Учетная запись пользователя управляемая системой что это
Что такое учетные записи пользователей Windows. Их создание и настройка
Несмотря на то, что домашний компьютер назван персональным, то есть рассчитанным на одного пользователя и его потребности, на практике чаще он используется сразу несколькими людьми. В организациях на одном и том же компьютере посменно могут трудиться целый ряд сотрудников, а дома он становится игрушкой для всех членов семьи.
При этом, пользователи одного компьютера могут быть разного пола и возраста, а это значит, что наверняка требования к оформлению рабочей среды (например фону рабочего стола), настройкам системы и перечню установленных программ будут различными. Понятно, что если «убить» пару часов на персонализацию системы и в следующий раз включив компьютер обнаружить, что кто-то изменил расставленные вами ярлыки, настроенные гаджеты и любимый фон рабочего стола, вы будете наверняка расстроены. Так как же быть в этой ситуации?
К счастью, разработчики системы позаботились об этом, сделав Windows не только многозадачной, но и многопользовательской. Это означает, что самая распространенная в мире ОС позволяет добавлять новых пользователей с собственными конфигурациями.
Для Windows, Пользователь – это определенная учетная запись, использующая действующую систему для выполнения определенных функций. Под одним пользователем могут работать несколько человек, в то же время, каждый из них может создать себе отдельного пользователя.
Как мы уже упомянули выше, компьютер, находящийся дома, часто может использоваться несколькими людьми. Каждый из них может работать под одним пользователем, то есть в данном случае ресурсы системы будут общими. Но можно создать и несколько пользователей, что будет гораздо выгоднее. Какие же преимущества можно от этого получить?
Дело в том, что каждая учетная запись способна хранить в себе не только индивидуальные настройки интерфейса системы, но и обладать собственным набором установленных приложений, которыми может воспользоваться только определенный пользователь. Все же остальные о наличие этих программ на компьютере могут и не узнать.
Еще одним важным моментом является тот факт, что различные пользователи одного компьютера могут иметь разные права. Так, создав дополнительную учетную запись с урезанными правами, можно ограничить функциональные возможности человека, который будет ее использовать. Например он не сможет изменять основные настройки системы и открывать определенные папки, что может стать полезным, если компьютером пользуются дети. Кроме того, можно запретить, детям и новичкам инсталлировать новые программы, а все возможности по установке приложений и настройке системы оставить только у опытных пользователей.
Во время установки Windows, в ней обязательно создается главная учетная запись, владелец которой становится первым пользователем и имеет права администратора системы. Так же сразу после регистрации новой учетной записи, на жестком диске автоматически создаются «личные» папки пользователя, к которым относятся: «Документы», «Музыка», «Видеозаписи», «Изображения», «Рабочий стол» и другие. Многие наиболее распространенные программы, по умолчанию предлагают сохранять создаваемые в них файлы именно в этих стандартных папках, конечно если не сменить принудительно их месторасположение на какое-либо другое.
Все данные, содержащиеся в этих папках, будут не доступны для пользователей, которые осуществят вход в систему с помощью другой учетной записи. Таким образом, можно не беспокоиться, что кто-то случайно удалит, например созданный вам документ или получит доступ к конфиденциальным данным.
Создание новых пользователей
Теперь представим, что одной учетной записи для вас стало мало и требуется создать дополнительно одного или даже нескольких пользователей с собственными конфигурациями.
Чтобы это сделать, необходимо щелкнуть мышью по кнопке Пуск и в открывшемся главном меню выбрать пункт Панель управления (находится в правой части меню). Среди множества разделов (иконок, пиктограмм) нас интересует именно тот, который называется Учетные записи пользователей.
Под названием раздела можно видеть ссылку Добавление и удаление учетных записей пользователей, после щелчка по которой появится окно Управление учетными записями.
В общем, учетная запись – это специальные данные, которые операционная система хранит по каждому из пользователей. Если добавляется новый пользователь, операционная система создает ему учетную запись. Если удаляется пользователь, соответственно учетные данные из памяти стираются. Это немного похоже на отдел кадров на работе: при поступлении на работу заводится личное дело, а при увольнении оно уничтожается.
Теперь попробуем добавить нового пользователя. Для этого нужно щелкнуть мышью на ссылку Создание учетной записи, после чего перед вами откроется одноименное окно.
В поле, где имеется надпись «Новое имя учетной записи», нужно ввести название (псевдоним) нового пользователя. В случае если при нажатии на клавиши буквы не печатаются, нужно щелкнуть на это поле мышью. В качестве псевдонима можно ввести любое имя, можно воспользоваться и реальным именем человека, для которого будет создан пользователь.
Далее следует выбрать тип учетной записи, выбрав один из двух вариантов: Администратор либо Обычный доступ. Администратору позволено управлять всеми имеющимися настройками операционной системы, добавлять любые программы и приложения, создавать и удалять пользователей и так далее. В случае с обычным доступом можно так же пользоваться практически всеми программами и настраивать систему под собственные нужды, но изменить настройки безопасности системы или других пользователей не удастся. Так же Администратор может в любой момент ограничить права стандартной учетной записи, не позволив пользователю производить определенные операции.
Наиболее правильно – если на компьютере будет только один пользователь-администратор, который и будет распоряжается всеми правами остальных пользователей. Именно администратор кому-то что-то разрешает и запрещает. Кроме этого, администраторы могут изменять не только собственную учетную запись, но и записи других пользователей. Так что наличие сразу нескольких пользователей в одном компьютере с такими правами увеличивает риск нежелательного вмешательства в важные настройки операционной системы.
Когда выбор сделан, щелкнуть мышью на кнопку Создание учетной записи. Откроется окно со списком созданных пользователей и их значками.
Настройка и удаление учетных записей
Если нажать на любую из учетных записей (к примеру, по той, которая только что была создана), появится окно, в котором можно видеть ссылки для смены параметров учетной записи пользователя. Пункты Изменение имени учетной записи и Изменение рисунка в особых комментариях не нуждаются.
Для каждой учетной записи желательно установить свой собственный пароль, благодаря которому другие пользователи не смогут посещать «чужие» профили. Делается это с помощью пункта Создание пароля. Сразу после того, как пароль будет создан, появятся дополнительные пункты Изменить/Удалить пароль.
Кликнув по ссылке Изменение типа учетной записи можно сменить права доступа пользователя с Администратора на Обычный доступ и наоборот.
Если вы решили ограничить в правах какого-либо из пользователей, нужно в окне нажать на ссылку Установить родительский контроль. Затем следует выбрать пользователя, для которого и будет установлено ограничение, после чего появится окно с настройками контроля. Кстати, если одна или несколько учетных записей не имеют пароля, система сделает вам на этот счет предупреждение.
Сперва нужно поставить переключатель Родительский контроль в режим Включить, используя текущие настройки. Ссылки в разделе Параметры Windows позволяют настраивать определенные параметры работы пользователей, в том числе: ограничивать время работы на компьютере по дням недели, управлять доступом к игровым приложениям, а так же устанавливать разрешения или блокировку на использование определенных программ.
Наконец, вы всегда вправе удалить любую созданную вами учетную запись кликнув в окне внесения изменений в учетную запись по ссылке с говорящим названием Удаление учетной записи. Только учтите, что изменять настройки либо удалять пользователей следует обдуманно, так как при подобных операциях можно стереть важные файлы пользователей, если они находятся в личных папках, которые для них специально создает Windows.
Правда разработчики подстраховались от необдуманных действий и во время удаления учетной записи, Windows сначала предложит сохранить личные файлы пользователя, а если вы все же нажмете на кнопку Удалить файлы, то выдаст еще одно окно с предупреждением.
Переключение между пользователями
После того как в системе станет две и более активных учетных записей, каждый раз перед входом в систему в Окне приветствия вам будет предлагаться выбрать нужного пользователя.
Во время работы в Windows можно в любой момент выйти из одной учетной записи и войти в другую или даже не выходя, просто сменить пользователя. Для этого кликните по кнопке Пуск, а затем наведите курсор мыши на стрелочку рядом с кнопкой Завершение работы.
После выбора в открывшемся меню пункта Сменить пользователя, вы без завершения работы приложений и закрытия активных окон будет перемешены на экран приветствия, где можно будет выбрать новый профиль для входа в систему. Только учтите, что работа сразу с несколькими конфигурациями одновременно, серьезно сокращает доступный объем оперативной памяти и может привести к «торможению» компьютера.
Кстати, быстро сменить пользователя можно так же нажав комбинацию клавиш Ctrl + Alt + Del и выбрав соответствующий пункт меню или используя сочетание «горячих клавиш» Win + L.
Если же необходимо полностью выйти из своей учетной записи и предоставить возможность другому пользователю поработать в Windows, выберите пункт Выйти из системы. В этом случае, все программы и файлы, с которыми вы работали, будут закрыты.
Учетная запись пользователя в Windows
Наличие в компьютере такой возможности, как создание учетных записей пользователя очень полезная вещь. Действительно благодаря их наличию, можно комфортно пользоваться компьютером нескольким людям и даже если вы его единственный владелец, они могут вам пригодится.
Учетная запись пользователя в windows предоставляет вам примерно то же самое, что и своя комната, если вы живете в квартире не один. Это ваше личное пространство, которое вы можете настроить по своему усмотрению, выбрать цветовую схему, расположение и вид иконок, различные настройки внешнего вида и так далее. У вас есть место для хранения личной информации недоступное остальным пользователям компьютера и доступ к данным в остальной части компьютера.
Согласитесь, что очень напоминает свою комнату в доме но, как и в реальном мире, вы не можете быть полностью уверены в неприкосновенности вашей частной территории. Существует вероятность, что кто-то из домочадцев войдет в вашу комнату без вас. Если только вы не самый главный в семье и вас все безоговорочно слушаются, тогда вы можете вторгаться к другим без спроса, а к вам нет. Та же ситуация с учетными записями, поэтому нужно помнить, что если вы не самый главный в компьютере, вашу приватную территорию могут нарушить без спроса. Более подробно, почему выгодно использовать несколько учетных записей на компьютере, рассмотрено в отдельной статье.
Что такое учетная запись пользователя
Учетная запись пользователя — перечень сведений, определяющих персональные настройки компьютера, права доступа к файлам и директориям в файловой системе, права пользователя на изменение работы компьютера (глобальные настройки Windows, установка и удаление программ и тому подобное). Для идентификации пользователя в системе используется имя его учетной записи (логин) и пароль.
Учетные записи пользователей в Windows бывают трех типов: администратор, стандартная, гость. Учетная запись администратора предоставляет полный доступ к управлению компьютером, она аналогична самому главному человеку в семье. Стандартная учетная запись аналогична обычному домочадцу, можно хозяйничать внутри своей территории, но изменение глобальных параметров затрагивающих всех пользователей компьютера недоступно. Учетная запись гость, как видно из названия, предназначена для предоставления временного доступа к компьютеру постороннего человека и обладает наименьшими правами.
Существует понятие группа пользователей. Для удобства администрирования компьютера учетные записи с одинаковыми правами помещают в одну группу и права задаются для всей группы, а не для каждого пользователя отдельно. В windows по умолчанию есть группа администраторов и группа стандартные пользователи. Администратор может создавать новые группы, задавать их права и перемещать пользователей между группами. Один пользователей может входить сразу в несколько групп.
Создание учетной записи пользователя в Windows
Мы рассмотрим процесс создания новой учетной записи пользователя компьютера для начинающих пользователей на примере Windows 7, в других версиях операционной системы все действия аналогичны. Как уже говорилось, правами создавать новых пользователей и редактировать существующие, обладает администратор. Существует несколько способ управления учетными записями пользователей на компьютере. Рассмотрим два из них и начнем наверно с самого просто и понятного новичкам.
Пункт «Управление учетными записями пользователей» в панели управления
Чтобы создать новую учетную запись щелкните кнопку «Пуск» выберите «Панель управления» ⇒ «Добавление и удаление учетных записей пользователей». Внешний вид панели управления зависит от режима просмотра, на рисунках показан режим просмотра «Категория».
Откроется окно с основными учетными записями. Мы хотим создать нового пользователя компьютера, поэтому выбираем «Создание учетной записи».
Вас перебросит в новое окно, где предлагается ввести имя нового пользователя и выбрать тип учетной записи. Лучше всего, когда в компьютере только один администратор это полезно с точки зрения безопасности и убережет от ситуации, когда разные пользователи постоянно меняют глобальные настройки на свой лад. Определившись с именем пользователя компьютера и типом его учетной записи, нажимаете кнопку «Создание учетной записи».
Все, новая учетная запись создана и ей можно пользоваться, однако рекомендуем сделать пароль для нового аккаунта. Пароль может сделать администратор компьютера или сам пользователь. Чтобы самостоятельно сделать пароль на свою учетную запись, необходимо войти в нее на экране входа в систему. Дальше запускаете снова «Панель управления» и переходите «Учетные записи пользователей и семейная безопасность» ⇒ «Изменение пароля Windows».
Откроется окно с выбором возможных действий с вашей учетной записью. Выбираете «Создание пароля своей учетной записи» и вводите придуманный пароль.
Так же вы можете изменить рисунок своей учетной записи. Остальные варианты действий, отмеченные значком щита, потребуют ввода пароля администратора.
Пароль к новой учетной записи может создать и администратор, для этого войдя в систему под администратором, идем по знакомому уже пути «Панель управления» ⇒ «Добавление и удаление учетных записей пользователей» и выбираем нужную учетную запись пользователя. Открывшееся окно показывает перечень возможных действий по управлению учетной записью пользователя в Windows. Выбираете пункт «Создание пароля», вводите пароль и нажимаете кнопку «Создать пароль».
Несколько слов об учетной записи гость в Windows. Данный аккаунт по умолчанию отключен и включить его может только администратор компьютера. Установить пароль или сменить тип учетной записи не возможно. Доступна смена рисунка и включение/отключение аккаунта.
Удаление учетной записи в Windows
Помимо создания, пользователь с учетной записью администратора компьютера, может удалять учетные записи других пользователей на компьютере. Выберите в окне из предыдущего рисунка пункт «Удаление учетной записи». Система предложит сохранить личные файлы пользователя или удалить их вместе с учетной записью. В случае с выбора сохранения данных, они будут сохранены на рабочем столе в папке с именем удаляемой учетной записи.
Использование оснастки «Локальные пользователи и группы»
Данный способ предоставляет расширенные возможности по управлению пользователями и группами на компьютере путем создания правил. Чтобы создать нового пользователя на компьютере, откройте «Панель управления» ⇒ «Система и безопасность» ⇒ «Администрирование» и в открывшемся новом окне двойной щелчок на «Управление компьютером», выбираете «Локальные пользователи и группы».
Заполняете в открывшемся окне данные нового пользователя компьютера, устанавливаете нужные галочки и жмете кнопку «Создать».
Назначить или изменить группу пользователя можно сделав двойной щелчок на его имени или щелкнуть по имени правой кнопкой мыши и выбрать «Свойства». Переходите на вкладку «Членство в группах».
Нажимаете кнопку «Добавить» откроется новое окно и в зависимости от предпочтений, поступаете одним из способов. Вводите в форму название добавляемой группы и нажимаете кнопку проверить «Проверить имена» затем кнопку «OK».
Второй способ нажать кнопку «Дополнительно. » и затем кнопку «Поиск». Будет выведен список всех групп на данном компьютере, выбираете нужную группу и подтверждаете выбор.
Вот собственно и все, что мы хотели сегодня рассказать об учетных записях пользователей в Windows. Есть еще способы управления ими, но начинающим пользователям компьютера будет вполне достаточно этих.
Не все описанные методы работают в Windows 7 Домашняя. Работает в Windows 7 Профессиональная, Windows 7 Максимальная или Windows 7 Корпоративная.
Что значит учетная запись
Каждый начинающий пользователь сталкивается с такими понятиями, как «учетная запись», «логин», «пароль». Что это такое стоит разобраться, поскольку без них невозможно полноценно использовать компьютер.
Что понимается под учетной записью
Учетная запись или аккаунт на ПК означает совокупность личных сведений, которые пользователь вносит в компьютерную систему. Они доступны только ему. Это можно сравнить со своей комнатой, если вы проживаете в квартире с семьей. Как правило, учетка содержит данные, необходимые для идентификации личности в ходе подключения к системе, авторизации – логин и пароль.
В качестве логина обычно берется имя пользователя. Пароль же придумывают самостоятельно и состоит он из разных символов (цифр, букв, знаков). Для интернет-пользователей учетная запись то же самое, что Личный кабинет – онлайн-ресурс, где хранится персональная и прочая информация. Для большей защиты аккаунта от взлома часто предусмотрены дополнительные меры безопасности при прохождении аутентификации. К примеру, секретный вопрос, ответ на который знает только хозяин учетки.
Также в учетной записи часто содержатся дополнительные сведения о создателе странички: фотография, Ф. И. О., пол, псевдоним, национальность, группа крови, дата рождения, адрес проживания, № телефона и другие подробности.
Учетные записи бывают нескольких видов:
| Тип учетки | Описание |
| Администратор | Предоставляет полноценный контроль над ПК. |
| Стандарт | Предназначена для постоянного использования ПК. Внутри нее допустимо хозяйничать по своему усмотрению, но какие-то глобальные изменения, затрагивающие остальных пользователей компьютера, сделать невозможно. |
| Гость | Предполагает предоставление временного доступа к ПК постороннему человеку. Здесь пользователь имеет минимум прав. |
Как создаются учетные записи в Windows
Рассмотрим, как создать учетную запись на ПК с операционной системой Windows 7. В других версиях алгоритм будет таким же.
Локальные учетные записи
Относится к:
Эта справочная тема для ИТ-специалистов описывает локальные учетные записи пользователей по умолчанию для серверов, в том числе управление этими встроенными учетных записями на сервере-члене или автономных серверах.
О локальных учетных записях пользователей
Локальные учетные записи пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Локальные учетные записи пользователей — это принципы безопасности, которые используются для обеспечения и управления доступом к ресурсам на автономных или серверных членах служб или пользователей.
В этом разделе описывается следующее:
Сведения о главных задачах безопасности см. в см. в руб.
Учетные записи локальных пользователей по умолчанию
Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке Windows.
После Windows установлено, локальные учетные записи пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не предоставляют доступ к сетевым ресурсам.
Локальные учетные записи по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, которые назначены учетной записи. Локальные учетные записи пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка «Пользователи» расположена в локальной папке «Пользователи и группы» в локальной консоли управления компьютерами Microsoft Management Console (MMC). Управление компьютером — это набор административных средств, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. в разделе How to manage local accounts later in this topic.
Локальные учетные записи пользователей по умолчанию описаны в следующих разделах.
Учетная запись администратора
Учетная запись администратора полностью контролирует файлы, каталоги, службы и другие ресурсы на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения. Учетная запись администратора может контролировать локальные ресурсы в любое время, просто изменяя права и разрешения пользователей.
Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.
В Windows 10 и Windows Server 2016 Windows настройка отключает встроенную учетную запись администратора и создает другую локализованную учетную запись, которая входит в группу Администраторы. Члены групп Администраторы могут запускать приложения с повышенными разрешениями без использования параметра Run as Administrator. Быстрая переключение пользователей является более безопасной, чем использование Runas или высоты для разных пользователей.
Членство в группе учетных записей
По умолчанию учетная запись администратора устанавливается в качестве члена группы администраторов на сервере. Ограничение числа пользователей в группе Администраторов является наиболее оптимальным, поскольку члены группы Администраторы на локальном сервере имеют разрешения на полный контроль на этом компьютере.
Учетная запись администратора не может быть удалена или удалена из группы администраторов, но ее можно переименовать.
Вопросы безопасности
Так как известно, что учетная запись администратора существует во многих версиях операционной системы Windows, лучше отключить учетную запись администратора, если это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиенту.
Можно переименовать учетную запись Администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен вредоносными пользователями. Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. в записи Отключение или активация учетной записи локального пользователя и переименование учетной записи локального пользователя.
В качестве наилучшей практики безопасности используйте локализованную (не администратор) учетную запись для регистрации, а затем используйте Run в качестве администратора для выполнения задач, которые требуют более высокого уровня прав, чем стандартная учетная запись пользователя. Не используйте учетную запись администратора для регистрации на компьютере, если это не является полностью необходимым. Дополнительные сведения см. в программе Run a program with administrative credentials.
Для сравнения, Windows клиентской операционной системе пользователь с локальной учетной записью пользователя, которая имеет права администратора, считается системным администратором клиентского компьютера. Первая локализованная учетная запись пользователя, созданная во время установки, помещается в локализованную группу администраторов. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-сотрудники не могут контролировать этих пользователей или их клиентские компьютеры.
В этом случае групповая политика может использоваться для обеспечения безопасных параметров, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентских компьютерах. Дополнительные сведения о групповой политике см. в обзоре групповой политики.
Пустые пароли не допускаются в версиях, указанных в списке Applies To в начале этой темы.
Даже если учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру с помощью безопасного режима. В консоли восстановления или в безопасном режиме учетная запись администратора автоматически включена. При возобновлении обычных операций он отключается.
Гостевая учетная запись
Учетная запись Гостевой по умолчанию отключена при установке. Учетная запись Гостевой позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно войти на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию у гостевой учетной записи есть пустой пароль. Поскольку учетная запись Гостевой может предоставлять анонимный доступ, это риск безопасности. По этой причине следует оставить учетную запись Гостевой учетной записи отключенной, если ее использование не является полностью необходимым.
Членство в группе учетных записей
По умолчанию гостевая учетная запись является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю войти на сервер. Иногда администратор, в который входит группа администраторов, может настроить пользователя с учетной записью «Гость» на одном или нескольких компьютерах.
Вопросы безопасности
При включив учетную запись «Гость», выдайте только ограниченные права и разрешения. По соображениям безопасности учетная запись Гостевой не должна использоваться по сети и быть доступной для других компьютеров.
Кроме того, гостевой пользователь учетной записи «Гость» не должен просматривать журналы событий. После включения учетной записи «Гость» необходимо часто отслеживать учетную запись «Гость», чтобы убедиться, что другие пользователи не могут использовать службы и другие ресурсы, например ресурсы, которые были непреднамеренно доступны предыдущему пользователю.
Учетная запись HelpAssistant (установленная с сеансом удаленной помощи)
Учетная запись HelpAssistant — это локализованная учетная запись по умолчанию, включенная при запуске сеанса удаленной помощи. Эта учетная запись автоматически отключена, если не ожидается никаких запросов на удаленную помощь.
HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленной помощи. Сеанс удаленной помощи используется для подключения к другому компьютеру, Windows операционной системе, и он инициировался по приглашению. Для получения удаленной помощи пользователь отправляет приглашение с компьютера по электронной почте или в файле лицу, который может оказать помощь. После того, как приглашение пользователя на сеанс удаленной помощи будет принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить человеку, который предоставляет помощь, ограниченный доступ к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеансов помощи удаленным рабочим столам.
Вопросы безопасности
К siD-данным, которые относятся к учетной записи HelpAssistant по умолчанию, относятся:
Для операционной Windows Server удаленная помощь является необязательным компонентом, который не устанавливается по умолчанию. Необходимо установить удаленную помощь, прежде чем она может быть использована.
Сведения о атрибутах учетной записи HelpAssistant см. в следующей таблице.
Атрибуты учетной записи HelpAssistant
Гости
DefaultAccount
DefaultAccount, также известная как учетная запись системы по умолчанию (DSMA), — встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016. DSMA — это хорошо известный тип учетной записи пользователя. Это нейтральная учетная запись пользователя, которая может быть использована для запуска процессов, которые являются либо несколькими пользователями известно или пользователь агностик. DSMA отключена по умолчанию на настольных skUs (полные windows SKUs) и WS 2016 с настольным компьютером.
DSMA является членом известной группы system Managed Accounts Group, которая имеет хорошо известный SID S-1-5-32-581.
Псевдоним DSMA можно получить доступ к ресурсам во время автономной постановки еще до создания самой учетной записи. Учетная запись и группа создаются во время первой загрузки компьютера в диспетчере учетных записей безопасности (SAM).
Использование Windows DefaultAccount
С точки зрения разрешений defaultAccount — это стандартная учетная запись пользователя. DefaultAccount необходим для запуска приложений с несколькими манифестами пользователей (приложения MUMA). Приложения MUMA запускают все время и реагируют на вход и вход пользователей с устройств. В отличие Windows desktop, где приложения работают в контексте пользователя и прекращаются, когда пользователь прекращает работу, приложения MUMA запускаются с помощью DSMA.
Приложения MUMA функциональны в общих сеансах skUs, таких как Xbox. Например, оболочка Xbox — это приложение MUMA. Сегодня Xbox автоматически включит учетную запись в качестве гостевой учетной записи и все приложения будут работать в этом контексте. Все приложения хорошо осведомлены о пользователях и реагируют на события, запускаемые менеджером пользователя. Приложения работают в качестве учетной записи «Гость».
Кроме того, Телефон в качестве учетной записи «DefApps», которая схожа со стандартной учетной записью пользователя в Windows, но с несколькими дополнительными привилегиями. В качестве этой учетной записи работают брокеры, некоторые службы и приложения.
В модели сходящихся пользователей приложения и брокеры, осведомленные о нескольких пользователях, должны будут работать в контексте, отличаемом от контекста пользователей. Для этого система создает DSMA.
Как создается defaultAccount на контроллерах домена
Если домен создан с помощью контроллеров домена, Windows Server 2016, defaultAccount будет существовать на всех контроллерах домена в домене. Если домен был создан с контроллерами домена, которые управляют более ранней версией Windows Server, defaultAccount будет создан после того, как роль PDC Emulator будет передана контроллеру домена, который выполняет Windows Server 2016. После этого defaultAccount будет реплицироваться ко всем другим контроллерам домена в домене.
Рекомендации для управления учетной записью по умолчанию (DSMA)
Корпорация Майкрософт не рекомендует изменять конфигурацию по умолчанию, в которой учетная запись отключена. Угрозы безопасности при найме учетной записи в состоянии отключения не существует. Изменение конфигурации по умолчанию может помешать будущим сценариям, которые зависят от этой учетной записи.
Учетные записи локальной системы по умолчанию
SYSTEM
Учетная запись SYSTEM используется операционной системой и службами, работающими Windows. В операционной системе Windows множество служб и процессов, которые нуждаются в возможности для внутрисистемной регистрации, например во время Windows установки. Учетная запись SYSTEM была разработана для этой цели, Windows управляет правами пользователей учетной записи SYSTEM. Это внутренняя учетная запись, которая не показывается в диспетчере пользователей и не может быть добавлена в группы.
С другой стороны, учетная запись SYSTEM действительно появляется в томе файловой системы NTFS в файлоуправлении в части Permissions меню Security. По умолчанию учетная запись SYSTEM предоставляет разрешения на полный контроль для всех файлов в томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.
Предоставление разрешений на групповые файлы администраторов учетных записей не дает неявно разрешения учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем удалять их.
NETWORK SERVICE
Учетная запись NETWORK SERVICE — это предопределяемая локализованная учетная запись, используемая диспетчером управления службами (SCM). Служба, которая работает в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Дополнительные сведения см. в записи NetworkService.
ЛОКАЛИЗОВАННАЯ СЛУЖБА
Учетная запись LOCAL SERVICE — это предопределяемая локализованная учетная запись, используемая диспетчером управления службой. Он имеет минимальные привилегии на локальном компьютере и представляет анонимные учетные данные в сети. Дополнительные сведения см. в записи LocalService.
Управление учетной записью локальных пользователей
Локальные учетные записи пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке «Пользователи». Папка Пользователи расположена в локальных пользователях и группах. Дополнительные сведения о создании и управлении учетной записью локальных пользователей см. в рублях Управление локальными пользователями.
Вы можете использовать локальные пользователи и группы для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможности локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на сервере, такие как архивирование файлов и папок или закрытие сервера. Разрешение доступа — это правило, связанное с объектом, как правило, файлом, папкой или принтером. Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.
Вы не можете использовать локальные пользователи и группы в контроллере домена. Однако для удаленных компьютеров, которые не являются контроллерами домена в сети, можно использовать локальные пользователи и группы на контроллере домена.
Пользователи и компьютеры Active Directory используются для управления пользователями и группами в Active Directory.
Вы также можете управлять локальными пользователями, NET.EXE пользовательскими группами и управлять локальными группами с помощью NET.EXE LOCALGROUP или с помощью различных cmdlets PowerShell и других технологий скриптов.
Ограничение и защита локальных учетных записей с помощью административных прав
Администратор может использовать ряд подходов, чтобы предотвратить использование злоумышленниками украденных учетных данных, таких как украденный пароль или hash паролей, для использования локальной учетной записи на одном компьютере для проверки подлинности на другом компьютере с административными правами; это также называется «lateral movement».
Самый простой подход заключается в входе на компьютер со стандартной учетной записью пользователя вместо использования учетной записи администратора для выполнения задач, например для просмотра Интернета, отправки электронной почты или использования текстовых процессоров. Если вы хотите выполнить административную задачу, например установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать управление учетной записью пользователя (UAC) для запроса разрешения или пароля администратора перед выполнением задачи, как описано в следующем разделе.
Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с помощью административных прав:
Соблюдение локальных ограничений учетной записи для удаленного доступа.
Запретить логотип сети для всех учетных записей администратора.
Создание уникальных паролей для локальных учетных записей с административными правами.
Каждый из этих подходов описан в следующих разделах.
Эти подходы не применяются, если отключены все административные локальные учетные записи.
Соблюдение локальных ограничений учетной записи для удаленного доступа
Управление учетной записью пользователей (UAC) — это функция безопасности в Windows, которая используется в Windows Server 2008 и Windows Vista, а также операционных системах, к которым относится список Applies To. UAC позволяет управлять компьютером, информируя о том, когда программа вносит изменения, которые требуют разрешения администратора. UAC работает путем настройки уровня разрешений учетной записи пользователя. По умолчанию UAC должен уведомлять вас, когда приложения пытаются внести изменения на компьютер, но вы можете изменить, как часто UAC уведомляет вас.
UAC позволяет рассматривать учетную запись с административными правами как стандартную учетную запись пользователя без администратора, пока не будут запрашиваться и утверждены полные права, также называемые высотой. Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователей, не имеющих администратора, для выполнения случайных административных задач без необходимости переключать пользователей, выходить или использовать run в качестве команды.
Кроме того, UAC может потребовать от администраторов специально утверждать приложения, которые внося изменения в систему до получения разрешения на запуск этих приложений, даже в сеансе пользователя администратора.
Например, функция UAC по умолчанию отображается при висении локальной учетной записи с удаленного компьютера с помощью логотипа Network (например, с помощью NET.EXE USE). В этом случае ему выдан стандартный маркер пользователя без административных прав, но без возможности запрашивать или получать высоту. Следовательно, локальные учетные записи, входив с помощью логотипа Сети, не могут получить доступ к административным акциям, таким как C$, ИЛИ ADMIN$, или выполнять любое удаленное администрирование.
Дополнительные сведения об UAC см. в см. в twitter.ru.
В следующей таблице показаны параметры групповой политики и реестра, которые используются для применения локальных ограничений учетной записи для удаленного доступа.
| Нет. | Параметр | Подробное описание |
|---|---|---|
| Расположение политики | Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности | |
| 1 | Имя политики | Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором |
| Параметр политики | Enabled | |
| 2 | Расположение политики | Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности |
| Имя политики | Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором | |
| Параметр политики | Enabled | |
| 3 | Раздел реестра | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System |
| Имя значения реестра | LocalAccountTokenFilterPolicy | |
| Тип значения реестра | DWORD | |
| Данные о значении реестра | 0 |
Вы также можете применить по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемой ADMX в шаблонах безопасности.
Выполнение локальных ограничений учетной записи для удаленного доступа
Запустите консоль управления групповой политикой (GPMC).
В дереве консоли расширь forest \Domains\ Domain, ** **** ** а затем объекты групповой политики, где лес — это имя леса, а домен — это имя домена, в котором необходимо установить объект групповой политики (GPO).
В дереве консоли правой кнопкой мыши объекты групповой политикии > New.
В диалоговом окне New GPO и > ОК, где gpo_name является именем нового GPO. Имя GPO указывает на то, что GPO используется для ограничения прав местного администратора, которые не будут перенаправлены на другой компьютер.
В области сведений правой кнопкой и > изменить.
Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, делая следующее:
Перейдите к конфигурации компьютера\Windows Параметры\Security Параметры\Local Policies\\and > Security Options.
Дважды щелкните управление учетной записью пользователя: запустите всех администраторов в режиме утверждения администратора > включен > ОК.
Дважды щелкните управление учетной записью пользователя: режим утверждения администратора для встроенной учетной записи администратора > **** > Включено ОК.
Убедитесь, что локальные ограничения учетной записи применяются к сетевым интерфейсам, делая следующее:
Перейдите к конфигурации компьютера\Предпочтения и Windows Параметры и > реестру.
Правой кнопкоймыши Реестр и > новый > элемент реестра.
В диалоговом окне New Registry Properties на вкладке General измените параметр в поле Действия на Замену.
Убедитесь, что поле Hive задает HKEY_LOCAL_MACHINE.
Щелкните (. ), просмотрите следующее расположение для выбора пути ключа **** > **** для: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
В области имя значения введите LocalAccountTokenFilterPolicy.
В поле Тип значения из выпадаемого списка выберите REG_DWORD для изменения значения.
В поле Значение данных убедитесь, что значение за установлено до 0.
Проверьте эту конфигурацию и > ОК.
Привяжете GPO к первому организационному подразделению Workstations( OU), выполнив следующее:
Перейдите по \Domains\ \OU.
Щелкните правой кнопкой мыши OU рабочих станций и > щелкните ссылку на существующий GPO.
Выберите только что созданный GPO и > ОК.
Проверьте функциональные возможности корпоративных приложений на рабочих станциях в этом первом OU и уладить все проблемы, вызванные новой политикой.
Создайте ссылки на все другие OUs, содержащие рабочие станции.
Создайте ссылки на все другие OUs, содержащие серверы.
Отказ от логотипа сети для всех учетных записей локального администратора
Отказ локальным учетным записям в возможности выполнять сетевые логонсы может помочь предотвратить повторное повторное распространение локального пароля учетной записи во время вредоносной атаки. Эта процедура помогает предотвратить дальнейшее перемещение, гарантируя, что учетные данные локальных учетных записей, украденных из скомпрометированной операционной системы, не могут использоваться для компрометации дополнительных компьютеров, которые используют те же учетные данные.
Чтобы выполнить эту процедуру, сначала необходимо определить имя локальной учетной записи администратора по умолчанию, которая не может быть по умолчанию имя пользователя «Администратор», и любые другие учетные записи, которые являются членами локальной группы администраторов.
В следующей таблице показаны параметры групповой политики, используемые для отказа в логотипе сети для всех локальных учетных записей администратора.
| Нет. | Параметр | Подробное описание |
|---|---|---|
| Расположение политики | Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment | |
| 1 | Имя политики | Отказ в доступе к компьютеру из сети |
| Параметр политики | Локализованная учетная запись и член группы Администраторы | |
| 2 | Расположение политики | Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\User Rights Assignment |
| Имя политики | Запретить вход в систему через службу удаленных рабочих столов | |
| Параметр политики | Локализованная учетная запись и член группы Администраторы |
Отказ от логотипа сети для всех учетных записей локального администратора
Запустите консоль управления групповой политикой (GPMC).
В дереве консоли расширь forest \Domains\ **** ** ** а затем объекты групповой политики, где лес — это имя леса, а домен — это имя домена, в котором необходимо установить объект групповой политики (GPO).
В дереве консоли правой кнопкой мыши объекты групповой политикии > New.
В диалоговом окне New GPO > **** gpo_name является именем нового GPO, указывает на то, что он используется для ограничения использования локальных административных учетных записей от интерактивной регистрации на компьютер.
В области сведений правой кнопкой и > изменить.
Настройте права пользователей на отказ от сетевых логотипов для административных локальных учетных записей следующим образом:
Перейдите к конфигурации компьютера\Windows Параметры\security Параметры\\и > назначению прав пользователей.
Дважды щелкните Запретить доступ к этому компьютеру из сети.
Щелкните Добавить пользователя или группу, введите локализованную учетную запись и членагруппы администраторов и > ОК.
Настройте права пользователей на отказ от логотипов удаленного рабочего стола (Remote Interactive) для административных локальных учетных записей следующим образом:
Перейдите к конфигурации компьютера\Политики\Windows Параметры и локальные политики, а затем нажмите кнопку Назначение прав пользователей.
Дважды нажмите кнопку Запретить вход через удаленные службы настольных компьютеров.
Щелкните Добавить пользователя или группу, введите локализованную учетную запись и членагруппы администраторов и > ОК.
Увязка GPO с первым OU рабочих станций следующим образом:
Перейдите по \Domains\ \OU.
Щелкните правой кнопкой мыши OU рабочих станций и > щелкните ссылку на существующий GPO.
Выберите только что созданный GPO и > ОК.
Проверьте функциональные возможности корпоративных приложений на рабочих станциях в этом первом OU и уладить все проблемы, вызванные новой политикой.
Создайте ссылки на все другие OUs, содержащие рабочие станции.
Создайте ссылки на все другие OUs, содержащие серверы.
Возможно, вам придется создать отдельное GPO, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.
Создание уникальных паролей для локальных учетных записей с административными правами
Пароли должны быть уникальными для каждой учетной записи. Хотя это обычно верно для отдельных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одинаковые пароли используются для локальных учетных записей во время развертывания операционной системы.
Пароли, которые синхронно остаются неизменными или изменяются синхронно, чтобы сохранить их идентичными, добавляют значительный риск для организаций. Рандомизация паролей смягчает атаки «pass-the-hash» с помощью различных паролей для локальных учетных записей, что затрудняет возможность вредоносных пользователей использовать хеши паролей этих учетных записей для компрометации других компьютеров.
Пароли можно рандомизировать по:
Приобретение и реализация корпоративного средства для выполнения этой задачи. Эти средства обычно называются «привилегированным управление паролями».
Настройка решения локального пароля администратора (LAPS) для выполнения этой задачи.
Создание и реализация настраиваемой скрипта или решения для рандомизации локальных паролей учетных записей.
См. также
Следующие ресурсы предоставляют дополнительные сведения о технологиях, связанных с локальными учетной записью.