная запись HelpAssistant - это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если нет ожидающих запросов удаленного помощника.

HelpAssistant - это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет приглашение со своего компьютера по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, предоставляющему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.

Соображения безопасности

Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

• SID: S-1-5- <домен> -13, отображаемое имя Пользователь терминального сервера. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

• SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат идентификатор безопасности интерактивного входа.

Для операционной системы Windows Server Удаленный помощник - это дополнительный компонент, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.

Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.

Атрибуты учетной записи HelpAssistant

Счет по умолчанию

DefaultAccount, также известная как управляемая система по умолчанию (DSMA), - это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA - это хорошо известный тип учетной записи пользователя. Это нейтральная к пользователю учетная запись, которая может использоваться для запуска процессов, которые либо учитывают многопользовательскую, либо не зависят от пользователя.DSMA по умолчанию отключен для номеров SKU для настольных ПК (SKU для полной версии Windows) и WS 2016 с Desktop.

DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- -503

DSMA является членом хорошо известной группы System Managed Accounts Group , которая имеет известный SID S-1-5-32-581.

Псевдоним DSMA может получить доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи.Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).

Как Windows использует DefaultAccount

С точки зрения разрешений DefaultAccount - это стандартная учетная запись пользователя. DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA). Приложения MUMA работают постоянно и реагируют на вход и выход пользователей из устройств. В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.

MUMA работают в SKU общего сеанса, например Xbox. Например, оболочка Xbox - это приложение MUMA. Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения запускаются в этом контексте. Все приложения поддерживают работу с несколькими пользователями и реагируют на события, инициированные менеджером пользователей. Приложения запускаются как гостевая учетная запись.

Аналогично, Телефон автоматически входит в систему как учетная запись «DefApps», которая похожа на стандартную учетную запись пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.

В конвергентной пользовательской модели многопользовательские приложения и брокеры с поддержкой многопользовательского режима должны будут работать в контексте, отличном от контекста пользователей. Для этого в системе создается DSMA.

Как создается DefaultAccount на контроллерах домена

Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с помощью контроллеров домена, на которых установлена ​​более ранняя версия Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена, на котором работает Windows Server 2016.Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.

Рекомендации по управлению учетной записью по умолчанию (DSMA)

Microsoft не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Отсутствие угрозы безопасности при отключенном состоянии учетной записи. Изменение конфигурации по умолчанию может помешать будущим сценариям, основанным на этой учетной записи.

Учетные записи локальной системы по умолчанию

СИСТЕМА

Учетная запись SYSTEM используется операционной системой и службами, работающими в Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.

С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе Permissions меню Security .По умолчанию учетной записи SYSTEM предоставляются разрешения полного доступа ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.

Примечание Предоставление учетной записи прав доступа к файлам группы администраторов не означает неявного разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.

СЕТЕВОЕ ОБСЛУЖИВАНИЕ

Учетная запись NETWORK SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, которая работает в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см. Учетная запись NetworkService.

МЕСТНОЕ ОБСЛУЖИВАНИЕ

Учетная запись LOCAL SERVICE - это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.

Как управлять локальными учетными записями пользователей

Учетные записи локальных пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе Управление локальными пользователями.

Вы можете использовать локальные пользователи и группы для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение доступа - это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.

Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.

Примечание Вы используете «Пользователи и компьютеры Active Directory» для управления пользователями и группами в Active Directory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.

Ограничение и защита локальных учетных записей с правами администратора

Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».

Самый простой подход - войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей пользователей (UAC), чтобы запрашивать разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:

• Применять ограничения локальной учетной записи для удаленного доступа.

• Запретить вход в сеть для всех учетных записей локальных администраторов.

• Создайте уникальные пароли для локальных учетных записей с правами администратора.

Каждый из этих подходов описан в следующих разделах.

Примечание Эти подходы неприменимы, если все административные локальные учетные записи отключены.

Применять ограничения локальной учетной записи для удаленного доступа

Контроль учетных записей пользователей (UAC) - это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список Применимо к .UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен на уведомление вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомления UAC.

UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключения пользователей, выхода из системы или использования команды Run as .

Кроме того, UAC может потребовать, чтобы администраторы специально одобряли приложения, которые вносят общесистемные изменения, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в сеансе пользователя администратора.

Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без административных прав, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.

Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.

В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.

Примечание

Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy, используя настраиваемый ADMX в шаблонах безопасности.

Чтобы применить ограничения локальной учетной записи для удаленного доступа

1. Запустите консоль управления групповой политикой (GPMC).

2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домена. где вы хотите установить объект групповой политики (GPO).

3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

4. В диалоговом окне New GPO введите < gpo_name > и> OK , где gpo_name - это имя нового GPO. Имя GPO указывает, что GPO используется для ограничения передачи прав локального администратора на другой компьютер.

5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

6. Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив следующие действия:

   1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ и> Параметры безопасности .

   2. Дважды щелкните Контроль учетных записей: запускать всех администраторов в режиме утверждения администратором > Включено > ОК .

   3. Дважды щелкните Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора > Включено > ОК .

7. Убедитесь, что к сетевым интерфейсам применяются ограничения локальной учетной записи, выполнив следующие действия:

   1. Перейдите в раздел Конфигурация компьютера \ Настройки и настройки Windows и> Реестр .

   2. Щелкните правой кнопкой мыши Registry и> New > Registry Item .

   3. В диалоговом окне New Registry Properties на вкладке General измените значение параметра в поле Action на Replace .

   4. Убедитесь, что поле Hive установлено на HKEY_LOCAL_MACHINE .

   5. Щелкните (… ), перейдите к следующему местоположению для Key Path > Выберите для: SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System .

   6. В области Имя значения введите LocalAccountTokenFilterPolicy .

   7. В поле Тип значения из раскрывающегося списка выберите REG_DWORD , чтобы изменить значение.

   8. Убедитесь, что в поле Value data установлено значение 0 .

   9. Проверьте эту конфигурацию и> OK .

8. Свяжите GPO с первыми рабочими станциями организационной единицей (OU), выполнив следующие действия:

   1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

   2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

   3. Выберите только что созданный объект групповой политики и> OK .

9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните любые проблемы, вызванные новой политикой.

10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

11. Создайте ссылки на все другие подразделения, содержащие серверы.

Запретить вход в сеть для всех учетных записей локального администратора

Отказ локальным учетным записям в возможности выполнять вход в сеть может помочь предотвратить повторное использование хэша пароля локальной учетной записи в злонамеренных атаках.Эта процедура помогает предотвратить боковое перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут быть использованы для компрометации дополнительных компьютеров, использующих те же учетные данные.

Примечание Чтобы выполнить эту процедуру, вы должны сначала определить имя локальной учетной записи администратора по умолчанию, которая может не быть именем пользователя по умолчанию «Администратор», и любых других учетных записей, которые являются членами локальной группы администраторов.

В следующей таблице показаны параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

Чтобы запретить вход в сеть для всех учетных записей локальных администраторов

1. Запустите консоль управления групповой политикой (GPMC).

2. В дереве консоли разверните < Лес > \ Домены \ < Домен >, а затем Объекты групповой политики , где лес - это имя леса, а домен - имя домен, в котором вы хотите установить объект групповой политики (GPO).

3. В дереве консоли щелкните правой кнопкой мыши Объекты групповой политики и> Новый .

4. В диалоговом окне New GPO введите < gpo_name >, а затем> OK , где gpo_name - это имя нового объекта GPO, указывает, что он используется для ограничения интерактивной подписи локальных административных учетных записей. в компьютер.

5. На панели сведений щелкните правой кнопкой мыши < gpo_name > и> Изменить .

6. Настройте права пользователя для запрета входа в сеть для административных локальных учетных записей следующим образом:

   1. Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ и> Назначение прав пользователя .

   2. Дважды щелкните Запретить доступ к этому компьютеру из сети .

   3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

7. Настройте права пользователя для запрета входа на удаленный рабочий стол (удаленный интерактивный) для административных локальных учетных записей следующим образом:

   1. Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows и локальные политики, а затем щелкните Назначение прав пользователя .

   2. Дважды щелкните Запретить вход через службы удаленных рабочих столов .

   3. Щелкните Добавить пользователя или группу , введите Локальная учетная запись и член группы администраторов и> OK .

8. Свяжите GPO с первыми рабочими станциями OU следующим образом:

   1. Перейдите к пути < Forest > \ Domains \ < Domain > \ OU.

   2. Щелкните правой кнопкой мыши Workstations OU и> Свяжите существующий GPO .

   3. Выберите только что созданный объект групповой политики и> OK .

9. Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните любые проблемы, вызванные новой политикой.

10. Создайте ссылки на все другие подразделения, содержащие рабочие станции.

11. Создайте ссылки на все другие подразделения, содержащие серверы.

    Примечание Возможно, вам придется создать отдельный объект групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.

Создание уникальных паролей для локальных учетных записей с правами администратора

Пароли должны быть уникальными для каждой отдельной учетной записи. Хотя это обычно верно для индивидуальных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.

Пароли, которые не меняются или меняются синхронно для сохранения идентичности, создают значительный риск для организаций.Рандомизация паролей снижает вероятность атак «pass-the-hash» за счет использования разных паролей для локальных учетных записей, что ограничивает возможность злоумышленников использовать хеш-коды паролей этих учетных записей для компрометации других компьютеров.

Пароли могут быть рандомизированы по:

• Покупка и внедрение корпоративного инструмента для выполнения этой задачи. Эти инструменты обычно называют инструментами «привилегированного управления паролями».

• Настройка пароля локального администратора (LAPS) для выполнения этой задачи.

• Создание и реализация специального сценария или решения для случайного выбора паролей локальных учетных записей.

См. Также

Следующие ресурсы предоставляют дополнительную информацию о технологиях, связанных с локальными учетными записями.

Смотрите также

• 
  Как настроить кабельное телевидение на телевизоре lg
• 
  Smart share lg как транслировать с компьютера на телевизор
• 
  Как компьютером управлять голосом
• 
  Как проверить работоспособность телевизора от пульта
• 
  Как загрузить игру на компьютер с интернета
• 
  Как заменить батарейку в компьютере
• 
  Как настроить две сетевые карты на одном компьютере
• 
  Как загрузить компьютер с диска через биос
• 
  Как настроить правильно колонки на компьютере
• 
  Как на компьютере сохранить скриншот
• 
  Как зарегистрироваться в скайпе через компьютер