Настройка учетной записи суперадминистратора в Windows 10
Учетная запись суперадминистратора в Windows дает вам некоторые дополнительные привилегии по сравнению с обычной учетной записью администратора и предоставляет гораздо больше разрешений для запуска приложений или изменения настроек. Чтобы настроить учетную запись суперадминистратора в Windows 10 Домашняя, выполните следующие действия.
- Возможно, вы не сможете использовать Windows Hello или использовать отпечатки пальцев для разблокировки экрана компьютера после переключения на учетную запись суперадминистратора.
- Вы можете удалить другие учетные записи, используя учетную запись суперадминистратора.
- Учетная запись суперадминистратора по умолчанию не поддерживается в Windows 10 Домашняя. Не рекомендуется использовать ее без необходимости.
- Перед настройкой учетной записи суперадминистратора убедитесь, что локальная учетная запись имеет права администратора.
- Введите «CMD» в поисковой строке на панели задач, правой кнопкой мыши нажмите на опцию Командная строка и нажмите Запуск от имени администратора.
- Введите net user administrator /active:yes в окне Администратор: командная строка и нажмите клавишу Enter. Обратите внимание, что между «administrator» и «/active:yes» есть пробел.
- Нажмите значок Пуск и значок учетной записи, нажмите Администратор, чтобы войти в учетную запись суперадминистратора.
Чтобы очистить учетную запись суперадминистратора, введите «net user administrator /active:no» в поле Администратор: командная строка и нажмите клавишу Enter. Обратите внимание, что между «administrator» и «/active:no» есть пробел. Перезагрузите компьютер. Если есть только одна учетная запись суперадминистратора, осторожно закройте ее. В противном случае все учетные записи будут недоступны после закрытия.
Не работает запуск от имени администратора
Что делать, если в Windows 10 не работает «Запуск от имени администратора»
Недавно ряд пользователей сообщили, что им не удалось использовать параметр контекстного меню «Запуск от имени администратора», когда они пытались использовать его или открывать программу с правами администратора. Если вы один из пользователей, столкнувшихся с этой проблемой, то вы попали в нужное место, поскольку этот пост поможет вам решить эту проблему.
На момент написания неясно, в чем причина проблемы, но есть потенциальные исправления, которые вы можете попытаться решить. Вы можете попробовать включить контроль учетных записей пользователей или очистить элементы контекстного меню, изменив членство в группе. С другой стороны, вы также можете выполнять сканирование SFC и DISM через командную строку или устранять неполадки в состоянии чистой загрузки, поскольку возможно, что некоторые сторонние программы являются теми, которые вызывают проблему.
Вариант 1. Попробуйте включить контроль учетных записей пользователей.
Когда вы открываете программу с правами администратора, появится всплывающее окно контроля учетных записей пользователей или контроля учетных записей с просьбой подтвердить разрешение. Однако, если вы по ошибке отключили контроль учетных записей или его отключили некоторые вредоносные программы, неудивительно, что опция «Запуск от имени администратора» не работает. Таким образом, вам нужно проверить, включен ли UAC или нет. Все, что вам нужно сделать, это перейти в настройки контроля учетных записей.
Вариант 2 — Попробуйте изменить членство в группе
- Во-первых, вам нужно войти в систему с учетной записью администратора или попросить администратора войти в систему вместо вас. Поэтому, если у вас есть только учетная запись стандартного пользователя, вам необходимо добавить эту учетную запись в группу администраторов.
- В поле поиска на панели задач введите «netplwiz» и проверьте результаты поиска.
- Оттуда выберите свою учетную запись и нажмите кнопку «Свойства».
- После этого перейдите на вкладку «Членство в группе» и выберите «Администратор».
- Теперь нажмите кнопку «Применить» и «ОК», чтобы сохранить внесенные изменения, а затем снова войдите в свой компьютер и посмотрите, работает ли опция «Запуск от имени администратора» или нет.
Вариант 3. Попробуйте создать новую учетную запись администратора.
Если у вас есть стандартная учетная запись, вы можете попробовать создать новую учетную запись, но на этот раз вы создадите учетную запись администратора и посмотрите, сможете ли вы теперь использовать опцию Запуск от имени администратора или нет. Обратите внимание, что вы должны войти в свою основную учетную запись, прежде чем вы сможете создать учетную запись администратора.
Вариант 4 — Запустите инструмент DISM
Вы также можете запустить инструмент DISM, чтобы помочь решить проблему с опцией «Запуск от имени администратора».
Используя этот встроенный инструмент, у вас есть различные опции, такие как «/ ScanHealth», «/ CheckHealth» и «/ RestoreHealth».
- Откройте командную строку с правами администратора.
- Затем введите следующие команды и обязательно нажмите Enter сразу после ввода каждой из них:
- Dism / Online / Очистка-изображение / CheckHealth
- Dism / Online / Очистка-изображение / ScanHealth
- exe / Online / Cleanup-image / Восстановление здоровья
- Не закрывайте окно, если процесс занимает некоторое время, поскольку, вероятно, он займет несколько минут.
Вариант 5. Выполните сканирование с помощью средства проверки системных файлов.
Сканирование SFC или System File Checker может обнаружить и автоматически восстановить поврежденные системные файлы, которые могут вызывать проблему с параметром «Запуск от имени администратора» на вашем компьютере с Windows 10.
SFC — это встроенная командная утилита, которая помогает восстанавливать как поврежденные, так и отсутствующие файлы. Он заменяет плохие и поврежденные системные файлы хорошими системными файлами. Чтобы запустить команду SFC, выполните действия, указанные ниже.
- Нажмите Win + R, чтобы запустить Run.
- Введите CMD в поле и нажмите Enter.
- После открытия командной строки введите ПФС / SCANNOW и нажмите Enter.
Команда запустит сканирование системы, которое займет несколько секунд, прежде чем завершится. Как только это будет сделано, вы можете получить следующие результаты:
- Защита ресурсов Windows не обнаружила нарушений целостности.
- Защита ресурсов Windows обнаружила поврежденные файлы и успешно восстановила их.
- Windows Resource Protection обнаружила поврежденные файлы, но не смогла исправить некоторые из них.
- После этого перезагрузите компьютер.
Вариант 6. Переведите компьютер в состояние чистой загрузки.
Вы также можете устранить проблему в состоянии чистой загрузки. Возможно, на вашем компьютере есть сторонние приложения, которые мешают вам использовать параметр «Запуск от имени администратора», и чтобы изолировать эту возможность, вам необходимо загрузить компьютер в состоянии чистой загрузки, а затем попытаться использовать Снова запустить от имени администратора. Перевод вашего компьютера в это состояние может помочь вам определить, какая программа является виновником, и таким образом изолировать проблему. В состоянии чистой загрузки ваш компьютер начнет использовать только предварительно выбранный минимальный набор драйверов и программ запуска. Обратите внимание, что вам нужно отключать и включать по одному процессу за раз.
- Войдите на свой компьютер как администратор.
- Введите MSConfig в Начальном поиске, чтобы открыть утилиту конфигурации системы.
- Оттуда перейдите на вкладку Общие и нажмите «Выборочный запуск».
- Снимите флажок «Загрузить элементы запуска» и убедитесь, что установлены флажки «Загрузить системные службы» и «Использовать исходную конфигурацию загрузки».
- Затем щелкните вкладку «Службы» и установите флажок «Скрыть все службы Microsoft».
- Нажмите Отключить все.
- Нажмите Apply / OK и перезагрузите компьютер. (Это переведет ваш компьютер в состояние чистой загрузки. И настройте Windows на обычный запуск, просто отмените изменения.)
- После того, как вы установили свой компьютер в состояние чистой загрузки, попробуйте проверить, исправлена ли теперь ошибка, и теперь вы можете просматривать свойства.
Вариант 7. Попробуйте просканировать компьютер с помощью Защитника Windows.
Как уже упоминалось, если ваш компьютер недавно был заражен каким-либо вредоносным ПО, возможно, что оно изменило настройки контроля учетных записей, поэтому вы не можете использовать опцию Запуск от имени администратора.
Таким образом, вам нужно сканировать компьютер с помощью Защитника Windows.
- Нажмите клавиши Win + I, чтобы открыть Обновление и безопасность.
- Затем нажмите «Безопасность Windows» и откройте Центр безопасности Защитника Windows.
- Затем нажмите Защита от вирусов и угроз> Запустить новое расширенное сканирование.
- Теперь убедитесь, что в меню выбрано «Полное сканирование», а затем нажмите кнопку «Сканировать сейчас», чтобы начать.
Поздравляем, вы только что самостоятельно исправили ошибку Запуск от имени администратора не работает в Windows 10. Если вы хотите читать более полезный статьи и советы о посещении различного программного и аппаратного обеспечения errortools.com в день.
Вот как вы исправляете ошибку Запуск от имени администратора не работает в Windows 10 на компьютере. С другой стороны, если на вашем компьютере возникают проблемы, связанные с системой, которые необходимо исправить, существует решение в один клик, известное как Ресторо вы можете проверить, чтобы решить их.
Эта программа — полезный инструмент, который может восстановить поврежденные реестры и оптимизировать общую производительность вашего ПК. Помимо этого, он также очищает ваш компьютер от любых ненужных или поврежденных файлов, что помогает вам удалить любые нежелательные файлы из вашей системы. По сути, это решение, которое доступно вам всего одним щелчком мыши. Его легко использовать, поскольку он удобен в использовании. Полный набор инструкций по загрузке и использованию см. В приведенных ниже инструкциях.
Выполните полное сканирование системы, используя Ресторо. Для этого следуйте приведенным ниже инструкциям.
- Скачать и установить Ресторо с официального сайта.
- После завершения процесса установки запустите Ресторо выполнить полное сканирование системы.
- После завершения сканирования нажмите «Начать ремонт«Кнопка.
Что делать, если не удаётся запустить программу от имени администратора?
Если вы пытаетесь использовать опцию контекстного меню «Запуск от имени администратора» в Windows 10, но обнаруживаете, что она не работает или не запускает программу с правами администратора, вам может потребоваться выполнить несколько действий.
Чтобы устранить эту проблему, следуйте советам:
- Включить контроль учетных записей
- Очистить элементы меню Контект
- Выполнять сканирование SFC и DISM
- Изменить членство в группе
- Сканирование системы антивирусом
- Устранение неполадок в чистом состоянии загрузки
- Создайте новую учетную запись администратора.
1] Включить контроль учетных записей
Если вы попытаетесь открыть программное обеспечение с правами администратора, появится запрос контроля учетных записей или контроля учетных записей, где вам необходимо подтвердить разрешение. Однако, если вы отключили UAC по ошибке или некоторые вредоносные программы сделали это без вашего согласия, вы можете столкнуться с этой проблемой. Поэтому убедитесь, что UAC включен или нет. Если нет, включите контроль учетных записей и посмотрите, поможет ли это.
2] Выполнить сканирование SFC и DISM
Если какой-либо системный файл поврежден, эта проблема может возникнуть.
Так что запустите System File Checker, а также DISM, чтобы восстановить ваши файлы ОС.
3] Изменить членство в группе
Войдите в свою учетную запись администратора или попросите администратора сделать это. Если у вас есть учетная запись обычного пользователя, добавьте ее в группу администраторов.
Для этого найдите netplwiz в окне поиска на панели задач и откройте результат. После этого выберите свою учетную запись и нажмите кнопку «Свойства».
Затем перейдите на вкладку «Членство в группе» → выберите «Администратор» → нажмите «Применить» и нажмите кнопку «ОК», чтобы сохранить изменения.
Затем снова войдите в свой компьютер и проверьте, работает ли опция «Запуск от имени администратора» или нет.
5] Сканирование системы с помощью антивирусных программ
Иногда эта проблема возникает из-за вредоносных программ. Если ни одно из решений не работает для вас, вам следует установить программное обеспечение для защиты от вредоносных программ и просканировать всю систему.
Существует множество бесплатных антивирусных программ, таких как Bitdefender, Kaspersky и т.д., которые могут хорошо работать.
6] Устранение неполадок в чистом состоянии загрузки
Вы можете устранить неполадки в Clean Boot State, чтобы узнать, какая сторонняя служба может вызывать проблему. Чистая загрузка запускает систему с минимальными драйверами и программами запуска. При запуске компьютера в режиме чистой загрузки компьютер запускается с использованием предварительно выбранного минимального набора драйверов и программ запуска, а поскольку компьютер запускается с минимальным набором драйверов, некоторые программы могут работать не так, как ожидалось.
7] Создать новую учетную запись администратора.
Если ваша стандартная учетная запись не может использовать функцию «Запуск от имени администратора», попробуйте создать новую учетную запись администратора и проверить, можете ли вы использовать ее или нет. Вам необходимо войти в систему под своей основной учетной записью администратора, а затем создать другую учетную запись администратора и использовать ее.
Я надеюсь, что эти решения помогут вам.
Статьи по теме:Как запустить от имени администратора в Windows: инструкция
Добрый день!
Операционная система Windows содержит в себе несколько инструментов безопасности, не позволяющих неопытному пользователю нанести вред целостности системы и данным на дисках. Любой пользователь (даже администратор системы) по умолчанию запускает программы без прав администратора. Если же вам необходимо запустить программу или игру с правами администратора — следуйте инструкции ниже. Однако, помните — если вы запустите вирус или вредоносную программу от имени администратора — это может привести к полному выходу из строя компьютера или ноутбука.
Как запустить от имени администратора (инструкция):
Инструкция универсальная, подходит для Windows 7, Windows 8 и Windows 10. Также, обязательно прочитайте об исключительных ситуациях ниже инструкции.
1. Откройте Проводник, перейдите в папку с приложением. Необходимо запускать именно исполняемый файл приложения, а не ярлык.
Если вы запустите приложение от имени администратора через ярлык, то приложение будет запущено с обычными правами (как отличить ярлык от приложения описано ниже).
2. Нажмите на приложении правой кнопкой мыши и выберите в контекстном меню «Запуск от имени администратора»:
Автор считает, что эти материалы могут вам помочь:
Если пункта «Запуск от имени администратора» нет, значит приложение не имеет цифровой подписи. Как его запустить читайте ниже.
Запуск от имени администратора (исключения):
1. Если вы запустите от имени администратора приложение с помощью ярлыка, то оно запустится с обычными правами. Отличить ярлык от самого приложения можно по характерной метке слева внизу на картинке значка приложения:
Чтобы узнать, где находится приложение, имея его ярлык, кликните на нем правой кнопкой мыши и выберите «Свойства».
В открывшемся окне будет полный путь к приложению.
2. Windows 8 и Windows 10 не дадут вам запустить некоторые (не имеющие цифровой подписи) приложения от имени администратора обычным способом. Чтобы запустить такие приложения, следуйте инструкции:
2.1. Откройте папку с приложением в проводнике.
2.2. Нажмите на меню «Файл» => «Открыть командную строку» => «Открыть командную строку как администратор»:
2.3. В окне командной строки напишите название приложения (название файла .exe без «.exe») и нажмите клавишу Enter, после этого приложение запустится.
Если у вас остались вопросы или нужны уточнения — просто задайте вопрос.
Создайте учетную запись локального пользователя или администратора в Windows
Создайте локальную учетную запись пользователя
Выберите Пуск > Настройки > Учетные записи , а затем выберите Семья и другие пользователи.
(В некоторых версиях Windows вы увидите Другие пользователи .)Рядом с Добавить другого пользователя выберите Добавить учетную запись .
Выберите У меня нет данных для входа этого человека и на следующей странице выберите Добавить пользователя без учетной записи Microsoft .
Введите имя пользователя, пароль или подсказку для пароля или выберите контрольные вопросы, а затем выберите Далее .
(В некоторых версиях Windows вы увидите Другие пользователи .)Откройте настройки и создайте другую учетную запись
Измените локальную учетную запись пользователя на учетную запись администратора
Выберите Start > Settings > Accounts .
В разделе Семья и другие пользователи выберите имя владельца учетной записи (вы должны увидеть «Локальная учетная запись» под именем), затем выберите Изменить тип учетной записи .
Примечание: Если вы выбираете учетную запись, которая показывает адрес электронной почты или не говорит «Локальная учетная запись», то вы даете права администратора учетной записи Microsoft, а не локальной учетной записи.
В разделе Тип учетной записи выберите Администратор , , а затем выберите OK .
Войдите в систему с новой учетной записью администратора.
Если вы используете Windows 10 версии 1803 или более поздней, вы можете добавить контрольные вопросы, как вы увидите на шаге 4 в разделе Создайте локальную учетную запись пользователя .
Ответив на контрольные вопросы, вы можете сбросить пароль локальной учетной записи Windows 10. Не уверены, какая у вас версия? Вы можете проверить свою версию.
Создайте локальную учетную запись пользователя
Выберите Пуск > Настройки > Учетные записи , а затем выберите Семья и другие пользователи. (В некоторых версиях Windows вы увидите Другие пользователи .)
Выбрать Добавить кого-нибудь еще к этому ПК .
Выберите У меня нет данных для входа этого человека и на следующей странице выберите Добавить пользователя без учетной записи Microsoft .
Введите имя пользователя, пароль или подсказку для пароля или выберите контрольные вопросы, а затем выберите Далее .
Откройте настройки и создайте другую учетную запись
Измените локальную учетную запись пользователя на учетную запись администратора
Выберите Start > Settings > Accounts .
В разделе Семья и другие пользователи выберите имя владельца учетной записи (вы должны увидеть «Локальная учетная запись» под именем), затем выберите Изменить тип учетной записи .
Примечание: Если вы выбираете учетную запись, которая показывает адрес электронной почты или не говорит «Локальная учетная запись», то вы даете права администратора учетной записи Microsoft, а не локальной учетной записи.
В разделе Тип учетной записи выберите Администратор , , а затем выберите OK .
Войдите в систему с новой учетной записью администратора.
Windows 10 может отображать учетную запись администратора на экране входа после перезагрузки компьютера
Признаки
Рассмотрим следующий сценарий:
У вас есть ПК с Windows 10 версии 1703 (или более ранняя версия Windows 10), предустановленная производителем оригинального оборудования (OEM).
Затем вы обновляете систему до Windows 10 версии 1709.
Затем вы перезагрузите компьютер, выбрав опцию Сохранить мои файлы .
После завершения сброса на экране входа в Windows может отображаться учетная запись администратора и запрашиваться пароль у пользователя.
Если щелкнуть поле пароля для учетной записи администратора, учетные записи пользователей, которые были добавлены на ПК до сброса, затем появятся в качестве параметров для входа в Windows.
Если затем вы выберете одну из своих учетных записей и войдете в Windows 10, при каждом перезапуске Windows на экране входа снова будет отображаться учетная запись администратора.
Причина
Из-за изменений в Windows 10 версии 1709 при восстановлении ключей реестра до исходных заводских настроек изготовителя оборудования процесс сброса может включать в себя раздел реестра для автоматического входа в учетную запись администратора по умолчанию, используемую во время процесса перед установкой.Это может произойти, если изготовитель оборудования использовал атрибуты «auditSystem» и «auditUser» в файле unattend.xml.
Разрешение
Важно — В этом разделе описаны действия по внесению изменений в реестр.
Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты сделайте резервную копию реестра перед его изменением.Затем вы можете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о резервном копировании и восстановлении реестра щелкните следующий номер статьи в базе знаний Microsoft:
322756 Как сделать резервную копию и восстановить реестр в Windows
Чтобы учетная запись администратора не отображалась на экране входа при перезапуске Windows, измените раздел реестра, который устанавливает автоматический вход:
На экране входа в Windows щелкните поле пароля для учетной записи администратора.Другие учетные записи пользователей на ПК должны появиться в нижнем левом углу.
Выберите одну из своих учетных записей с правами администратора и войдите в Windows.
В поле поиска на панели задач введите regedit . В результатах поиска выберите команду « regedit Run». Примите приглашение пользователя запустить редактор реестра.
В редакторе реестра перейдите к следующему разделу реестра и щелкните папку на левой панели: Computer \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
На правой панели щелкните AutoAdminLogon, , а затем в меню выберите Edit , а затем Modify…
Установите значение 0 и выберите OK.
Закройте редактор реестра и перезапустите Windows.
Включение и отключение встроенной учетной записи администратора
- Статья .
- 3 минуты на чтение
Оцените свой опыт
да Нет
Любой дополнительный отзыв?
Отзыв будет отправлен в Microsoft: при нажатии кнопки «Отправить» ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.
Представлять на рассмотрение
Спасибо.
В этой статье
При производстве ПК вы можете использовать встроенную учетную запись администратора для запуска программ и приложений до создания учетной записи пользователя.
Подсказка
Эта тема посвящена производству ПК. Чтобы получить помощь с учетной записью администратора на вашем ПК, попробуйте одну из этих страниц:
Эта учетная запись используется при входе в систему в режиме аудита или при добавлении сценариев на этапе настройки auditUser.
Включение встроенной учетной записи администратора
Вы можете использовать любой из следующих методов для включения встроенной учетной записи администратора:
Используйте файл ответов
Вы можете включить встроенную учетную запись администратора во время автоматической установки, установив для параметра AutoLogon значение Administrator в компоненте Microsoft-Windows-Shell-Setup. Это активирует встроенную учетную запись администратора, даже если пароль не указан в настройке AdministratorPassword .
Вы можете создать файл ответов с помощью диспетчера установки Windows (Windows SIM), который доступен в комплекте для оценки и развертывания.
В следующем примере файла ответов показано, как включить учетную запись администратора, указать пароль администратора и автоматически войти в систему.
Примечание
Для работы автоматического входа в режим аудита необходимы разделы Microsoft-Windows-Shell-Setup \ Autologon и Microsoft-Windows-Shell-Setup \ UserAccounts \ AdministratorPassword .
Этап настройки auditSystem должен включать оба эти параметра.
Следующий вывод XML показывает, как установить соответствующие значения:
<АвтоВход>
<Пароль>
SecurePasswd123
true </PlainText>
</Password>
<Username> Администратор </Username>
<Enabled> true </Enabled>
<LogonCount> 5 </LogonCount>
</AutoLogon>
<UserAccounts>
<Пароль администратора>
<Value> SecurePasswd123 </Value>
<PlainText> true </PlainText>
</AdministratorPassword>
</UserAccounts>
</component>
</code> </pre><p> Чтобы избежать необходимости вводить пароль для встроенной учетной записи администратора после завершения работы вне коробки, установите <code> Microsoft-Windows-Shell-Setup \ UserAccounts \ AdministratorPassword </code> на этапе настройки <strong> oobeSystem </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/oem-soft.biz/image/catalog/kartinki/%D0%9F%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0%20%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B8%20%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B9%20Windows%2010_2.jpg' /><noscript><img src='/800/600/https/oem-soft.biz/image/catalog/kartinki/%D0%9F%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0%20%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B8%20%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B9%20Windows%2010_2.jpg' /></noscript></p><p> Следующий вывод XML показывает, как установить соответствующие значения:</p><pre> <code> <Учетные записи пользователей>
<Пароль администратора>
<Value> SecurePasswd123 </Value>
<PlainText> true </PlainText>
</AdministratorPassword>
</UserAccounts>
</code> </pre><h4><span class="ez-toc-section" id="i-13"> Войдите в систему в режиме аудита </span></h4><p> Если компьютер еще не прошел Out-Of-Box Experience (OOBE), вы можете войти во встроенную учетную запись администратора, повторно войдя в режим аудита.Дополнительные сведения см. В разделе Загрузка Windows в режим аудита или OOBE.</p><h4><span class="ez-toc-section" id="_MMC"> Используйте MMC для локальных пользователей и групп (только серверные версии) </span></h4><p> Измените свойства учетной записи администратора с помощью консоли управления Microsoft Local Users and Groups (MMC).</p><ol><li> Откройте MMC и выберите <strong> Локальные пользователи и группы </strong>.</li><li> Щелкните правой кнопкой мыши учетную запись администратора <strong> </strong> и выберите <strong> Свойства </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2019/02/Otvetit-na-kontrolnye-voprosy-dlya-sbrosa-zabytogo-parolya-dlya-vhoda-v-Windows-10.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2019/02/Otvetit-na-kontrolnye-voprosy-dlya-sbrosa-zabytogo-parolya-dlya-vhoda-v-Windows-10.png' /></noscript> Откроется окно «Свойства администратора <strong>» </strong>.</li><li> На вкладке <strong> Общие </strong> снимите флажок <strong> Учетная запись отключена </strong>.</li><li> Закройте MMC.</li></ol><p> Доступ администратора теперь разрешен.</p><h3><span class="ez-toc-section" id="i-14"> Отключение встроенной учетной записи администратора </span></h3><p> Для новых установок после того, как конечный пользователь создает учетную запись пользователя в OOBE, встроенная учетная запись администратора отключается.</p><p> Для установки обновления встроенная учетная запись администратора остается включенной, если на компьютере нет другого активного локального администратора и когда компьютер не присоединен к домену.</p><p> Используйте любой из следующих методов, чтобы отключить встроенную учетную запись администратора:</p><ul><li><p> <strong> Запустить команду sysprep / generalize </strong></p><p> При запуске команды <strong> sysprep / generalize </strong> при следующем запуске компьютера встроенная учетная запись администратора будет отключена.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/avatars.mds.yandex.net/get-zen_doc/3938527/pub_5fe990fadba1eb4af89af7f2_5fe991199c06f6134ff9d41f/scale_1200' /><noscript><img src='/800/600/https/avatars.mds.yandex.net/get-zen_doc/3938527/pub_5fe990fadba1eb4af89af7f2_5fe991199c06f6134ff9d41f/scale_1200' /></noscript></p></li><li><p> <strong> Используйте команду пользователя net </strong></p><p> Выполните следующую команду, чтобы отключить учетную запись администратора:</p><pre> <code> сетевой пользователь администратор / активный: нет
</code> </pre><p> Эту команду можно запустить после настройки компьютера и перед доставкой компьютера заказчику.</p></li></ul><p> Производители оригинального оборудования (OEM) и сборщики систем должны отключить встроенную учетную запись администратора перед доставкой компьютеров клиентам. Для этого вы можете использовать любой из следующих методов.</p><h3><span class="ez-toc-section" id="i-15"> Настройка встроенного пароля администратора </span></h3><p> При запуске команды <strong> sysprep / generalize </strong> Sysprep сбрасывает пароль встроенной учетной записи администратора. Инструмент Sysprep очищает пароль встроенной учетной записи администратора только для серверных выпусков, но не для клиентских выпусков.При следующем запуске компьютера программа установки отобразит запрос пароля.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2018/05/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-menyu-Pusk-v-Windows-7-1.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2018/05/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-menyu-Pusk-v-Windows-7-1.png' /></noscript></p><p> Обзор режима аудита</p><h2><span class="ez-toc-section" id="_Windows_Client"> Доступ к компьютеру после отключения учетной записи администратора — Windows Client </span></h2><ul data-bi-name="page info" lang="en-us" dir="ltr"><li> Статья</li>.<li> <time data-article-date="" aria-label="Article review date" datetime="2021-09-23T09:01:00Z" data-article-date-source="git"> 23.09.2021 </time></li><li> 2 минуты на чтение</li><li></li></ul> Эта страница полезна?<h4><span class="ez-toc-section" id="i-16"> Оцените свой опыт </span></h4><p> да Нет</p><p> Любой дополнительный отзыв?</p><p> Отзыв будет отправлен в Microsoft: при нажатии кнопки «Отправить» ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.</p><p> Представлять на рассмотрение</p><p data-binary-rating-onsubmit-message="main-page-rating-container" tabindex="-1" hidden=""> Спасибо.</p><h4><span class="ez-toc-section" id="i-17"> В этой статье </span></h4><p> В этой статье описывается, как получить доступ к компьютеру под управлением Microsoft Windows Server 2003 с помощью учетной записи администратора после отключения учетной записи локального администратора.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.heyvaldemar.com/images/articles/enable-logging-in-windows-firewall/enable-logging-in-windows-firewall-7.jpg' /><noscript><img src='/800/600/https/www.heyvaldemar.com/images/articles/enable-logging-in-windows-firewall/enable-logging-in-windows-firewall-7.jpg' /></noscript></p><p> <em> Применимо к: </em> Windows Server 2003 <br/> <em> Исходный номер базы знаний: </em> 814777</p><h3><span class="ez-toc-section" id="i-18"> Сводка </span></h3><p> Вы можете использовать Windows Server 2003 для отключения учетной записи локального администратора.Эта функция включена для обеспечения дополнительного уровня безопасности в вашей организации. Кроме того, установка служб удаленной установки (RIS) по умолчанию отключает учетную запись локального администратора на конечном компьютере.</p><h3><span class="ez-toc-section" id="_Windows-3"> Войдите в Windows в безопасном режиме </span></h3><p> Чтобы войти в Windows, используя отключенную учетную запись локального администратора, запустите Windows в безопасном режиме. Даже когда учетная запись администратора отключена, вам не запрещается входить в систему как администратор в безопасном режиме.Когда вы успешно вошли в систему в безопасном режиме, повторно включите учетную запись администратора, а затем снова войдите в систему. Для этого выполните следующие действия:</p><ol><li> Запустите компьютер и нажмите клавишу F8 после завершения самотестирования при включении (POST).<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/i0.wp.com/lumpics.ru/wp-content/uploads/2017/12/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-kontekstnoe-menyu-s-pomoshhyu-menyu-Pusk-v-Windows-7.png' /><noscript><img src='/800/600/https/i0.wp.com/lumpics.ru/wp-content/uploads/2017/12/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-kontekstnoe-menyu-s-pomoshhyu-menyu-Pusk-v-Windows-7.png' /></noscript></li><li> В меню </strong> Дополнительные параметры Windows </strong> с помощью клавиш со стрелками выберите <strong> Безопасный режим </strong> и нажмите клавишу ВВОД.</li><li> Выберите операционную систему, которую хотите запустить, и нажмите клавишу ВВОД.</li><li> Войдите в Windows как администратор.Если вам будет предложено сделать это, щелкните, чтобы выбрать элемент в списке <strong> Почему компьютер неожиданно выключился, </strong>, а затем щелкните <strong> ОК </strong>.</li><li> В сообщении о том, что Windows работает в безопасном режиме, нажмите <strong> ОК </strong>.</li><li> Щелкните <strong> Пуск </strong>, щелкните правой кнопкой мыши <strong> Мой компьютер </strong>, а затем щелкните <strong> Управление </strong>.</li><li> Разверните <strong> Локальные пользователи и группы </strong>, щелкните <strong> Пользователи </strong>, щелкните правой кнопкой мыши <strong> Администратор </strong> на правой панели, а затем щелкните <strong> Свойства </strong>.</li><li> Снимите флажок <strong> Учетная запись отключена </strong>, а затем нажмите <strong> ОК </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2018/09/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-menyu-Pusk-v-Windows-7.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2018/09/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-menyu-Pusk-v-Windows-7.png' /></noscript></li></ol><p> Если сервер является контроллером домена, локальные пользователи и группы недоступны в <strong> Управление компьютером </strong>. Чтобы включить учетную запись администратора, выполните следующие действия:</p><ol><li><p> Загрузите компьютер в безопасном режиме с поддержкой сети.</p></li><li><p> Войдите в систему как администратор.</p></li><li><p> Щелкните <strong> Start </strong>, щелкните <strong> Run </strong>, введите <em> cmd </em> и нажмите Enter.</p></li><li><p> В командной строке введите следующую команду и нажмите Enter:</p><pre> <code> сетевой пользователь администратор / активный: да
</code> </pre></li></ol><h3><span class="ez-toc-section" id="_Windows-4"> Войдите в Windows с помощью консоли восстановления </span></h3><p> Вы можете использовать консоль восстановления для доступа к компьютеру, даже если локальная учетная запись администратора отключена. Отключение учетной записи локального администратора не мешает вам войти в консоль восстановления в качестве администратора.</p><h2><span class="ez-toc-section" id="_Windows_10_Windows"> локальных учетных записей (Windows 10) — безопасность Windows </span></h2><ul data-bi-name="page info" lang="en-us" dir="ltr"><li> Статья</li>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.white-windows.ru/wp-content/uploads/2021/02/6179884_2.png' /><noscript><img src='/800/600/https/www.white-windows.ru/wp-content/uploads/2021/02/6179884_2.png' /></noscript><li> <time data-article-date="" aria-label="Article review date" datetime="2021-12-08T18:41:00Z" data-article-date-source="git"> 08.12.2021 </time></li><li> 20 минут на чтение</li><li></li></ul> Эта страница полезна?<h4><span class="ez-toc-section" id="i-19"> Оцените свой опыт </span></h4><p> да Нет</p><p> Любой дополнительный отзыв?</p><p> Отзыв будет отправлен в Microsoft: при нажатии кнопки «Отправить» ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.</p><p> Представлять на рассмотрение</p><p data-binary-rating-onsubmit-message="main-page-rating-container" tabindex="-1" hidden=""> Спасибо.</p><h4><span class="ez-toc-section" id="i-20"> В этой статье </span></h4><p> <strong> Относится к </strong></p><ul><li> Windows 10</li><li> Windows Server 2019</li><li> Windows Server 2016</li></ul><p> В этом справочном разделе для ИТ-специалистов описываются локальные учетные записи пользователей по умолчанию для серверов, в том числе способы управления этими встроенными учетными записями на рядовом или автономном сервере.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/it-actual.ru/media/Why-run-as-administrator-2.png' /><noscript><img src='/800/600/https/it-actual.ru/media/Why-run-as-administrator-2.png' /></noscript></p><h3><span class="ez-toc-section" id="i-21"> Об учетных записях локальных пользователей </span></h3><p> Учетные записи локальных пользователей хранятся локально на сервере. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере. Учетные записи локальных пользователей — это участники безопасности, которые используются для защиты и управления доступом к ресурсам на автономном или рядовом сервере для служб или пользователей.</p><p> В этом разделе описывается следующее:</p><p> Для получения информации об участниках безопасности см. Принципы безопасности.</p><h3><span class="ez-toc-section" id="i-22"> Учетные записи локальных пользователей по умолчанию </span></h3><p> Учетные записи локальных пользователей по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке Windows.</p><p> После установки Windows учетные записи локальных пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступа к сетевым ресурсам.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2017/12/Zapusk-Komandnoy-stroki-ot-imeni-administratora-s-pomoshhyu-kontekstnogo-menyu-cherez-menyu-Pusk-v-Windows-7.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2017/12/Zapusk-Komandnoy-stroki-ot-imeni-administratora-s-pomoshhyu-kontekstnogo-menyu-cherez-menyu-Pusk-v-Windows-7.png' /></noscript></p><p> Учетные записи локальных пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, назначенных учетной записи.Учетные записи локальных пользователей по умолчанию и создаваемые вами учетные записи локальных пользователей находятся в папке «Пользователи». Папка «Пользователи» находится в папке «Локальные пользователи и группы» консоли управления Microsoft (MMC) на локальном компьютере. Управление компьютером — это набор инструментов администрирования, которые можно использовать для управления одним локальным или удаленным компьютером. Дополнительные сведения см. В разделе «Как управлять локальными учетными записями» далее в этом разделе.</p><p> Учетные записи локальных пользователей по умолчанию описаны в следующих разделах.</p><h4><span class="ez-toc-section" id="i-23"> Учетная запись администратора </span></h4><p> Учетная запись локального администратора по умолчанию — это учетная запись системного администратора. На каждом компьютере есть учетная запись администратора (SID S-1-5-<em>, домен </em>-500, отображаемое имя «Администратор»).<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2018/03/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-menyu-Pusk-v-Windows-7-1.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2018/03/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-menyu-Pusk-v-Windows-7-1.png' /></noscript> Учетная запись администратора — это первая учетная запись, созданная во время установки Windows.</p><p> Учетная запись администратора имеет полный контроль над файлами, каталогами, службами и другими ресурсами на локальном компьютере. Учетная запись администратора может создавать других локальных пользователей, назначать права пользователей и назначать разрешения.Учетная запись администратора может в любое время взять под контроль локальные ресурсы, просто изменив права и разрешения пользователя.</p><p> Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.</p><p> В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая является членом группы администраторов. Члены групп администраторов могут запускать приложения с повышенными разрешениями без использования параметра <strong> Запуск от имени администратора </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/printeru.info/wp-content/uploads/2020/10/e32e924911-2.jpg' /><noscript><img src='/800/600/https/printeru.info/wp-content/uploads/2020/10/e32e924911-2.jpg' /></noscript> Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.</p><p> <strong> Членство в группе счетов </strong></p><p> По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере. Рекомендуется ограничить количество пользователей в группе «Администраторы», поскольку члены группы «Администраторы» на локальном сервере имеют разрешения «Полный доступ» на этом компьютере.</p><p> Учетную запись администратора нельзя удалить или удалить из группы администраторов, но ее можно переименовать.</p><p> <strong> Соображения безопасности </strong></p><p> Поскольку известно, что учетная запись администратора существует во многих версиях операционной системы Windows, рекомендуется отключать учетную запись администратора, когда это возможно, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентскому компьютеру.</p><p> Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначаемый идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lh5.googleusercontent.com/L-US7owSkM3A4DDrPeMPXHuP1tM98cdE7FwQn8MMZbNIiXpDMSNNRDB94TBkkNSKiHgQ5or2RdrH5LQ_EjWyWUzqEIvwkPnFlvxuP2mwTJAMdm-6C1KtD_Sj__KJFMigB9Odi_aa' /><noscript><img src='/800/600/https/lh5.googleusercontent.com/L-US7owSkM3A4DDrPeMPXHuP1tM98cdE7FwQn8MMZbNIiXpDMSNNRDB94TBkkNSKiHgQ5or2RdrH5LQ_EjWyWUzqEIvwkPnFlvxuP2mwTJAMdm-6C1KtD_Sj__KJFMigB9Odi_aa' /></noscript> Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. В разделах Отключение или активация учетной записи локального пользователя и Переименование учетной записи локального пользователя.</p><p> В целях безопасности используйте локальную учетную запись (не администратора) для входа в систему, а затем используйте <strong> Запуск от имени администратора </strong> для выполнения задач, требующих более высокого уровня прав, чем учетная запись стандартного пользователя. Не используйте учетную запись администратора для входа на свой компьютер, если это не является абсолютно необходимым. Дополнительные сведения см. В разделе Запуск программы с учетными данными администратора.</p><p> Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью с правами администратора считается системным администратором клиентского компьютера. Первая учетная запись локального пользователя, созданная во время установки, помещается в группу локальных администраторов.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/pc-consultant.ru/wp-content/uploads/2018/03/Delaem-pravy-j-shhelchok-my-sh-yu-po-prilozheniyu-i-vy-biraem-Zapusk-ot-imeni-administratora--e1521756197175.png' /><noscript><img src='/800/600/https/pc-consultant.ru/wp-content/uploads/2018/03/Delaem-pravy-j-shhelchok-my-sh-yu-po-prilozheniyu-i-vy-biraem-Zapusk-ot-imeni-administratora--e1521756197175.png' /></noscript> Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может контролировать этих пользователей или их клиентские компьютеры.</p><p> В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически контролировать использование локальной группы администраторов на каждом сервере или клиентском компьютере.Дополнительные сведения о групповой политике см. В разделе Обзор групповой политики.</p><p> Важно</p><ul><li><p> Пустые пароли не допускаются в версиях, указанных в списке <strong> Применимо к </strong> в начале этого раздела.</p></li><li><p> Даже если учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру в безопасном режиме. В консоли восстановления или в безопасном режиме учетная запись администратора включается автоматически. Когда нормальная работа возобновляется, она отключается.</p></li></ul><h4><span class="ez-toc-section" id="i-24"> Гостевой аккаунт </span></h4><p> Учетная запись гостя по умолчанию отключена при установке.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/notikomp.ru/wp-content/uploads/8/9/c/89c1f21da406c3d23b51e34870f35703.jpg' /><noscript><img src='/800/600/https/notikomp.ru/wp-content/uploads/8/9/c/89c1f21da406c3d23b51e34870f35703.jpg' /></noscript> Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователя. По умолчанию учетная запись гостя имеет пустой пароль. Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. По этой причине рекомендуется оставлять гостевую учетную запись отключенной, если ее использование не является полностью необходимым.</p><p> <strong> Членство в группе счетов </strong></p><p> По умолчанию учетная запись гостя является единственным членом группы гостей по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который является членом группы администраторов, может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.</p><p> <strong> Соображения безопасности </strong></p><p> При включении гостевой учетной записи предоставляйте только ограниченные права и разрешения.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.white-windows.ru/wp-content/uploads/2017/06/4956626_3.jpg' /><noscript><img src='/800/600/https/www.white-windows.ru/wp-content/uploads/2017/06/4956626_3.jpg' /></noscript> По соображениям безопасности гостевую учетную запись нельзя использовать по сети и сделать доступной для других компьютеров.</p><p> Кроме того, гостевой пользователь в гостевой учетной записи не должен иметь возможность просматривать журналы событий. После включения гостевой учетной записи рекомендуется часто контролировать гостевую учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.</p><h3><span class="ez-toc-section" id="_HelpAssistant"> Учетная запись HelpAssistant (устанавливается во время сеанса удаленного помощника) </span></h3><p> Учетная запись HelpAssistant — это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника.Эта учетная запись автоматически отключается, если нет ожидающих запросов удаленного помощника.</p><p> HelpAssistant — это основная учетная запись, которая используется для установления сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.vandongan.com/wp-content/uploads/2020/03/otkryt-komandnuyu-stroku-dlya-vyhoda-iz-sistemy-v-windows-10.png' /><noscript><img src='/800/600/https/www.vandongan.com/wp-content/uploads/2020/03/otkryt-komandnuyu-stroku-dlya-vyhoda-iz-sistemy-v-windows-10.png' /></noscript> Для получения удаленной помощи пользователь отправляет со своего компьютера приглашение по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, оказывающему помощь, ограниченный доступ к компьютеру.Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.</p><p> <strong> Соображения безопасности </strong></p><p> Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:</p><ul><li><p> SID: S-1-5- <домен> -13, отображаемое имя Пользователь терминального сервера. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.</p></li><li><p> SID: S-1-5- <домен> -14, отображаемое имя Удаленный интерактивный вход в систему.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/linuxsql.ru/sites/default/files/080419_0002.png' /><noscript><img src='/800/600/http/linuxsql.ru/sites/default/files/080419_0002.png' /></noscript> В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности для удаленного интерактивного входа, также содержат идентификатор безопасности для интерактивного входа.</p></li></ul><p> Для операционной системы Windows Server удаленный помощник является дополнительным компонентом, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.</p><p> Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.</p><p> <strong> Атрибуты учетной записи HelpAssistant </strong></p><table><thead><tr><th> Атрибут</th><th> Значение</th></tr></thead><tbody><tr><td> Известный SID / RID</td><td> <code> S-1-5- <домен> -13 (пользователь терминального сервера), S-1-5- <домен> -14 (удаленный интерактивный вход в систему) </code></td></tr><tr><td> Тип</td><td> Пользователь</td></tr><tr><td> Контейнер по умолчанию</td><td> <code> CN = Пользователи, DC = <домен>, DC = </code></td></tr><tr><td> Члены по умолчанию</td><td> Нет</td></tr><tr><td> Стандартный член</td><td> Домен Гости<p> Гости</p></td></tr><tr><td> Защищено ADMINSDHOLDER?</td><td> Нет</td></tr><tr><td> Можно ли выйти из контейнера по умолчанию?</td><td> Можно сдвинуть, но мы не рекомендуем это делать.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.vandongan.com/wp-content/uploads/2017/08/Zapusk-komandnoy-stroki-ot-imeni-administratora-cherez-kontekstnoe-menyu-cherez-menyu-Pusk-v-Windows-7.png' /><noscript><img src='/800/600/https/www.vandongan.com/wp-content/uploads/2017/08/Zapusk-komandnoy-stroki-ot-imeni-administratora-cherez-kontekstnoe-menyu-cherez-menyu-Pusk-v-Windows-7.png' /></noscript></td></tr><tr><td> Можно ли делегировать управление этой группой администраторам, не являющимся администраторами служб?</td><td> Нет</td></tr></tbody></table><h4><span class="ez-toc-section" id="i-25"> Счет по умолчанию </span></h4><p> DefaultAccount, также известная как управляемая система по умолчанию (DSMA), — это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016.
DSMA — это хорошо известный тип учетной записи пользователя.
Это нейтральная к пользователю учетная запись, которую можно использовать для запуска процессов, которые либо учитывают многопользовательскую, либо не зависят от пользователя.
DSMA по умолчанию отключен для номеров SKU для настольных ПК (SKU для полной версии Windows) и WS 2016 с Desktop.</p><p> DSMA имеет хорошо известный RID 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь хорошо известный SID в следующем формате: S-1-5-21- <ComputerIdentifier> -503</p><p> DSMA является членом известной группы <strong> System Managed Accounts Group </strong>, которая имеет хорошо известный SID S-1-5-32-581.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.vandongan.com/wp-content/uploads/2018/01/Zapusk-Komandnoy-stroki-ot-imeni-administratora-s-pomoshhyu-kontekstnogo-menyu-cherez-menyu-Pusk-v-Windows-7.png' /><noscript><img src='/800/600/https/www.vandongan.com/wp-content/uploads/2018/01/Zapusk-Komandnoy-stroki-ot-imeni-administratora-s-pomoshhyu-kontekstnogo-menyu-cherez-menyu-Pusk-v-Windows-7.png' /></noscript></p><p> Псевдониму DSMA может быть предоставлен доступ к ресурсам во время автономной подготовки даже до создания самой учетной записи. Учетная запись и группа создаются во время первой загрузки машины в диспетчере учетных записей безопасности (SAM).</p><h5><span class="ez-toc-section" id="_Windows_DefaultAccount"> Как Windows использует DefaultAccount </span></h5><p> С точки зрения разрешений DefaultAccount — это стандартная учетная запись пользователя.
DefaultAccount необходим для запуска многопользовательских приложений (приложений MUMA).
Приложения MUMA работают постоянно и реагируют на вход и выход пользователей из устройств.
В отличие от рабочего стола Windows, где приложения запускаются в контексте пользователя и завершаются, когда пользователь выходит из системы, приложения MUMA запускаются с использованием DSMA.</p> Приложения<p> MUMA работают с SKU общего сеанса, например Xbox.Например, оболочка Xbox — это приложение MUMA.
Сегодня Xbox автоматически входит в систему как гостевая учетная запись, и все приложения запускаются в этом контексте.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/c-t-s.ru/images/2016/05/s1.jpg' /><noscript><img src='/800/600/https/c-t-s.ru/images/2016/05/s1.jpg' /></noscript> Все приложения поддерживают многопользовательскую работу и реагируют на события, инициированные менеджером пользователей.
Приложения запускаются как гостевая учетная запись.</p><p> Аналогично, Phone автоматически входит в систему как учетная запись «DefApps», которая похожа на стандартную учетную запись пользователя в Windows, но с некоторыми дополнительными привилегиями. Брокеры, некоторые службы и приложения работают под этой учетной записью.</p><p> В конвергентной пользовательской модели многопользовательские приложения и многопользовательские брокеры должны будут работать в контексте, отличном от контекста пользователей.Для этого в системе создается DSMA.</p><h5><span class="ez-toc-section" id="_DefaultAccount"> Как создается DefaultAccount на контроллерах домена </span></h5><p> Если домен был создан с контроллерами домена под управлением Windows Server 2016, DefaultAccount будет существовать на всех контроллерах домена в домене.
Если домен был создан с помощью контроллеров домена под управлением более ранней версии Windows Server, DefaultAccount будет создан после того, как роль эмулятора PDC будет передана контроллеру домена под управлением Windows Server 2016.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/chuzhoy007.ru/wp-content/uploads/2010/12/zapusk-ot-imeni-administratora.png' /><noscript><img src='/800/600/https/chuzhoy007.ru/wp-content/uploads/2010/12/zapusk-ot-imeni-administratora.png' /></noscript> Затем DefaultAccount будет реплицирован на все остальные контроллеры домена в домене.</p><h5><span class="ez-toc-section" id="_DSMA"> Рекомендации по управлению учетной записью по умолчанию (DSMA) </span></h5><p> Microsoft не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Отсутствие угрозы безопасности при отключенном состоянии учетной записи. Изменение конфигурации по умолчанию может помешать будущим сценариям, использующим эту учетную запись.</p><h3><span class="ez-toc-section" id="i-26"> Учетные записи локальной системы по умолчанию </span></h3><h4><span class="ez-toc-section" id="i-27"> СИСТЕМА </span></h4><p> Учетная запись SYSTEM используется операционной системой и службами, работающими под Windows.В операционной системе Windows есть множество служб и процессов, которым требуется возможность внутреннего входа, например, во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя этой учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей, и ее нельзя добавить ни в какие группы.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/alexzsoft.ru/wp-content/uploads/2016/02/uchetnaya_zapis-1.jpg' /><noscript><img src='/800/600/https/alexzsoft.ru/wp-content/uploads/2016/02/uchetnaya_zapis-1.jpg' /></noscript></p><p> С другой стороны, учетная запись SYSTEM отображается на томе файловой системы NTFS в диспетчере файлов в разделе <strong> Permissions </strong> меню <strong> Security </strong>.По умолчанию учетной записи SYSTEM предоставлены разрешения полного доступа ко всем файлам на томе NTFS. Здесь учетная запись SYSTEM имеет те же функциональные права и разрешения, что и учетная запись администратора.</p><p> Примечание</p><p> Предоставление учетной записи прав доступа к файлам группы администраторов не подразумевает предоставление разрешений учетной записи SYSTEM. Разрешения учетной записи SYSTEM можно удалить из файла, но мы не рекомендуем их удалять.</p><h4><span class="ez-toc-section" id="i-28"> СЕТЕВОЕ ОБСЛУЖИВАНИЕ </span></h4><p> Учетная запись NETWORK SERVICE — это предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM).Служба, работающая в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам. Для получения дополнительной информации см.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.vandongan.com/wp-content/uploads/2019/02/Zapusk-programmy-ot-imeni-administratora-v-Windows-10.png' /><noscript><img src='/800/600/https/www.vandongan.com/wp-content/uploads/2019/02/Zapusk-programmy-ot-imeni-administratora-v-Windows-10.png' /></noscript> Учетная запись NetworkService.</p><h4><span class="ez-toc-section" id="i-29"> МЕСТНОЕ ОБСЛУЖИВАНИЕ </span></h4><p> Учетная запись LOCAL SERVICE — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Он имеет минимальные привилегии на локальном компьютере и предоставляет анонимные учетные данные в сети. Для получения дополнительной информации см. Учетная запись LocalService.</p><h3><span class="ez-toc-section" id="i-30"> Как управлять локальными учетными записями пользователей </span></h3><p> Учетные записи локальных пользователей по умолчанию и создаваемые вами локальные учетные записи пользователей находятся в папке «Пользователи».Папка «Пользователи» находится в «Локальные пользователи и группы». Дополнительные сведения о создании и управлении учетными записями локальных пользователей см. В разделе «Управление локальными пользователями».</p><p> Вы можете использовать «Локальные пользователи и группы» для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/dexcel.ru/upload/pic/1c_update/1c_update_1.jpg' /><noscript><img src='/800/600/https/dexcel.ru/upload/pic/1c_update/1c_update_1.jpg' /></noscript> Право разрешает пользователю выполнять определенные действия на сервере, такие как резервное копирование файлов и папок или выключение сервера. Разрешение на доступ — это правило, связанное с объектом, обычно файлом, папкой или принтером.Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.</p><p> Вы не можете использовать локальных пользователей и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для нацеливания на удаленные компьютеры, которые не являются контроллерами домена в сети.</p><p> Примечание</p><p> Вы используете «Пользователи и компьютеры Active Directory» для управления пользователями и группами в Active Directory.</p><p> Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управлять локальными группами с помощью NET.EXE LOCALGROUP, или с помощью различных командлетов PowerShell и других технологий создания сценариев.</p><h4><span class="ez-toc-section" id="i-31"> Ограничение и защита локальных учетных записей с правами администратора </span></h4><p> Администратор может использовать ряд подходов для предотвращения использования злоумышленниками украденных учетных данных, таких как украденный пароль или хэш пароля, для использования локальной учетной записи на одном компьютере для аутентификации на другом компьютере с правами администратора; это также называется «боковое движение».<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2018/10/Perehod-v-papku-Standartnyie-cherez-menyu-Pusk-v-Windows-7.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2018/10/Perehod-v-papku-Standartnyie-cherez-menyu-Pusk-v-Windows-7.png' /></noscript></p><p> Самый простой подход — войти в систему со стандартной учетной записью пользователя вместо использования учетной записи администратора для задач, например, для просмотра веб-страниц, отправки электронной почты или использования текстового редактора.Если вы хотите выполнить административную задачу, например, установить новую программу или изменить параметр, влияющий на других пользователей, вам не нужно переключаться на учетную запись администратора. Вы можете использовать Контроль учетных записей (UAC), чтобы запрашивать разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.</p><p> Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора, включают:</p><ul><li><p> Применение ограничений локальной учетной записи для удаленного доступа.</p></li><li><p> Запретить вход в сеть для всех учетных записей локальных администраторов.</p></li><li><p> Создайте уникальные пароли для локальных учетных записей с правами администратора.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/partition-magic-ru.ru/wp-content/uploads/9/4/e/94e6b8fea0504513e8d041632578ca63.jpg' /><noscript><img src='/800/600/https/partition-magic-ru.ru/wp-content/uploads/9/4/e/94e6b8fea0504513e8d041632578ca63.jpg' /></noscript></p></li></ul><p> Каждый из этих подходов описан в следующих разделах.</p><p> Примечание</p><p> Эти подходы неприменимы, если все административные локальные учетные записи отключены.</p><h4><span class="ez-toc-section" id="i-32"> Применить ограничения локальной учетной записи для удаленного доступа </span></h4><p> Контроль учетных записей пользователей (UAC) — это функция безопасности в Windows, которая использовалась в Windows Server 2008 и Windows Vista, а также в операционных системах, к которым относится список «<strong> применяется к </strong>».UAC позволяет вам контролировать свой компьютер, информируя вас, когда программа вносит изменения, требующие разрешения на уровне администратора. UAC работает, регулируя уровень разрешений вашей учетной записи. По умолчанию UAC настроен так, чтобы уведомлять вас, когда приложения пытаются внести изменения в ваш компьютер, но вы можете изменить частоту уведомлений UAC.</p><p> UAC позволяет рассматривать учетную запись с правами администратора как учетную запись обычного пользователя без прав администратора до тех пор, пока не будут запрошены и утверждены полные права, также называемые повышением прав.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.softrew.ru/uploads/posts/2012-07/1342192349_4.png' /><noscript><img src='/800/600/https/www.softrew.ru/uploads/posts/2012-07/1342192349_4.png' /></noscript> Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не являющегося администратором, для выполнения случайных административных задач без необходимости переключения пользователей, выхода из системы или использования команды <strong> Запуск от имени </strong>.</p><p> Кроме того, UAC может потребовать от администраторов специально утверждать приложения, которые вносят изменения в масштабе всей системы, прежде чем этим приложениям будет предоставлено разрешение на запуск, даже в пользовательском сеансе администратора.</p><p> Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит в систему с удаленного компьютера с помощью входа в сеть (например, с помощью NET.EXE ИСПОЛЬЗОВАНИЕ). В этом случае ему выдается токен стандартного пользователя без административных прав, но без возможности запрашивать или получать повышение. Следовательно, локальные учетные записи, которые входят в систему с помощью входа в сеть, не могут получить доступ к административным общим ресурсам, таким как C $ или ADMIN $, или выполнить какое-либо удаленное администрирование.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/o2proxy.com/ru/blog/texts/imgs/24032019/05.jpg' /><noscript><img src='/800/600/https/o2proxy.com/ru/blog/texts/imgs/24032019/05.jpg' /></noscript></p><p> Дополнительные сведения о UAC см. В разделе Контроль учетных записей пользователей.</p><p> В следующей таблице показаны параметры групповой политики и реестра, которые используются для принудительного применения ограничений локальной учетной записи для удаленного доступа.</p><p> Примечание</p><p> Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемого ADMX в шаблонах безопасности.</p><h5><span class="ez-toc-section" id="i-33"> Для принудительного применения ограничений локальной учетной записи для удаленного доступа </span></h5><ol><li><p> Запустите консоль управления групповой политикой <strong> </strong> (GPMC).</p></li><li><p> В дереве консоли разверните <<em> Forest </em>> \ Domains \ <<em> Domain </em>>, а затем <strong> Group Policy Objects </strong>, где <em> forest </em> — это имя леса, а <em> domain </em> — имя домена. где вы хотите установить объект групповой политики (GPO).</p></li><li><p> В дереве консоли щелкните правой кнопкой мыши <strong> Объекты групповой политики </strong> и> <strong> Новый </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/zawindows.ru/wp-content/uploads/2020/09/cmd-administrator.png' /><noscript><img src='/800/600/https/zawindows.ru/wp-content/uploads/2020/09/cmd-administrator.png' /></noscript></p><p></p></li><li><p> В диалоговом окне <strong> New GPO </strong> введите <<strong> gpo_name </strong>> и> <strong> OK </strong>, где <em> gpo_name </em> — это имя нового GPO. Имя GPO указывает, что GPO используется для ограничения переноса прав локального администратора на другой компьютер.</p><p></p></li><li><p> На панели сведений щелкните правой кнопкой мыши <<strong> gpo_name </strong>> и> <strong> Изменить </strong>.</p><p></p></li><li><p> Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив следующие действия:</p><ol><li><p> Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ и> <strong> Параметры безопасности </strong>.</p></li><li><p> Дважды щелкните <strong> Контроль учетных записей: запускать всех администраторов в режиме утверждения администратором </strong>> <strong> Включено </strong>> <strong> ОК </strong>.</p></li><li><p> Дважды щелкните <strong> Контроль учетных записей пользователей: режим утверждения администратором для встроенной учетной записи администратора </strong>> <strong> Включено </strong>> <strong> OK </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/support.kaspersky.ru/images/KFA2017_13819_0114-424137.png' /><noscript><img src='/800/600/https/support.kaspersky.ru/images/KFA2017_13819_0114-424137.png' /></noscript></p></li></ol></li><li><p> Убедитесь, что к сетевым интерфейсам применяются ограничения локальной учетной записи, выполнив следующие действия:</p><ol><li><p> Перейдите в раздел Конфигурация компьютера \ Настройки и настройки Windows и> Реестр <strong> </strong>.</p></li><li><p> Щелкните правой кнопкой мыши <strong> Registry </strong> и> <strong> New </strong>> <strong> Registry Item </strong>.</p><p></p></li><li><p> В диалоговом окне <strong> New Registry Properties </strong> на вкладке <strong> General </strong> измените параметр в поле <strong> Action </strong> на <strong> Replace </strong>.</p></li><li><p> Убедитесь, что для поля <strong> Hive </strong> установлено значение <strong> HKEY_LOCAL_MACHINE </strong>.</p></li><li><p> Щелкните (<strong>… </strong>), перейдите к следующему местоположению для <strong> Путь к ключу </strong>> <strong> Выберите </strong> для: <strong> ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ Policies \ System </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/http/virtmachine.ru/8XSDJKGA/190826014115.jpg' /><noscript><img src='/800/600/http/virtmachine.ru/8XSDJKGA/190826014115.jpg' /></noscript></p></li><li><p> В области имени значения <strong> </strong> введите <strong> LocalAccountTokenFilterPolicy </strong>.</p></li><li><p> В поле <strong> Тип значения </strong> из раскрывающегося списка выберите <strong> REG_DWORD </strong>, чтобы изменить значение.</p></li><li><p> Убедитесь, что в поле <strong> Значение данных </strong> установлено значение <strong> 0 </strong>.</p></li><li><p> Проверьте эту конфигурацию и> <strong> OK </strong>.</p><p></p></li></ol></li><li><p> Свяжите GPO с первым организационным подразделением (OU) <strong> Workstations </strong>, выполнив следующие действия:</p><ol><li><p> Перейдите к пути <<em> Forest </em>> \ Domains \ <<em> Domain </em>> \ OU.</p></li><li><p> Щелкните правой кнопкой мыши <strong> Workstations </strong> OU и> <strong> Свяжите существующий GPO </strong>.</p><p></p></li><li><p> Выберите только что созданный объект групповой политики и> <strong> OK </strong>.</p></li></ol></li><li><p> Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.vandongan.com/wp-content/uploads/2017/09/Zapusk-ot-imeni-administratora-Komandnoy-stroki-cherez-kontestnoe-menyu-v-menyu-Pusk-v-Windows-7.png' /><noscript><img src='/800/600/https/www.vandongan.com/wp-content/uploads/2017/09/Zapusk-ot-imeni-administratora-Komandnoy-stroki-cherez-kontestnoe-menyu-v-menyu-Pusk-v-Windows-7.png' /></noscript></p></li><li><p> Создайте ссылки на все другие подразделения, содержащие рабочие станции.</p></li><li><p> Создайте ссылки на все другие подразделения, содержащие серверы.</p></li></ol><h4><span class="ez-toc-section" id="i-34"> Запретить вход в сеть для всех учетных записей локального администратора </span></h4><p> Запрещение локальным учетным записям возможности выполнять вход в сеть может помочь предотвратить повторное использование хэша пароля локальной учетной записи в злонамеренных атаках.Эта процедура помогает предотвратить боковое перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут быть использованы для компрометации дополнительных компьютеров, использующих те же учетные данные.</p><p> Примечание</p><p> Для выполнения этой процедуры необходимо сначала определить имя локальной учетной записи администратора по умолчанию, которое может не быть именем пользователя по умолчанию «Администратор», и любых других учетных записей, которые являются членами локальной группы администраторов.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/poznyaev.ru/wp-content/uploads/2021/01/ot-imeni-administratora-windows-10-1.jpg' /><noscript><img src='/800/600/https/poznyaev.ru/wp-content/uploads/2021/01/ot-imeni-administratora-windows-10-1.jpg' /></noscript></p><p> В следующей таблице показаны параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.</p><table><thead><tr><th> №</th><th> Настройка</th><th> Подробное описание</th></tr></thead><tbody><tr><td/><td> Расположение политики</td><td> Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя</td></tr><tr><td> 1</td><td> Название политики</td><td> Запретить доступ к этому компьютеру из сети</td></tr><tr><td/><td> Параметр политики</td><td> Локальная учетная запись и член группы администраторов</td></tr><tr><td> 2</td><td> Расположение политики</td><td> Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Назначение прав пользователя</td></tr><tr><td/><td> Название политики</td><td> Запретить вход через службы удаленных рабочих столов</td></tr><tr><td/><td> Параметр политики</td><td> Локальная учетная запись и член группы администраторов</td></tr></tbody></table><h5><span class="ez-toc-section" id="i-35"> Чтобы запретить вход в сеть для всех учетных записей локальных администраторов </span></h5><ol><li><p> Запустите консоль управления групповой политикой <strong> </strong> (GPMC).<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/siteprokompy.ru/wp-content/uploads/2019/01/kak-otkryt-komandnuyu-stroku-s-pravami-administratora-v-vindovs-1018.png' /><noscript><img src='/800/600/https/siteprokompy.ru/wp-content/uploads/2019/01/kak-otkryt-komandnuyu-stroku-s-pravami-administratora-v-vindovs-1018.png' /></noscript></p></li><li><p> В дереве консоли разверните <<em> Forest </em>> \ Domains \ <<em> Domain </em>>, а затем <strong> Group Policy Objects </strong>, где <em> forest </em> — это имя леса, а <em> domain </em> — имя домен, в котором вы хотите установить объект групповой политики (GPO).</p></li><li><p> В дереве консоли щелкните правой кнопкой мыши <strong> Объекты групповой политики </strong> и> <strong> Новый </strong>.</p></li><li><p> В диалоговом окне <strong> New GPO </strong> введите <<strong> gpo_name </strong>>, а затем> <strong> OK </strong>, где <em> gpo_name </em> — это имя нового GPO, указывает, что он используется для ограничения локальных административных учетных записей от интерактивной подписи в компьютер.</p><p></p></li><li><p> На панели сведений щелкните правой кнопкой мыши <<strong> gpo_name </strong>> и> <strong> Изменить </strong>.</p><p></p></li><li><p> Настройте права пользователя для запрета входа в сеть для административных локальных учетных записей следующим образом:</p><ol><li><p> Перейдите в Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ и> <strong> Назначение прав пользователя </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/affsurv.ru/wp-content/uploads/e/2/8/e289dde67fbbb04c6d0994bbfd324987.png' /><noscript><img src='/800/600/https/affsurv.ru/wp-content/uploads/e/2/8/e289dde67fbbb04c6d0994bbfd324987.png' /></noscript></p></li><li><p> Дважды щелкните <strong> Запретить доступ к этому компьютеру из сети </strong>.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>, введите <strong> Локальная учетная запись и член группы администраторов </strong> и> <strong> OK </strong>.</p></li></ol></li><li><p> Настройте права пользователя для запрета входа на удаленный рабочий стол (удаленный интерактивный) для административных локальных учетных записей следующим образом:</p><ol><li><p> Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows и локальные политики, а затем щелкните <strong> Назначение прав пользователя </strong>.</p></li><li><p> Дважды щелкните <strong> Запретить вход через службы удаленных рабочих столов </strong>.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>, введите <strong> Локальная учетная запись и член группы администраторов </strong> и> <strong> OK </strong>.</p></li></ol></li><li><p> Свяжите GPO с первыми рабочими станциями <strong> </strong> OU следующим образом:</p><ol><li><p> Перейдите к пути <<em> Forest </em>> \ Domains \ <<em> Domain </em>> \ OU.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/i2.wp.com/shparg.narod.ru/olderfiles/2/9_activate_windows_7.png' /><noscript><img src='/800/600/https/i2.wp.com/shparg.narod.ru/olderfiles/2/9_activate_windows_7.png' /></noscript></p></li><li><p> Щелкните правой кнопкой мыши <strong> Workstations </strong> OU и> <strong> Свяжите существующий GPO </strong>.</p></li><li><p> Выберите только что созданный объект групповой политики и> <strong> OK </strong>.</p></li></ol></li><li><p> Протестируйте функциональность корпоративных приложений на рабочих станциях в этом первом подразделении и устраните все проблемы, вызванные новой политикой.</p></li><li><p> Создайте ссылки на все другие подразделения, содержащие рабочие станции.</p></li><li><p> Создайте ссылки на все другие подразделения, содержащие серверы.</p><p> Примечание</p><p> Возможно, вам придется создать отдельный объект групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.</p></li></ol><h4><span class="ez-toc-section" id="i-36"> Создание уникальных паролей для локальных учетных записей с правами администратора </span></h4><p> Пароли должны быть уникальными для каждой отдельной учетной записи.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/windows10x.ru/wp-content/uploads/2015/12/kak-otkryt-panel-upravleniya-v-vindovs-10-7.jpg' /><noscript><img src='/800/600/https/windows10x.ru/wp-content/uploads/2015/12/kak-otkryt-panel-upravleniya-v-vindovs-10-7.jpg' /></noscript> Хотя это обычно верно для индивидуальных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. Это также происходит, когда одни и те же пароли используются для локальных учетных записей во время развертывания операционной системы.</p><p> Пароли, которые не меняются или меняются синхронно для сохранения идентичности, создают значительный риск для организаций.Рандомизация паролей снижает вероятность атак «pass-the-hash» за счет использования разных паролей для локальных учетных записей, что ограничивает способность злоумышленников использовать хеш-коды паролей этих учетных записей для компрометации других компьютеров.</p><p> Пароли могут быть рандомизированы по:</p><ul><li><p> Покупка и внедрение корпоративного инструмента для выполнения этой задачи. Эти инструменты обычно называют инструментами «привилегированного управления паролями».</p></li><li><p> Настройка пароля локального администратора (LAPS) для выполнения этой задачи.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/fileword.ru/wp-content/uploads/2019/05/kak-v-vindovs-10-udalit-programmu-108.jpg' /><noscript><img src='/800/600/https/fileword.ru/wp-content/uploads/2019/05/kak-v-vindovs-10-udalit-programmu-108.jpg' /></noscript></p></li><li><p> Создание и внедрение специального сценария или решения для рандомизации паролей локальных учетных записей.</p></li></ul><h3><span class="ez-toc-section" id="i-37"> См. Также </span></h3><p> Следующие ресурсы предоставляют дополнительную информацию о технологиях, связанных с локальными учетными записями.</p><h2><span class="ez-toc-section" id="_Windows_Windows_Server"> Настройка Windows для автоматизации входа в систему — Windows Server </span></h2><ul data-bi-name="page info" lang="en-us" dir="ltr"><li> Статья</li>.<li> <time data-article-date="" aria-label="Article review date" datetime="2021-11-19T09:00:00Z" data-article-date-source="git"> 19.11.2021 </time></li><li> 3 минуты на чтение</li><li></li></ul> Эта страница полезна?<h4><span class="ez-toc-section" id="i-38"> Оцените свой опыт </span></h4><p> да Нет</p><p> Любой дополнительный отзыв?</p><p> Отзыв будет отправлен в Microsoft: при нажатии кнопки «Отправить» ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.</p><p> Представлять на рассмотрение</p><p data-binary-rating-onsubmit-message="main-page-rating-container" tabindex="-1" hidden=""> Спасибо.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/electrotoki.ru/wp-content/uploads/2018/03/2018-03-26_19-25-41.png' /><noscript><img src='/800/600/https/electrotoki.ru/wp-content/uploads/2018/03/2018-03-26_19-25-41.png' /></noscript></p><h4><span class="ez-toc-section" id="i-39"> В этой статье </span></h4><p> В этой статье описывается, как настроить Windows для автоматизации процесса входа в систему путем сохранения пароля и другой соответствующей информации в базе данных реестра. Используя эту функцию, другие пользователи могут запустить ваш компьютер и использовать созданную вами учетную запись для автоматического входа в систему.</p><p> <em> Применимо к: </em> Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 <br/> <em> Исходный номер базы знаний: </em> 324737</p><p> Важно</p><p> Функция автоматического входа в систему предоставляется для удобства. Однако эта функция может представлять угрозу безопасности. Если вы настроили компьютер на автоматический вход, любой, кто может физически получить доступ к компьютеру, может получить доступ ко всему содержимому компьютера, включая любые сети, к которым он подключен. Кроме того, когда включен автоматический вход, пароль сохраняется в реестре в виде обычного текста.Конкретный раздел реестра, в котором хранится это значение, может быть удаленно прочитан группой прошедших проверку пользователей.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/avatars.mds.yandex.net/get-zen_doc/3769427/pub_5f356bc8eda52a77c867bc7b_5f356bcb4a7aa15f37640f5d/scale_1200' /><noscript><img src='/800/600/https/avatars.mds.yandex.net/get-zen_doc/3769427/pub_5f356bc8eda52a77c867bc7b_5f356bcb4a7aa15f37640f5d/scale_1200' /></noscript> Этот параметр рекомендуется только в тех случаях, когда компьютер физически защищен и были предприняты шаги, чтобы убедиться, что ненадежные пользователи не могут получить удаленный доступ к реестру.</p><h3><span class="ez-toc-section" id="i-40"> Используйте редактор реестра для включения автоматического входа в систему </span></h3><p> Важно</p><p> Этот раздел, метод или задача содержат шаги, которые говорят вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы.Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты сделайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. В разделе Резервное копирование и восстановление реестра в Windows.</p><p> Чтобы использовать редактор реестра для включения автоматического входа в систему, выполните следующие действия:</p><ol><li><p> Щелкните <strong> Start </strong>, а затем щелкните <strong> Run </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/winda10.com/wp-content/uploads/2018/04/zapusk-cherez-kontekstnoe-menyu.png' /><noscript><img src='/800/600/https/winda10.com/wp-content/uploads/2018/04/zapusk-cherez-kontekstnoe-menyu.png' /></noscript></p></li><li><p> В поле <strong> Open </strong> введите <em> Regedit.exe </em> и нажмите клавишу ВВОД.</p></li><li><p> Найдите в реестре подраздел <code> HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon </code>.</p></li><li><p> Дважды щелкните запись <strong> DefaultUserName </strong>, введите свое имя пользователя и нажмите <strong> OK </strong>.</p></li><li><p> Дважды щелкните запись <strong> DefaultPassword </strong>, введите свой пароль и нажмите <strong> OK </strong>.</p><p> Если значение <strong> DefaultPassword </strong> не существует, его необходимо добавить.Чтобы добавить значение, выполните следующие действия:</p><ol><li><p> В меню <strong> Edit </strong> щелкните <strong> New </strong>, а затем укажите на <strong> String Value </strong>.</p></li><li><p> Введите <em> DefaultPassword </em> и нажмите Enter.</p></li><li><p> Дважды щелкните <strong> DefaultPassword </strong>.</p></li><li><p> В диалоговом окне <strong> Edit String </strong> введите свой пароль и нажмите <strong> OK </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/viarum.ru/wp-content/uploads/nastroyka-ssd-4.jpg' /><noscript><img src='/800/600/https/viarum.ru/wp-content/uploads/nastroyka-ssd-4.jpg' /></noscript></p><p> Примечание</p><p> Если строка DefaultPassword не указана, Windows автоматически изменяет значение ключа <code> AutoAdminLogon </code> с 1 (истина) на 0 (ложь), отключая функцию AutoAdminLogon.</p></li></ol></li><li><p> В меню <strong> Edit </strong> щелкните <strong> New </strong>, а затем укажите на <strong> String Value </strong>.</p></li><li><p> Введите <em> AutoAdminLogon </em> и нажмите Enter.</p></li><li><p> Дважды щелкните <strong> AutoAdminLogon </strong>.</p></li><li><p> В диалоговом окне <strong> Edit String </strong> введите <strong> 1 </strong> и затем нажмите <strong> OK </strong>.</p></li><li><p> Если вы присоединили компьютер к домену, вы должны добавить значение <strong> DefaultDomainName </strong>, и данные для этого значения должны быть установлены как полное доменное имя (FQDN) домена, например <code> contoso.com. </code>.</p></li><li><p> Закройте редактор реестра.</p></li><li><p> Щелкните <strong> Start </strong>, щелкните <strong> Shutdown </strong>, а затем введите причину в текстовое поле <strong> Comment </strong>.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/it-tehnik.ru/wp-content/uploads/kak-udalit-papku-ot-imeni-administratora-v-windows-10_7.png' /><noscript><img src='/800/600/https/it-tehnik.ru/wp-content/uploads/kak-udalit-papku-ot-imeni-administratora-v-windows-10_7.png' /></noscript></p></li><li><p> Нажмите <strong> ОК </strong>, чтобы выключить компьютер.</p></li><li><p> Перезагрузите компьютер. Теперь вы можете войти в систему автоматически.</p></li></ol><p> Примечание</p><ul><li> Чтобы обойти процесс AutoAdminLogon и войти в систему как другой пользователь, нажмите и удерживайте клавишу Shift после выхода из системы или после перезапуска Windows.</li><li> Это изменение реестра не работает, если значение заголовка входа в систему определено на сервере либо объектом групповой политики (GPO), либо локальной политикой. Когда политика изменяется так, что она не влияет на компьютер, функция автоматического входа работает должным образом.</li><li> Когда действуют ограничения пароля Exchange Active Sync (EAS), функция автоматического входа не работает. Такое поведение является особенностью. Такое поведение вызвано изменением в Windows 8.1 и не влияет на Windows 8 или более ранние версии.Чтобы обойти это поведение в Windows 8.1 и более поздних версиях, удалите политики EAS в Панели управления.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2018/10/Vyibor-yazyika-i-raskladki-klaviaturyi-posle-podgotovki-utilitoy-SYSPREP-v-Windows-7.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2018/10/Vyibor-yazyika-i-raskladki-klaviaturyi-posle-podgotovki-utilitoy-SYSPREP-v-Windows-7.png' /></noscript></li><li> Интерактивная консоль входа в систему с другим пользователем на сервере изменяет запись реестра <strong> DefaultUserName </strong> как индикатор последнего вошедшего в систему пользователя. AutoAdminLogon использует запись <strong> DefaultUserName </strong> для сопоставления имени пользователя и пароля. Таким образом AutoAdminLogon может не работать. Вы можете настроить сценарий выключения для установки правильного <strong> DefaultUserName </strong>.</li><li> Вы можете использовать инструмент Sysinternals AutoLogon, чтобы упростить эту функцию. Этот инструмент также поможет вам использовать зашифрованную версию пароля.</li></ul><h2><span class="ez-toc-section" id="_Active_Directory_Windows_10_Windows"> учетных записей Active Directory (Windows 10) — безопасность Windows </span></h2><ul data-bi-name="page info" lang="en-us" dir="ltr"><li> Статья</li>.<li> <time data-article-date="" aria-label="Article review date" datetime="2021-12-03T18:40:00Z" data-article-date-source="git"> 03.12.2021 </time></li><li> 35 минут на чтение</li><li></li></ul> Эта страница полезна?<h4><span class="ez-toc-section" id="i-41"> Оцените свой опыт </span></h4><p> да Нет</p><p> Любой дополнительный отзыв?</p><p> Отзыв будет отправлен в Microsoft: при нажатии кнопки «Отправить» ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/www.softrew.ru/wp-content/cache/thumb/7e/da9cc1c3cfefa7e_810x260.jpg' /><noscript><img src='/800/600/https/www.softrew.ru/wp-content/cache/thumb/7e/da9cc1c3cfefa7e_810x260.jpg' /></noscript> Политика конфиденциальности.</p><p> Представлять на рассмотрение</p><p data-binary-rating-onsubmit-message="main-page-rating-container" tabindex="-1" hidden=""> Спасибо.</p><h4><span class="ez-toc-section" id="i-42"> В этой статье </span></h4><p> <strong> Относится к </strong></p> Операционные системы<p> Windows Server устанавливаются с локальными учетными записями по умолчанию. Кроме того, вы можете создавать учетные записи пользователей в соответствии с требованиями вашей организации. В этом справочном разделе для ИТ-специалистов описаны локальные учетные записи Windows Server по умолчанию, которые хранятся локально на контроллере домена и используются в Active Directory.</p><p> В этом справочном разделе не описываются учетные записи локальных пользователей по умолчанию для рядового или автономного сервера или для клиента Windows. Для получения дополнительной информации см. Локальные учетные записи.</p><h3><span class="ez-toc-section" id="i-43"> Об этой теме </span></h3><p> В этом разделе описывается следующее:</p><h3><span class="ez-toc-section" id="_Active_Directory"> Локальные учетные записи по умолчанию в Active Directory </span></h3><p> Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера домена Windows Server и создании домена.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/pkpo.ru/upload/000/u1/1/f/opera-snimok-2021-05-18-115811.png' /><noscript><img src='/800/600/https/pkpo.ru/upload/000/u1/1/f/opera-snimok-2021-05-18-115811.png' /></noscript> Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory.Эти учетные записи также имеют доступ ко всему домену и полностью отделены от учетных записей локальных пользователей по умолчанию для рядового или автономного сервера.</p><p> Вы можете назначать права и разрешения для локальных учетных записей по умолчанию на определенном контроллере домена и только на этом контроллере домена. Эти учетные записи являются локальными для домена. После установки локальных учетных записей по умолчанию они сохраняются в контейнере «Пользователи» в Active Directory «Пользователи и компьютеры». Рекомендуется сохранить локальные учетные записи по умолчанию в контейнере User и не пытаться переместить эти учетные записи, например, в другое организационное подразделение (OU).</p><p> К локальным учетным записям по умолчанию в контейнере «Пользователи» относятся: «Администратор», «Гость» и KRBTGT. Учетная запись HelpAssistant устанавливается при установке сеанса удаленного помощника. В следующих разделах описываются локальные учетные записи по умолчанию и их использование в Active Directory.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2019/02/Zapusk-sredstva-obnovleniya-sistemy-ot-imeni-administratora-v-Windows-10.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2019/02/Zapusk-sredstva-obnovleniya-sistemy-ot-imeni-administratora-v-Windows-10.png' /></noscript></p><p> В основном локальные учетные записи по умолчанию выполняют следующие функции:</p><ul><li><p> Пусть домен представляет, идентифицирует и аутентифицирует личность пользователя, назначенного учетной записи, с использованием уникальных учетных данных (имя пользователя и пароль).Рекомендуется назначить каждому пользователю одну учетную запись для обеспечения максимальной безопасности. Несколько пользователей не могут использовать одну учетную запись. Учетная запись пользователя позволяет пользователю входить в компьютеры, сети и домены с уникальным идентификатором, который может быть аутентифицирован компьютером, сетью или доменом.</p></li><li><p> Разрешить (предоставить или запретить) доступ к ресурсам. После аутентификации учетных данных пользователя ему разрешается доступ к ресурсам сети и домена на основе явно назначенных ему прав на ресурс.</p></li><li><p> Аудит действий, выполняемых над учетной записью пользователя.</p></li></ul><p> В Active Directory локальные учетные записи по умолчанию используются администраторами для управления доменом и рядовыми серверами напрямую и с выделенных административных рабочих станций.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/siteprokompy.ru/wp-content/uploads/2019/01/kak-otkryt-komandnuyu-stroku-s-pravami-administratora-v-vindovs-1015.png' /><noscript><img src='/800/600/https/siteprokompy.ru/wp-content/uploads/2019/01/kak-otkryt-komandnuyu-stroku-s-pravami-administratora-v-vindovs-1015.png' /></noscript> Учетные записи Active Directory обеспечивают доступ к сетевым ресурсам. Учетные записи пользователей Active Directory и учетные записи компьютеров могут представлять физический объект, например компьютер или человека, или выступать в качестве специальных учетных записей служб для некоторых приложений.</p><p> Каждая локальная учетная запись по умолчанию автоматически назначается группе безопасности, которая предварительно настроена с соответствующими правами и разрешениями для выполнения определенных задач. Группы безопасности Active Directory собирают учетные записи пользователей, компьютеров и других групп в управляемые единицы. Дополнительные сведения см. В разделе Группы безопасности Active Directory.</p><p> На контроллере домена Active Directory каждая локальная учетная запись по умолчанию называется участником безопасности. Участник безопасности — это объект каталога, который используется для защиты и управления службами Active Directory, которые предоставляют доступ к ресурсам контроллера домена.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/sovetclub.ru/tim/648472a6bb90fa9cdf4186d370f813d5.png' /><noscript><img src='/800/600/https/sovetclub.ru/tim/648472a6bb90fa9cdf4186d370f813d5.png' /></noscript> Субъект безопасности включает в себя такие объекты, как учетные записи пользователей, учетные записи компьютеров, группы безопасности или потоки или процессы, которые выполняются в контексте безопасности учетной записи пользователя или компьютера. Для получения дополнительной информации см. Принципы безопасности.</p><p> Участник безопасности представлен уникальным идентификатором безопасности (SID). Идентификаторы безопасности, связанные с каждой из локальных учетных записей по умолчанию в Active Directory, описаны в разделах ниже.</p><p> Некоторые локальные учетные записи по умолчанию защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности.Дескриптор безопасности — это структура данных, которая содержит информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная неавторизованная попытка изменить дескриптор безопасности в одной из локальных учетных записей или групп по умолчанию будет перезаписана защищенными настройками.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2019/01/Otkryit-komandnuyu-stroku-dlya-proverki-sostoyaniya-protokola-SMBv1-v-Windows-10.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2019/01/Otkryit-komandnuyu-stroku-dlya-proverki-sostoyaniya-protokola-SMBv1-v-Windows-10.png' /></noscript></p><p> Этот дескриптор безопасности присутствует в объекте AdminSDHolder. Если вы хотите изменить разрешения для одной из групп администраторов службы или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder, чтобы гарантировать, что он применяется согласованно.Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые применяются ко всем вашим защищенным учетным записям.</p><h3><span class="ez-toc-section" id="i-44"> Учетная запись администратора </span></h3><p> Учетная запись администратора — это учетная запись по умолчанию, которая используется во всех версиях операционной системы Windows на каждом компьютере и устройстве. Учетная запись администратора используется системным администратором для задач, требующих учетных данных администратора. Эту учетную запись нельзя удалить или заблокировать, но ее можно переименовать или отключить.</p><p> Учетная запись администратора предоставляет пользователю полный доступ (разрешения «Полный доступ») к файлам, каталогам, службам и другим ресурсам, находящимся на этом локальном сервере.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/poradumo.pp.ua/uploads/posts/2014-07/yak-uvyti-v-sistemu-z-pravami-admnstratora_2.jpeg' /><noscript><img src='/800/600/https/poradumo.pp.ua/uploads/posts/2014-07/yak-uvyti-v-sistemu-z-pravami-admnstratora_2.jpeg' /></noscript> Учетную запись администратора можно использовать для создания локальных пользователей, а также для назначения прав пользователей и разрешений на управление доступом. Администратор также может быть использован для управления локальными ресурсами в любое время, просто изменив права и разрешения пользователя. Хотя файлы и каталоги могут быть временно защищены с помощью учетной записи администратора, учетная запись администратора может в любой момент получить контроль над этими ресурсами, изменив права доступа.</p><p> <strong> Членство в группе счетов </strong></p><p> Учетная запись администратора входит в группы безопасности по умолчанию, как описано в таблице атрибутов учетной записи администратора далее в этом разделе.</p><p> Группы безопасности гарантируют, что вы можете контролировать права администратора без необходимости изменять каждую учетную запись администратора. В большинстве случаев вам не нужно изменять базовые настройки для этой учетной записи. Однако вам, возможно, придется изменить его расширенные настройки, такие как членство в определенных группах.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2018/05/Zapusk-komandnoy-stroki-ot-imeni-administratora-cherez-menyu-Pusk-v-Windows-7.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2018/05/Zapusk-komandnoy-stroki-ot-imeni-administratora-cherez-menyu-Pusk-v-Windows-7.png' /></noscript></p><p> <strong> Соображения безопасности </strong></p><p> После установки серверной операционной системы ваша первая задача — безопасно настроить свойства учетной записи администратора. Сюда входит установка особенно длинного и надежного пароля, а также защита настроек профиля удаленного управления и служб удаленных рабочих столов.</p><p> Учетную запись администратора также можно отключить, когда она не требуется. Переименование или отключение учетной записи администратора затрудняет попытки злоумышленников получить доступ к учетной записи.Однако даже если учетная запись администратора отключена, ее все равно можно использовать для получения доступа к контроллеру домена в безопасном режиме.</p><p> На контроллере домена учетная запись администратора становится учетной записью администратора домена. Учетная запись администратора домена используется для входа в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись администратора домена дает вам доступ к ресурсам домена.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2017/07/Perehod-vo-vse-programmyi-s-pomoshhyu-menyu-Pusk-v-Windows-7-1.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2017/07/Perehod-vo-vse-programmyi-s-pomoshhyu-menyu-Pusk-v-Windows-7-1.png' /></noscript></p><p> Примечание</p><p> При первоначальной установке контроллера домена вы можете войти в систему и использовать диспетчер сервера для настройки учетной записи локального администратора с правами и разрешениями, которые вы хотите назначить.Например, вы можете использовать учетную запись локального администратора для управления операционной системой при ее первой установке. Используя этот подход, вы можете настроить операционную систему без блокировки. Как правило, вам не нужно использовать учетную запись после установки. Вы можете создавать локальные учетные записи пользователей на контроллере домена только до установки доменных служб Active Directory, но не после этого.</p><p> Когда Active Directory устанавливается на первом контроллере домена в домене, для Active Directory создается учетная запись администратора.Учетная запись администратора — самая мощная учетная запись в домене. Ему предоставляется доступ на уровне домена и административные права для администрирования компьютера и домена, а также самые широкие права и разрешения в домене.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/steamuserimages-a.akamaihd.net/ugc/87095428623518611/D952BAC748B353BA9BB8627EB871575958CF466F/' /><noscript><img src='/800/600/https/steamuserimages-a.akamaihd.net/ugc/87095428623518611/D952BAC748B353BA9BB8627EB871575958CF466F/' /></noscript> Человек, устанавливающий доменные службы Active Directory на компьютер, создает пароль для этой учетной записи во время установки.</p><p> <strong> Атрибуты учетной записи администратора </strong></p><table><thead><tr><th> Атрибут</th><th> Значение</th></tr></thead><tbody><tr><td> Известный SID / RID</td><td> S-1-5- <code> <домен> </code>-500</td></tr><tr><td> Тип</td><td> Пользователь</td></tr><tr><td> Контейнер по умолчанию</td><td> CN = Пользователи, DC = <code> <домен> </code>, DC =</td></tr><tr><td> Члены по умолчанию</td><td> НЕТ</td></tr><tr><td> Стандартный член</td><td> Администраторы, администраторы домена, администраторы предприятия, пользователи домена.Обратите внимание, что идентификатор основной группы для всех учетных записей пользователей — это пользователи домена.<p> Владельцы-создатели групповой политики и администраторы схемы в Active Directory</p><p> Группа пользователей домена</p></td></tr><tr><td> Защищено ADMINSDHOLDER?</td><td> Есть</td></tr><tr><td> Можно ли выйти из контейнера по умолчанию?</td><td> Есть</td></tr><tr><td> Можно ли делегировать управление этой группой администраторам, не связанным с обслуживанием?</td><td> Нет</td></tr></tbody></table><h3><span class="ez-toc-section" id="i-45"> Гостевой аккаунт </span></h3><p> Учетная запись гостя — это локальная учетная запись по умолчанию, которая имеет ограниченный доступ к компьютеру и по умолчанию отключена.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2020/06/vvod-nazvaniya-dlya-parametra-pri-nastrojke-zapuska-programmy-ot-imeni-administratora.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2020/06/vvod-nazvaniya-dlya-parametra-pri-nastrojke-zapuska-programmy-ot-imeni-administratora.png' /></noscript> По умолчанию пароль гостевой учетной записи остается пустым. Пустой пароль позволяет получить доступ к гостевой учетной записи, не требуя от пользователя ввода пароля.</p><p> Учетная запись гостя позволяет случайным или разовым пользователям, у которых нет отдельной учетной записи на компьютере, входить на локальный сервер или домен с ограниченными правами и разрешениями. Учетная запись гостя может быть включена, а пароль может быть установлен при необходимости, но только членом группы администраторов в домене.</p><p> <strong> Членство в группе счетов </strong></p><p> Учетная запись гостя имеет членство в группах безопасности по умолчанию, которые описаны в следующей таблице атрибутов учетной записи гостя. По умолчанию учетная запись гостя является единственным членом группы «Гости» по умолчанию, которая позволяет пользователю входить на сервер, и глобальной группы «Гости домена», которая позволяет пользователю входить в домен.</p><p> Член группы администраторов или группы администраторов домена может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2017/06/Pusk-cmd-zapusk-ot-imeni-administratora.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2017/06/Pusk-cmd-zapusk-ot-imeni-administratora.png' /></noscript></p><p> <strong> Соображения безопасности </strong></p><p> Поскольку учетная запись гостя может предоставлять анонимный доступ, это представляет угрозу безопасности. У него также есть известный SID. По этой причине рекомендуется оставить гостевую учетную запись отключенной, если ее использование не требуется, и только с ограниченными правами и разрешениями в течение очень ограниченного периода времени.</p><p> Если требуется гостевая учетная запись, администратор на контроллере домена должен включить гостевую учетную запись. Учетную запись гостя можно включить без запроса пароля или с помощью надежного пароля.Администратор также предоставляет ограниченные права и разрешения для гостевой учетной записи. Для предотвращения несанкционированного доступа:</p><ul><li><p> Не предоставлять учетной записи «Гость» право «Завершить работу системы». Когда компьютер выключается или запускается, возможно, что пользователь-гость или кто-либо с локальным доступом, например злоумышленник, может получить несанкционированный доступ к компьютеру.<img class="lazy lazy-hidden" src="//expertnov.ru/wp-content/plugins/a3-lazy-load/assets/images/lazy_placeholder.gif" data-lazy-type="image" data-src='/800/600/https/lumpics.ru/wp-content/uploads/2017/12/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-kontekstnoe-menyu-s-pomoshhyu-menyu-Pusk-v-Windows-7.png' /><noscript><img src='/800/600/https/lumpics.ru/wp-content/uploads/2017/12/Zapusk-Komandnoy-stroki-ot-imeni-administratora-cherez-kontekstnoe-menyu-s-pomoshhyu-menyu-Pusk-v-Windows-7.png' /></noscript></p></li><li><p> Не предоставляйте гостевой учетной записи возможность просматривать журналы событий.После включения гостевой учетной записи рекомендуется часто контролировать эту учетную запись, чтобы гарантировать, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.</p></li><li><p> Не используйте гостевую учетную запись, если у сервера есть доступ к внешней сети или доступ к другим компьютерам.</p></li></ul><p> Если вы решили включить гостевую учетную запись, обязательно ограничьте ее использование и регулярно меняйте пароль.Как и в случае с учетной записью администратора, вы можете захотеть переименовать учетную запись в качестве дополнительной меры безопасности.</p><p> Кроме того, администратор отвечает за управление гостевой учетной записью. Администратор следит за гостевой учетной записью, отключает гостевую учетную запись, когда она больше не используется, и при необходимости изменяет или удаляет пароль.</p><p> Подробнее об атрибутах гостевой учетной записи см. В следующей таблице.</p><p> <strong> Атрибуты гостевой учетной записи </strong></p><table><thead><tr><th> Атрибут</th><th> Значение</th></tr></thead><tbody><tr><td> Известный SID / RID</td><td> S-1-5- <code> <домен> </code>-501</td></tr><tr><td> Тип</td><td> Пользователь</td></tr><tr><td> Контейнер по умолчанию</td><td> CN = Пользователи, DC = <code> <домен> </code>, DC =</td></tr><tr><td> Члены по умолчанию</td><td> Нет</td></tr><tr><td> Стандартный член</td><td> Гости, Домен Гости</td></tr><tr><td> Защищено ADMINSDHOLDER?</td><td> Нет</td></tr><tr><td> Можно ли выйти из контейнера по умолчанию?</td><td> Можно сдвинуть, но мы не рекомендуем это делать.</td></tr><tr><td> Можно ли делегировать управление этой группой администраторам, не являющимся администраторами служб?</td><td> Нет</td></tr></tbody></table><h3><span class="ez-toc-section" id="_HelpAssistant-2"> Учетная запись HelpAssistant (устанавливается с сеансом удаленного помощника) </span></h3><p> Учетная запись HelpAssistant — это локальная учетная запись по умолчанию, которая активируется при запуске сеанса удаленного помощника. Эта учетная запись автоматически отключается, если нет ожидающих запросов удаленного помощника.</p><p> HelpAssistant — это основная учетная запись, которая используется для установления сеанса удаленного помощника.Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется по приглашению. Для получения удаленной помощи пользователь отправляет со своего компьютера приглашение по электронной почте или в виде файла лицу, которое может оказать помощь. После того, как приглашение пользователя на сеанс удаленного помощника принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить лицу, оказывающему помощь, ограниченный доступ к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.</p><p> <strong> Соображения безопасности </strong></p><p> Идентификаторы безопасности, относящиеся к учетной записи HelpAssistant по умолчанию, включают:</p><ul><li><p> SID: S-1-5- <code> <домен> </code> -13, отображаемое имя Пользователь терминального сервера. В эту группу входят все пользователи, которые входят на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.</p></li><li><p> SID: S-1-5-<code> <домен> </code>-14, отображаемое имя Удаленный интерактивный вход в систему.В эту группу входят все пользователи, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности для удаленного интерактивного входа, также содержат идентификатор безопасности для интерактивного входа.</p></li></ul><p> Для операционной системы Windows Server удаленный помощник является дополнительным компонентом, который не устанавливается по умолчанию. Перед использованием удаленного помощника необходимо установить его.</p><p> Подробнее об атрибутах учетной записи HelpAssistant см. В следующей таблице.</p><p> <strong> Атрибуты учетной записи HelpAssistant </strong></p><table><thead><tr><th> Атрибут</th><th> Значение</th></tr></thead><tbody><tr><td> Известный SID / RID</td><td> S-1-5- <code> <домен> </code> -13 (пользователь терминального сервера), S-1-5- <code> <домен> </code> -14 (удаленный интерактивный вход в систему)</td></tr><tr><td> Тип</td><td> Пользователь</td></tr><tr><td> Контейнер по умолчанию</td><td> CN = Пользователи, DC = <code> <домен> </code>, DC =</td></tr><tr><td> Члены по умолчанию</td><td> Нет</td></tr><tr><td> Стандартный член</td><td> Домен Гости<p> Гости</p></td></tr><tr><td> Защищено ADMINSDHOLDER?</td><td> Нет</td></tr><tr><td> Можно ли выйти из контейнера по умолчанию?</td><td> Можно сдвинуть, но мы не рекомендуем это делать.</td></tr><tr><td> Можно ли делегировать управление этой группой администраторам, не являющимся администраторами служб?</td><td> Нет</td></tr></tbody></table><h3><span class="ez-toc-section" id="KRBTGT"> KRBTGT счет </span></h3><p> Учетная запись KRBTGT — это локальная учетная запись по умолчанию, которая действует как учетная запись службы для службы центра распространения ключей (KDC). Эта учетная запись не может быть удалена, и имя учетной записи не может быть изменено. Учетную запись KRBTGT нельзя включить в Active Directory.</p><p> KRBTGT также является именем участника безопасности, используемым KDC для домена Windows Server, как указано в RFC 4120.Учетная запись KRBTGT является объектом для участника безопасности KRBTGT и создается автоматически при создании нового домена.</p><p> Проверка подлинности Windows Server Kerberos достигается за счет использования специального билета выдачи билетов Kerberos (TGT), зашифрованного симметричным ключом. Этот ключ является производным от пароля сервера или службы, к которой запрашивается доступ. Пароль TGT учетной записи KRBTGT известен только службе Kerberos. Чтобы запросить билет сеанса, TGT должен быть представлен в KDC.TGT выдается клиенту Kerberos из KDC.</p><h4><span class="ez-toc-section" id="_KRBTGT"> Рекомендации по обслуживанию учетной записи KRBTGT </span></h4><p> Надежный пароль назначается KRBTGT и доверяет учетным записям автоматически. Как и любые привилегированные учетные записи служб, организации должны регулярно менять эти пароли. Пароль для учетной записи KDC используется для получения секретного ключа для шифрования и дешифрования отправляемых запросов TGT. Пароль для доверительной учетной записи домена используется для получения межсферного ключа для шифрования реферальных билетов.</p><p> Для сброса пароля необходимо, чтобы вы либо были членом группы администраторов домена, либо были делегированы с соответствующими полномочиями. Кроме того, вы должны быть членом локальной группы администраторов или вам должны быть делегированы соответствующие полномочия.</p><p> После сброса пароля KRBTGT убедитесь, что идентификатор события 9 в источнике событий (Kerberos) Key-Distribution-Center записан в системный журнал событий.</p><h4><span class="ez-toc-section" id="i-46"> Соображения безопасности </span></h4><p> Также рекомендуется сбросить пароль учетной записи KRBTGT, чтобы гарантировать, что вновь восстановленный контроллер домена не будет реплицироваться со скомпрометированным контроллером домена.В этом случае при восстановлении большого леса, распределенного по нескольким расположениям, вы не можете гарантировать, что все контроллеры домена выключены, и если они выключены, их нельзя будет перезагрузить снова, пока не будут выполнены все соответствующие шаги восстановления. После сброса учетной записи KRBTGT другой контроллер домена не может реплицировать этот пароль учетной записи, используя старый пароль.</p><p> Организация, подозревающая взлом домена учетной записи KRBTGT, должна рассмотреть возможность использования профессиональных служб реагирования на инциденты.Восстановление права собственности на учетную запись влияет на весь домен, требует трудозатрат и должно выполняться в рамках более масштабных мероприятий по восстановлению.</p><p> Пароль KRBTGT — это ключ, от которого цепляется все доверие в Kerberos. Сброс пароля KRBTGT аналогичен обновлению сертификата корневого ЦС с новым ключом и немедленным отказом от доверия старому ключу, в результате чего будут затронуты почти все последующие операции Kerberos.</p><p> Для всех типов учетных записей (пользователей, компьютеров и служб)</p><ul><li><p> Все TGT, которые уже выпущены и распространены, будут недействительными, потому что контроллеры домена отклонят их.Эти билеты зашифрованы с помощью KRBTGT, поэтому любой DC может их проверить. При смене пароля билеты становятся недействительными.</p></li><li><p> Все сеансы, прошедшие проверку подлинности в настоящее время, которые вошли в систему пользователи установили (на основе их билетов службы) к ресурсу (например, общему файловому ресурсу, сайту SharePoint или серверу Exchange), действительны до тех пор, пока билет службы не потребуется для повторной проверки подлинности.</p></li><li><p> NTLM-аутентифицированные соединения не затрагиваются</p></li></ul><p> Поскольку невозможно предсказать конкретные ошибки, которые возникнут для любого данного пользователя в производственной операционной среде, вы должны предположить, что это затронет все компьютеры и всех пользователей.</p><p> Важно</p><p> Перезагрузка компьютера — единственный надежный способ восстановить работоспособность, так как при этом учетная запись компьютера и учетные записи пользователей снова войдут в систему. При повторном входе в систему будут запрашиваться новые TGT, действительные с новым KRBTGT, что устраняет любые связанные с KRBTGT операционные проблемы на этом компьютере.</p><p> Для получения информации о том, как помочь снизить риски, связанные с потенциально взломанной учетной записью KRBTGT, см. Сценарии сброса пароля учетной записи KRBTGT, которые теперь доступны для клиентов.</p><h4><span class="ez-toc-section" id="_KRBTGT-2"> Контроллеры домена только для чтения и учетная запись KRBTGT </span></h4><p> Windows Server 2008 представила контроллер домена только для чтения (RODC). RODC рекламируется как Центр распределения ключей (KDC) для филиала. Контроллер домена только для чтения использует учетную запись и пароль KRBTGT, отличные от KDC, на доступном для записи контроллере домена, когда он подписывает или шифрует запросы на выдачу билетов (TGT). После успешной аутентификации учетной записи RODC определяет, могут ли учетные данные пользователя или учетные данные компьютера быть реплицированы с доступного для записи контроллера домена на RODC с помощью политики репликации паролей.</p><p> После того, как учетные данные кэшируются на RODC, RODC может принимать запросы на вход этого пользователя до тех пор, пока учетные данные не изменятся. Когда TGT подписывается с помощью учетной записи KRBTGT контроллера домена только для чтения, RODC распознает, что у него есть кэшированная копия учетных данных. Если другой контроллер домена подписывает TGT, RODC перенаправляет запросы на доступный для записи контроллер домена.</p><h4><span class="ez-toc-section" id="_KRBTGT-3"> Атрибуты счета KRBTGT </span></h4><p> Подробнее об атрибутах учетной записи KRBTGT см. В следующей таблице.</p><table><thead><tr><th> Атрибут</th><th> Значение</th></tr></thead><tbody><tr><td> Известный SID / RID</td><td> S-1-5- <code> <домен> </code>-502</td></tr><tr><td> Тип</td><td> Пользователь</td></tr><tr><td> Контейнер по умолчанию</td><td> CN = Пользователи, DC = <code> <домен> </code>, DC =</td></tr><tr><td> Члены по умолчанию</td><td> Нет</td></tr><tr><td> Стандартный член</td><td> Группа пользователей домена.Обратите внимание, что идентификатор основной группы для всех учетных записей пользователей — это пользователи домена.</td></tr><tr><td> Защищено ADMINSDHOLDER?</td><td> Есть</td></tr><tr><td> Можно ли выйти из контейнера по умолчанию?</td><td> Можно сдвинуть, но мы не рекомендуем это делать.</td></tr><tr><td> Можно ли делегировать управление этой группой администраторам, не являющимся администраторами служб?</td><td> Нет</td></tr></tbody></table><h3><span class="ez-toc-section" id="_Active_Directory-2"> Настройки для локальных учетных записей по умолчанию в Active Directory </span></h3><p> Каждая локальная учетная запись по умолчанию в Active Directory имеет ряд параметров учетной записи, которые можно использовать для настройки параметров пароля и информации, относящейся к безопасности, как описано в следующей таблице.</p><p> <strong> Настройки для локальных учетных записей по умолчанию в Active Directory </strong></p><table><thead><tr><th> Настройки аккаунта</th><th> Описание</th></tr></thead><tbody><tr><td> Пользователь должен сменить пароль при следующем входе в систему</td><td> Принудительно изменяет пароль при следующем входе пользователя в сеть. Используйте эту опцию, если хотите убедиться, что только пользователь знает свой пароль.</td></tr><tr><td> Пользователь не может изменить пароль</td><td> Запрещает пользователю изменять пароль.Используйте эту опцию, если вы хотите сохранить контроль над учетной записью пользователя, например для гостевой или временной учетной записи.</td></tr><tr><td> Срок действия пароля не истекает</td><td> Предотвращает истечение срока действия пароля пользователя. Рекомендуется включать эту опцию для учетных записей служб и использовать надежные пароли.</td></tr><tr><td> Хранить пароли с использованием обратимого шифрования</td><td> Обеспечивает поддержку приложений, использующих протоколы, требующие знания текстовой формы пароля пользователя для целей аутентификации.<p> Этот параметр требуется при использовании протокола проверки подлинности с подтверждением связи (CHAP) в службах проверки подлинности в Интернете (IAS) и при использовании дайджест-проверки подлинности в службах IIS.</p></td></tr><tr><td> Аккаунт отключен</td><td> Запрещает пользователю войти в систему с выбранной учетной записью. Как администратор, вы можете использовать отключенные учетные записи в качестве шаблонов для общих учетных записей пользователей.</td></tr><tr><td> Смарт-карта требуется для интерактивного входа в систему</td><td> Требует, чтобы у пользователя была смарт-карта для интерактивного входа в сеть.У пользователя также должно быть устройство для чтения смарт-карт, подключенное к его компьютеру, и действительный личный идентификационный номер (PIN) для смарт-карты.<p> Если этот атрибут применяется к учетной записи, результат будет следующим:</p><li> Атрибут ограничивает только начальную аутентификацию для интерактивного входа в систему и входа в систему удаленного рабочего стола. Когда для интерактивного входа или входа в систему с удаленным рабочим столом требуется последующий вход в сеть, например, с учетными данными домена, NT Hash, предоставленный контроллером домена, используется для завершения процесса проверки подлинности смарт-карты.</li><li> Каждый раз, когда атрибут активируется в учетной записи, текущая учетная запись хеш-значение пароля заменяется 128-битным случайным числом.Это делает недействительным использование любых ранее настроенных паролей для учетной записи. После этого значение не изменится, если не будет установлен новый пароль или атрибут не будет отключен и снова включен.</li><li> Учетные записи с этим атрибутом нельзя использовать для запуска служб или выполнения запланированных задач.</li></td></tr><tr><td> Учетная запись доверена для делегирования</td><td> Позволяет службе, работающей под этой учетной записью, выполнять операции от имени других учетных записей пользователей в сети. Служба, работающая под учетной записью пользователя (также известной как учетная запись службы), которой доверяют для делегирования, может олицетворять клиента для получения доступа к ресурсам либо на компьютере, на котором запущена служба, либо на других компьютерах.Например, в лесу, в котором установлен функциональный уровень Windows Server 2003, этот параметр находится на вкладке «Делегирование». Он доступен только для учетных записей, которым были назначены имена участников-служб (SPN), которые задаются с помощью команды setspn из средств поддержки Windows. Этот параметр важен для безопасности, и его следует назначать с осторожностью.</td></tr><tr><td> Учетная запись является конфиденциальной и не может быть делегирована</td><td> Предоставляет контроль над учетной записью пользователя, например гостевой учетной записью или временной учетной записью.Эту опцию можно использовать, если эта учетная запись не может быть назначена для делегирования другой учетной записью.</td></tr><tr><td> Использовать типы шифрования DES для этой учетной записи</td><td> Обеспечивает поддержку стандарта шифрования данных (DES). DES поддерживает несколько уровней шифрования, включая стандарт Microsoft Point-to-Point Encryption (MPPE) (40-бит и 56-бит), стандарт MPPE (56-бит), MPPE Strong (128-бит), безопасность интернет-протокола (IPSec ) DES (40-битный), IPSec 56-битный DES и IPSec Triple DES (3DES).<strong> Примечание. DES-</strong> не включен по умолчанию в операционных системах Windows Server, начиная с Windows Server 2008 R2, а также в клиентских операционных системах Windows, начиная с Windows 7. Для этих операционных систем компьютеры не будут использовать DES-CBC-MD5 или DES- Наборы шифров CBC-CRC по умолчанию. Если для вашей среды требуется DES, этот параметр может повлиять на совместимость с клиентскими компьютерами или службами и приложениями в вашей среде. Дополнительные сведения см. В разделе «Поиск DES для безопасного развертывания Kerberos</td>».</tr><tr><td> Не требует предварительной аутентификации Kerberos</td><td> Обеспечивает поддержку альтернативных реализаций протокола Kerberos.Поскольку предварительная проверка подлинности обеспечивает дополнительную безопасность, будьте осторожны при включении этого параметра. Обратите внимание, что контроллеры домена под управлением Windows 2000 или Windows Server 2003 могут использовать другие механизмы для синхронизации времени.</td></tr></tbody></table><h3><span class="ez-toc-section" id="_Active_Directory-3"> Управление локальными учетными записями по умолчанию в Active Directory </span></h3><p> После установки локальных учетных записей по умолчанию эти учетные записи находятся в контейнере «Пользователи» в Active Directory «Пользователи и компьютеры». Локальные учетные записи по умолчанию можно создавать, отключать, сбрасывать и удалять с помощью консоли управления Microsoft (MMC) «Пользователи и компьютеры Active Directory» и инструментов командной строки.</p><p> Вы можете использовать «Active Directory — пользователи и компьютеры» для назначения прав и разрешений определенному локальному контроллеру домена и только этому контроллеру домена, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на компьютере, такие как резервное копирование файлов и папок или выключение компьютера. Напротив, разрешение на доступ — это правило, связанное с объектом, обычно файлом, папкой или принтером, которое регулирует, какие пользователи могут иметь доступ к объекту и каким образом.</p><p> Дополнительные сведения о создании и управлении учетными записями локальных пользователей в Active Directory см. В разделе «Управление локальными пользователями».</p><p> Вы также можете использовать Active Directory — пользователи и компьютеры на контроллере домена для нацеливания на удаленные компьютеры, которые не являются контроллерами домена в сети.</p><p> Вы можете получить рекомендации от Microsoft по конфигурациям контроллера домена, которые можно распространять с помощью инструмента Security Compliance Manager (SCM). Дополнительные сведения см. В разделе Microsoft Security Compliance Manager.</p><p> Некоторые из локальных учетных записей пользователей по умолчанию защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности, который представляет собой структуру данных, содержащую информацию безопасности, связанную с защищенным объектом. Этот дескриптор безопасности присутствует в объекте AdminSDHolder.</p><p> Это означает, что если вы хотите изменить разрешения для группы администраторов службы или для любой из ее учетных записей, вам также необходимо изменить дескриптор безопасности в объекте AdminSDHolder.Такой подход гарантирует, что разрешения применяются последовательно. Будьте осторожны при внесении этих изменений, потому что это действие также может повлиять на настройки по умолчанию, которые применяются ко всем вашим защищенным административным учетным записям.</p><h3><span class="ez-toc-section" id="i-47"> Ограничение и защита конфиденциальных учетных записей домена </span></h3><p> Ограничение и защита учетных записей домена в среде домена требует от вас принятия и реализации следующего подхода передовой практики:</p><ul><li><p> Строго ограничьте членство в группах администраторов, администраторов домена и администраторов предприятия.</p></li><li><p> Строго контролируйте, где и как используются учетные записи домена.</p></li></ul><p> Учетные записи участников групп «Администраторы», «Администраторы домена» и «Администраторы предприятия» в домене или лесу являются важными целями для злоумышленников. Рекомендуется строго ограничивать членство в этих группах администраторов минимальным количеством учетных записей, чтобы ограничить любое воздействие. Ограничение членства в этих группах снижает вероятность того, что администратор может непреднамеренно злоупотребить этими учетными данными и создать уязвимость, которую могут использовать злоумышленники.</p><p> Более того, рекомендуется строго контролировать, где и как используются конфиденциальные учетные записи домена. Ограничьте использование учетных записей администраторов домена и других учетных записей администраторов, чтобы предотвратить их использование для входа в системы управления и рабочие станции, которые защищены на том же уровне, что и управляемые системы. Если учетные записи администратора не ограничены таким образом, каждая рабочая станция, с которой администратор домена входит в систему, предоставляет другое местоположение, которое могут использовать злоумышленники.</p><p> Реализация этих передовых практик разделена на следующие задачи:</p><p> Обратите внимание, что для случаев, когда ожидаются проблемы интеграции со средой домена, каждая задача описывается в соответствии с требованиями для минимальной, лучшей и идеальной реализации. Как и в случае со всеми существенными изменениями в производственной среде, убедитесь, что вы тщательно протестировали эти изменения, прежде чем внедрять и развертывать их. Затем выполните развертывание таким образом, чтобы можно было отменить изменение в случае возникновения технических проблем.</p><h4><span class="ez-toc-section" id="i-48"> Отдельные учетные записи администратора и учетные записи пользователей </span></h4><p> Ограничьте учетные записи администраторов домена и другие конфиденциальные учетные записи, чтобы предотвратить их использование для входа на серверы и рабочие станции с пониженным доверием. Ограничьте и защитите учетные записи администраторов, отделив учетные записи администраторов от стандартных учетных записей пользователей, отделив административные обязанности от других задач и ограничив использование этих учетных записей. Создайте выделенные учетные записи для административного персонала, которому требуются учетные данные администратора для выполнения определенных административных задач, а затем создайте отдельные учетные записи для других стандартных пользовательских задач в соответствии со следующими рекомендациями:</p><ul><li><p> <strong> Привилегированный счет </strong>.Выделяйте учетные записи администратора только для выполнения следующих административных функций:</p><ul><li><p> <strong> Минимум </strong>. Создайте отдельные учетные записи для администраторов домена, администраторов предприятия или эквивалента с соответствующими правами администратора в домене или лесу. Используйте учетные записи, которым предоставлены конфиденциальные права администратора, только для администрирования данных домена и контроллеров домена.</p></li><li><p> <strong> Лучше </strong>. Создайте отдельные учетные записи для администраторов с ограниченными административными правами, например учетные записи для администраторов рабочих станций, и учетные записи с правами пользователя для определенных организационных единиц Active Directory (OU).</p></li><li><p> <strong> Идеал </strong>. Создайте несколько отдельных учетных записей для администратора, у которого есть различные должностные обязанности, требующие разных уровней доверия. Настройте каждую учетную запись администратора с существенно разными правами пользователя, например, для администрирования рабочих станций, администрирования серверов и администрирования домена, чтобы позволить администратору входить в систему на определенных рабочих станциях, серверах и контроллерах домена строго в соответствии с его или ее должностными обязанностями.</p></li></ul></li><li><p> <strong> Стандартная учетная запись пользователя </strong>.Предоставьте стандартные права пользователя для стандартных пользовательских задач, таких как электронная почта, просмотр веб-страниц и использование бизнес-приложений. Этим учетным записям не должны быть предоставлены права администратора.</p></li></ul><p> Важно</p><p> Убедитесь, что конфиденциальные учетные записи администраторов не могут получить доступ к электронной почте или работе в Интернете, как описано в следующем разделе.</p><h4><span class="ez-toc-section" id="i-49"> Создание выделенных хостов рабочих станций без доступа к Интернету и электронной почте </span></h4><p> Администраторам необходимо управлять должностными обязанностями, требующими конфиденциальных прав администратора с выделенной рабочей станции, поскольку у них нет простого физического доступа к серверам.Рабочая станция, подключенная к Интернету и имеющая доступ к электронной почте и просмотру веб-страниц, регулярно подвергается компрометации посредством фишинга, загрузки и других типов Интернет-атак. Из-за этих угроз рекомендуется настраивать этих администраторов с помощью рабочих станций, которые предназначены только для административных функций и не предоставляют доступ к Интернету, включая электронную почту и просмотр веб-страниц. Дополнительные сведения см. В разделе Разделение учетных записей администраторов и учетных записей пользователей.</p><p> Примечание</p><p> Если администраторы в вашей среде могут входить локально на управляемые серверы и выполнять все задачи без повышенных прав или прав домена со своей рабочей станции, вы можете пропустить эту задачу.</p><ul><li><p> <strong> Минимум </strong>. Создавайте специальные административные рабочие станции и блокируйте доступ в Интернет на этих рабочих станциях, включая просмотр веб-страниц и электронную почту. Используйте следующие способы блокировки доступа в Интернет:</p><ul><li><p> Настройте службы аутентификации граничных прокси-серверов, если они развернуты, чтобы запретить учетным записям администраторов доступ в Интернет.</p></li><li><p> Настройте пограничный брандмауэр или прокси-службы, чтобы запретить доступ в Интернет для IP-адресов, назначенных выделенным административным рабочим станциям.</p></li><li><p> Заблокируйте исходящий доступ к граничным прокси-серверам в брандмауэре Windows.</p></li></ul><p> Инструкции по выполнению этого минимального требования описаны в следующей процедуре.</p></li><li><p> <strong> Лучше </strong>. Не предоставляйте администраторам членство в локальной группе администраторов на компьютере, чтобы запретить администратору обходить эти средства защиты.</p></li><li><p> <strong> Идеал </strong>. Запретите рабочим станциям любое сетевое подключение, за исключением контроллеров домена и серверов, для управления которыми используются учетные записи администратора.В качестве альтернативы используйте политики управления приложениями AppLocker, чтобы запретить запуск всех приложений, за исключением операционной системы и утвержденных средств администрирования и приложений. Дополнительные сведения о AppLocker см. В разделе AppLocker.</p></li></ul><p> Следующая процедура описывает, как заблокировать доступ в Интернет путем создания объекта групповой политики (GPO), который настраивает недопустимый прокси-адрес на административных рабочих станциях. Эти инструкции применимы только к компьютерам с Internet Explorer и другими компонентами Windows, которые используют эти параметры прокси.</p><p> Примечание</p><p> В этой процедуре рабочие станции предназначены для администраторов домена. Просто изменив учетные записи администраторов, чтобы предоставить администраторам разрешение на локальный вход, вы можете создать дополнительные подразделения для управления администраторами, которые имеют меньше административных прав, чтобы использовать инструкции, описанные в следующей процедуре.</p><p> <strong> Для установки административных рабочих станций в домене и блокировки доступа к Интернету и электронной почте (минимум) </strong></p><ol><li><p> В качестве администратора домена на контроллере домена откройте «Пользователи и компьютеры Active Directory» и создайте новое подразделение для административных рабочих станций.</p></li><li><p> Создайте учетные записи компьютеров для новых рабочих станций.</p><p></p></li><li><p> Закройте «Пользователи и компьютеры Active Directory».</p></li><li><p> Запустите консоль управления групповой политикой <strong> </strong> (GPMC).</p></li><li><p> Щелкните правой кнопкой мыши новое подразделение и> <strong> Создайте объект групповой политики в этом домене и свяжите его здесь </strong>.</p><p></p></li><li><p> Назовите объект групповой политики и> <strong> OK </strong>.</p></li><li><p> Разверните GPO, щелкните правой кнопкой мыши новый GPO и> <strong> Edit </strong>.</p><p></p></li><li><p> Настройте, какие члены учетных записей могут локально входить в систему на этих административных рабочих станциях следующим образом:</p><ol><li><p> Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows \ Локальные политики и щелкните <strong> Назначение прав пользователя </strong>.</p></li><li><p> Дважды щелкните <strong> Разрешить локальный вход </strong>, а затем установите флажок <strong> Определить эти параметры политики </strong>.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>> <strong> Найдите </strong>, введите <strong> Администраторы предприятия </strong> и> <strong> OK </strong>.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>> <strong> Просмотрите </strong>, введите <strong> Администраторы домена </strong> и> <strong> OK </strong>.</p><p> Важно</p><p> В этих инструкциях предполагается, что рабочая станция предназначена для администраторов домена.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>, введите <strong> Администраторы </strong> и> <strong> OK </strong>.</p><p></p></li></ol></li><li><p> Настроить конфигурацию прокси:</p><ol><li><p> Перейдите в раздел User Configuration \ Policies \ Windows Settings \ Internet Explorer и> <strong> Connection </strong>.</p></li><li><p> Дважды щелкните <strong> Proxy Settings </strong>, установите флажок <strong> Enable proxy settings </strong>, введите <strong> 127.0.0.1 </strong> (сетевой IP-адрес обратной петли) в качестве адреса прокси и> <strong> OK </strong>.</p><p></p></li></ol></li><li><p> Настройте режим обработки обратной петли, чтобы параметр прокси-сервера групповой политики пользователя применялся ко всем пользователям на компьютере следующим образом:</p><ol><li><p> Перейдите в раздел Конфигурация компьютера \ Политики \ Административные шаблоны \ Система и> <strong> Групповая политика </strong>.</p></li><li><p> Дважды щелкните <strong> Режим обработки политики обратной связи групповой политики пользователей </strong> и> <strong> Включено </strong>.</p></li><li><p> Выберите <strong> Merge Mode </strong> и> <strong> OK </strong>.</p></li></ol></li><li><p> Настройте обновления программного обеспечения следующим образом:</p><ol><li><p> Перейдите в раздел Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows, а затем щелкните <strong> Центр обновления Windows </strong>.</p></li><li><p> Настройте параметры Центра обновления Windows, как описано в следующей таблице.</p><table><thead><tr><th> Настройка Центра обновления Windows</th><th> Конфигурация</th></tr></thead><tbody><tr><td> Разрешить немедленную установку автоматических обновлений</td><td> Включено</td></tr><tr><td> Настройка автоматических обновлений</td><td> Включено4 — Автозагрузка и планирование установки0 — Ежедневно 03:00</td></tr><tr><td> Включение управления питанием Центра обновления Windows для автоматического пробуждения системы для установки обновлений по расписанию</td><td> Включено</td></tr><tr><td> Укажите расположение службы Центра обновления Майкрософт в интрасети</td><td> Включено <code> http: // <WSUSServername> http: // <WSUSServername> </code> Где <code> <WSUSServername> </code> — это DNS-имя или IP-адрес служб Windows Server Update Services (WSUS) в среде.</td></tr><tr><td> Частота обнаружения автоматических обновлений</td><td> 6 часов</td></tr><tr><td> Повторный запрос на перезапуск при установке по расписанию</td><td> 1 минута</td></tr><tr><td> Отсрочка перезапуска для запланированных установок</td><td> 5 минут</td></tr></tbody></table><p> Примечание</p><p> Этот шаг предполагает, что службы Windows Server Update Services (WSUS) установлены и настроены в среде. Вы можете пропустить этот шаг, если используете другой инструмент для развертывания обновлений программного обеспечения.Кроме того, если общедоступная служба Microsoft Windows Update используется только в Интернете, эти административные рабочие станции больше не получают обновления.</p></li></ol></li><li><p> Настройте входящий брандмауэр для блокировки всех подключений следующим образом:</p><ol><li><p> Щелкните правой кнопкой мыши <strong> Брандмауэр Windows в режиме повышенной безопасности LDAP: // путь </strong> и> <strong> Свойства </strong>.</p><p></p></li><li><p> В каждом профиле убедитесь, что брандмауэр включен и для входящих подключений установлено значение <strong> Блокировать все подключения </strong>.</p><p></p></li><li><p> Нажмите <strong> ОК </strong>, чтобы завершить настройку.</p></li></ol></li><li><p> Закройте консоль управления групповой политикой.</p></li><li><p> Установите операционную систему Windows на рабочие станции, дайте каждой рабочей станции те же имена, что и назначенные им учетные записи компьютеров, а затем присоедините их к домену.</p></li></ol><h4><span class="ez-toc-section" id="i-50"> Ограничить доступ администратора к серверам и рабочим станциям </span></h4><p> Рекомендуется запретить администраторам использовать конфиденциальные учетные записи администраторов для входа на серверы и рабочие станции с низким уровнем доверия.Это ограничение предотвращает непреднамеренное повышение администратором риска кражи учетных данных при входе на компьютер с более низким уровнем доверия.</p><p> Важно</p><p> Убедитесь, что у вас есть локальный доступ к контроллеру домена или вы построили хотя бы одну выделенную административную рабочую станцию.</p><p> Ограничьте доступ для входа на серверы и рабочие станции с низким уровнем доверия, следуя приведенным ниже рекомендациям:</p><ul><li><p> <strong> Минимум </strong>. Ограничьте администраторов домена доступ к серверам и рабочим станциям для входа в систему.Перед началом этой процедуры определите все подразделения в домене, которые содержат рабочие станции и серверы. Любые компьютеры в подразделениях, которые не идентифицированы, не ограничивают администраторов с конфиденциальными учетными записями от входа в них.</p></li><li><p> <strong> Лучше </strong>. Ограничьте администраторов домена доступ к серверам и рабочим станциям, не являющимся контроллерами домена.</p></li><li><p> <strong> Идеал </strong>. Ограничьте администраторов серверов от входа на рабочие станции, помимо администраторов домена.</p></li></ul><p> Примечание</p><p> Для этой процедуры не связывайте учетные записи с OU, которые содержат рабочие станции для администраторов, которые выполняют только административные обязанности, и не предоставляют доступ к Интернету или электронной почте. Для получения дополнительной информации см. Создание выделенных хостов рабочих станций для администраторов</p>.<p> <strong> Для ограничения доступа администраторов домена к рабочим станциям (минимум) </strong></p><ol><li><p> Как администратор домена откройте консоль управления групповой политикой (GPMC).</p></li><li><p> Откройте <strong> Group Policy Management </strong> и разверните <em> <forest> </em> \ Domains \ <code> <domain> </code>, а затем разверните до <strong> Group Policy Objects </strong>.</p></li><li><p> Щелкните правой кнопкой мыши <strong> Объекты групповой политики </strong> и> <strong> Новый </strong>.</p><p></p></li><li><p> В диалоговом окне <strong> New GPO </strong> назовите GPO, который ограничивает доступ администраторов к рабочим станциям, и> <strong> OK </strong>.</p><p></p></li><li><p> Щелкните правой кнопкой мыши <strong> New GPO </strong> и> <strong> Edit </strong>.</p></li><li><p> Настройте права пользователей, чтобы запретить локальный вход в систему для администраторов домена.</p></li><li><p> Перейдите в раздел Конфигурация компьютера \ Политики \ Параметры Windows \ Локальные политики, затем щелкните <strong> Назначение прав пользователя </strong> и выполните следующие действия:</p><ol><li><p> Дважды щелкните <strong> Запретить локальный вход в систему </strong> и> <strong> Определите эти параметры политики </strong>.</p></li><li><p> Нажмите <strong> Добавить пользователя или группу </strong>, нажмите <strong> Обзор </strong>, введите <strong> Enterprise Admins </strong> и> <strong> OK </strong>.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>, щелкните <strong> Обзор </strong>, введите <strong> Администраторы домена </strong> и> <strong> ОК </strong>.</p><p></p><p> Примечание</p><p> При желании вы можете добавить любые группы, содержащие администраторов сервера, которым вы хотите запретить вход на рабочие станции.</p></li><li><p> Нажмите <strong> ОК </strong>, чтобы завершить настройку.</p></li></ol></li><li><p> Настройте права пользователя для запрета пакетного и служебного входа в систему для администраторов домена следующим образом:</p><p> Примечание</p><p> Выполнение этого шага может вызвать проблемы с задачами администратора, которые выполняются как запланированные задачи, или службами с учетными записями в группе администраторов домена.Практика использования учетных записей администратора домена для запуска служб и задач на рабочих станциях создает значительный риск атак с кражей учетных данных, и поэтому ее следует заменить альтернативными средствами для запуска запланированных задач или служб.</p><ol><li><p> Дважды щелкните <strong> Запретить вход в систему как пакетное задание </strong> и> <strong> Определите эти параметры политики </strong>.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>> <strong> Найдите </strong>, введите <strong> Администраторы предприятия </strong> и> <strong> OK </strong>.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>> <strong> Просмотрите </strong>, введите <strong> Администраторы домена </strong> и> <strong> OK </strong>.</p><p></p><p> Примечание</p><p> При желании вы можете добавить любые группы, содержащие администраторов сервера, которым вы хотите запретить вход на рабочие станции.</p></li><li><p> Дважды щелкните <strong> Запретить вход в качестве службы </strong> и> <strong> Определите эти параметры политики </strong>.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>> <strong> Найдите </strong>, введите <strong> Администраторы предприятия </strong> и> <strong> OK </strong>.</p></li><li><p> Щелкните <strong> Добавить пользователя или группу </strong>> <strong> Просмотрите </strong>, введите <strong> Администраторы домена </strong> и> <strong> OK </strong>.</p><p></p><p> Примечание</p><p> При желании вы можете добавить любые группы, содержащие администраторов сервера, которым вы хотите запретить вход на рабочие станции.</p></li></ol></li><li><p> Свяжите GPO с первым OU рабочих станций.</p><p> Перейдите к <em> <forest> </em> \ Domains \ <code> <domain> </code> \ OU Path, а затем:</p><ol><li><p> Щелкните правой кнопкой мыши подразделение рабочей станции, а затем> <strong> Свяжите существующий объект групповой политики </strong>.</p><p></p></li><li><p> Выберите только что созданный объект групповой политики и> <strong> OK </strong>.</p><p> =======</p></li><li><p> Выберите только что созданный объект групповой политики и> <strong> OK </strong>.</p><p></p></li></ol></li><li><p> Протестируйте функциональность корпоративных приложений на рабочих станциях в первом организационном подразделении и устраните все проблемы, вызванные новой политикой.</p></li><li><p> Свяжите все остальные организационные единицы, содержащие рабочие станции.</p><p> Однако не создавайте ссылку на административную рабочую станцию OU, если она создана для административных рабочих станций, которые предназначены только для выполнения административных функций и не имеют доступа к Интернету или электронной почте.Для получения дополнительной информации см. Создание выделенных хостов рабочих станций для администраторов.</p><p> Важно</p><p> Если позже вы расширите это решение, не запрещайте права входа в систему для группы <strong> Пользователи домена </strong>. В группу пользователей домена <strong> </strong> входят все учетные записи пользователей в домене, включая пользователей, администраторов домена и администраторов предприятия.</p></li></ol><h4><span class="ez-toc-section" id="i-51"> Отключить право делегирования учетной записи для конфиденциальных учетных записей администратора </span></h4><p> Хотя учетные записи пользователей не помечаются для делегирования по умолчанию, учетным записям в домене Active Directory можно доверять для делегирования.Это означает, что служба или компьютер, которому доверено делегирование, могут олицетворять учетную запись, которая аутентифицируется для них, для доступа к другим ресурсам в сети.</p><p> Для конфиденциальных учетных записей, например, принадлежащих членам групп администраторов, администраторов домена или администраторов предприятия в Active Directory, делегирование может представлять значительный риск эскалации прав. Например, если учетная запись в группе администраторов домена используется для входа на скомпрометированный рядовой сервер, которому доверяют для делегирования, этот сервер может запросить доступ к ресурсам в контексте учетной записи администраторов домена и повысить уровень компрометации этого члена. сервер к компрометации домена.</p><p> Рекомендуется настроить объекты пользователей для всех конфиденциальных учетных записей в Active Directory, установив флажок <strong> Учетная запись является конфиденциальной и не может быть делегирована. Установите флажок </strong> в разделе <strong> Параметры учетной записи </strong>, чтобы предотвратить делегирование этих учетных записей. Дополнительные сведения см. В разделе Настройка локальных учетных записей по умолчанию в Active Directory.</p><p> Как и в случае любого изменения конфигурации, полностью проверьте этот включенный параметр, чтобы убедиться, что он работает правильно, прежде чем применять его.</p><p></p><h3><span class="ez-toc-section" id="i-52"> Защита контроллеров домена и управление ими </span></h3><p> Рекомендуется строго применять ограничения для контроллеров домена в вашей среде. Это гарантирует, что контроллеры домена:</p><ol><li><p> Запускать только необходимое программное обеспечение</p></li><li><p> Требуемое ПО регулярно обновляется</p></li><li><p> Настроены с соответствующими настройками безопасности</p></li></ol><p> Одним из аспектов защиты контроллеров домена и управления ими является обеспечение полной защиты учетных записей локальных пользователей по умолчанию.Как описано в предыдущих разделах, крайне важно ограничить и защитить все конфиденциальные учетные записи домена.</p><p> Поскольку контроллеры домена хранят хэши паролей учетных данных всех учетных записей в домене, они являются важной целью для злоумышленников. Когда контроллеры домена плохо управляются и не защищены с помощью строгих ограничений, они могут быть скомпрометированы злоумышленниками. Например, злоумышленник может украсть конфиденциальные учетные данные администратора домена с одного контроллера домена, а затем использовать эти учетные данные для атаки на домен и лес.</p><p> Кроме того, установленные приложения и агенты управления на контроллерах домена могут предоставить путь для повышения прав, который злоумышленники могут использовать для компрометации службы управления или администраторов этой службы. Инструменты и службы управления, которые ваша организация использует для управления контроллерами домена и их администраторами, одинаково важны для безопасности контроллеров домена и учетных записей администраторов домена. Приложив одинаковые усилия, убедитесь, что эти службы и администраторы полностью защищены.</p><h3><span class="ez-toc-section" id="i-53"> См. Также </span></h3> .</div><footer class="entry-footer"> <i class="fa fa-folder-o" aria-hidden="true"></i> <span class="cat-links">Posted in <a href="https://expertnov.ru/category/raznoe" rel="category tag">Разное</a></span></footer></article><nav class="navigation post-navigation" aria-label="Записи"><h2 class="screen-reader-text">Навигация по записям</h2><div class="nav-links"><div class="nav-previous"><a href="https://expertnov.ru/raznoe/kak-na-noutbuke-otklyuchit-sensornuyu-panel-hp-hp-lenovo-dell-f-ua.html" rel="prev">Как на ноутбуке отключить сенсорную панель hp: hp, lenovo, dell, — F.ua</a></div><div class="nav-next"><a href="https://expertnov.ru/raznoe/chto-takoe-zvukovaya-karta-i-dlya-chego-ona-nuzhna-chto-takoe-zvukovaya-karta-i-dlya-chego-ona-nuzhna.html" rel="next">Что такое звуковая карта и для чего она нужна: Что такое звуковая карта и для чего она нужна?</a></div></div></nav><div id="comments" class="comments-area"><div id="respond" class="comment-respond"><h3 id="reply-title" class="comment-reply-title">Добавить комментарий <small><a rel="nofollow" id="cancel-comment-reply-link" href="/raznoe/windows-10-vhod-ot-imeni-administratora-stranicza-ne-najdena-comp-security-net.html#respond" style="display:none;">Отменить ответ</a></small></h3><form action="https://expertnov.ru/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate><p class="comment-notes"><span id="email-notes">Ваш адрес email не будет опубликован.</span> <span class="required-field-message">Обязательные поля помечены <span class="required">*</span></span></p><p class="comment-form-comment"><label for="comment">Комментарий <span class="required">*</span></label><textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required></textarea></p><p class="comment-form-author"><label for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" autocomplete="name" required /></p><p class="comment-form-email"><label for="email">Email <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" aria-describedby="email-notes" autocomplete="email" required /></p><p class="comment-form-url"><label for="url">Сайт</label> <input id="url" name="url" type="url" value="" size="30" maxlength="200" autocomplete="url" /></p><p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Отправить комментарий" /> <input type='hidden' name='comment_post_ID' value='37679' id='comment_post_ID' /> <input type='hidden' name='comment_parent' id='comment_parent' value='0' /></p></form></div></div></main></div></div><div class="col-lg-4"><aside id="secondary" class="widget-area"><section id="search-2" class="widget widget_search"><form role="search" method="get" class="search-form" action="https://expertnov.ru/"> <label> <span class="screen-reader-text">Найти:</span> <input type="search" class="search-field" placeholder="Поиск…" value="" name="s" /> </label> <input type="submit" class="search-submit" value="Поиск" /></form></section><section id="categories-3" class="widget widget_categories"><h2 class="widget-title">Рубрики</h2><ul><li class="cat-item cat-item-8"><a href="https://expertnov.ru/category/kak-rabotaet">Как работает</a></li><li class="cat-item cat-item-11"><a href="https://expertnov.ru/category/luchshe-2">Лучше</a></li><li class="cat-item cat-item-10"><a href="https://expertnov.ru/category/monitor-2">Монитор</a></li><li class="cat-item cat-item-7"><a href="https://expertnov.ru/category/monitor">Мониторы</a></li><li class="cat-item cat-item-4"><a href="https://expertnov.ru/category/luchshe">Обзоры</a></li><li class="cat-item cat-item-3"><a href="https://expertnov.ru/category/raznoe">Разное</a></li><li class="cat-item cat-item-9"><a href="https://expertnov.ru/category/smart-2">Смарт</a></li><li class="cat-item cat-item-5"><a href="https://expertnov.ru/category/smart">Смартфоны</a></li><li class="cat-item cat-item-1"><a href="https://expertnov.ru/category/sovety">Советы</a></li><li class="cat-item cat-item-6"><a href="https://expertnov.ru/category/xarakteristiki">Характеристики</a></li></ul></section></aside></div></div></div><footer id="colophon" class="site-footer"><div class="container"><div class="site-info"> 2024 © Все права защищены.</div></div></footer></div> <noscript><style>.lazyload{display:none}</style></noscript><script data-noptimize="1">window.lazySizesConfig=window.lazySizesConfig||{};window.lazySizesConfig.loadMode=1;</script><script async data-noptimize="1" src='https://expertnov.ru/wp-content/plugins/autoptimize/classes/external/js/lazysizes.min.js'></script> <script defer src="https://expertnov.ru/wp-content/cache/autoptimize/js/autoptimize_0bd916c9ee7724e04a3b36ffa4fed915.js"></script></body></html><script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="b9a5da46293fc714fd3b7018-|49" defer></script>