Меню Рубрики

Установки встроенной учетной записи

Встроенная учетная запись Администратор в Windows 10

Как и в предыдущих версиях ОС, в Windows 10 есть скрытая встроенная учетная запись Администратора, скрытая и неактивная по умолчанию. Однако в некоторых ситуациях она может оказаться полезной, например, при невозможности каких-либо действий с компьютером и создания нового пользователя, для сброса пароля и не только. Иногда, наоборот, требуется отключить этот аккаунт.

В этой инструкции подробно о том, как активировать скрытую учетную запись Администратор Windows 10 в различных ситуациях. Также будет рассмотрено, как отключить встроенную учетную запись администратора.

Отмечу, что если вам просто нужен пользователь с правами администратора, то правильные способы создать такого пользователя описаны в материалах Как создать пользователя Windows 10, Как сделать пользователя администратором в Windows 10.

Включение скрытой учетной записи Администратора в обычных условиях

Под обычными условиями далее понимается: вы можете зайти в Windows 10, и ваша текущая учетная запись также имеет права администратора на компьютере. При данных условиях, активация встроенной учетной записи не представляет никаких проблем.

  1. Запустите командную строку от имени Администратора (через меню правого клика по кнопке «Пуск»), есть и другие способы открытия командной строки Windows 10.
  2. В командной строке введите net user Администратор /active:yes (если у вас англоязычная система, а также на некоторых «сборках» используйте написание Administrator) и нажмите Enter.

    Выйти из системы также можно через правый клик по пуску — «Завершение работы или выход из системы» — «Выход».

    О включении этой учетной записи Windows 10 в «необычных» условиях — в последней части статьи.

    Как отключить встроенную учетную запись Администратор Windows 10

    В общем случае, чтобы отключить учетную встроенную учетную запись администратора достаточно тем же способом, который описан в первой части руководства, запустить командную строку, после чего ввести ту же команду, но с ключом /active:no (т.е. net user Администратор /active:no).

    Однако, часто встречающаяся в последнее время ситуация — когда такая учетная запись единственная на компьютере (возможно, это особенность каких-то нелицензионных версий Windows 10), а причина, по которой пользователь желает ее отключить — частично не работающие функции и сообщения наподобие «Microsoft Edge невозможно открыть, используя встроенную учетную запись администратора. Войдите с другой учетной записью и попробуйте еще раз».

    Примечание: прежде чем выполнять описанные далее шаги, если вы продолжительное время проработали под встроенным администратором, и у вас есть важные данные на рабочем столе и в системных папках документов (изображений, видео), перенесите эти данные в отдельные папки на диске (так будет проще их потом разместить в папках «обычного», а не встроенного администратора).

    В этой ситуации правильным путем решения проблемы и отключения встроенной учетной записи администратора Windows 10 будет следующий:

    1. Создайте новую учетную запись одним из способов, описанных в статье Как создать пользователя Windows 10 (откроется в новой вкладке) и предоставьте новому пользователю права администратора (описано в той же инструкции).
    2. Выйдите из текущей встроенной учетной записи Администратор и зайдите во вновь созданную — пользовательскую, а не встроенную.
    3. Войдя, запустите командную строку от имени администратора (используйте меню правого клика по пуску) и введите команду net user Администратор /active:no и нажмите Enter.

    При этом, встроенная учетная запись администратора будет отключена, а вы сможете пользоваться обычной учетной записью, также с необходимыми правами и без ограничения функций.

    Как включить встроенную учетную запись администратора, когда вход в Windows 10 невозможен

    И последний возможный вариант — вход в Windows 10 невозможен по той или иной причине и вам требуется активировать учетную запись Администратор для того, чтобы произвести действия по исправлению ситуации.

    В данном контексте существует два наиболее распространенных сценария, первый из которых — вы помните пароль своей учетной записи, но вход в Windows 10 почему-то не происходит (например, после ввода пароля компьютер зависает).

    В данном случае возможный путь решения проблемы будет таким:

    1. На экране входа в систему нажмите по изображенной справа внизу кнопке «питания», затем, удерживая Shift, нажмите «Перезагрузка».
    2. Загрузится среда восстановления Windows Перейдите к разделу «Поиск и устранение неисправностей» — «Дополнительные параметры» — «Командная строка».
    3. Потребуется ввести пароль учетной записи для запуска командной строки. В этот раз вход должен сработать (если пароль, который вы помните — верный).
    4. После этого, используйте первый способ из этой статьи для включения скрытой учетной записи.
    5. Закройте командную строку и перезагрузите компьютер (или нажмите «Продолжить. Выход и использование Windows 10»).

    И второй сценарий — когда пароль для входа в Windows 10 неизвестен, либо, по мнению системы, неверный, и вход невозможен по этой причине. Здесь вы можете использовать инструкцию Как сбросить пароль Windows 10 — в первой части инструкции описывается, как в данной ситуации открыть командную строку и произвести необходимые манипуляции для сброса пароля, но, в той же командной строке вы можете и активировать встроенного Администратора (хотя для сброса пароля это необязательно).

    Кажется, это все, что может пригодиться на указанную тему. Если же какой-то из вариантов проблем не был мной учтен, или инструкции не удается использовать — опишите, что именно происходит в комментариях, я постараюсь ответить.

    источник

    Установка Windows 7 без создания учетной записи и имени компьютера, а также добавление драйверов в систему на этапе установки Windows.

    Если Вам необходимо установить драйвера для устройств в процессе установки Windows 7, или например Вы не хотите создавать собственную учетную запись и не указывать имя компьютера.

    Воспользуйтесь для этого предложенным ниже решением.

    1. Начните обычную установку Windows 7.
    2. Сразу после первой перезагрузки нажмите клавишу F8 .
    3. Выберите пункт Безопасный режим (Safe Mode) и нажмите Enter ↵ .
    4. При появлении окна о невозможности продолжить установку в безопасном режиме не нажимая кнопки ОК, нажмите ⇑ Shift+ F10 .

    Установка драйверов.

    5. В командной строке введите compmgmtlauncher и нажмите Enter ↵ .
    У Вас загрузится оснастка Управление компьютером (Computer Management).
    6. Перейдите в Служебные программыДиспетчер устройств (System Tools → Device Manager).
    7. Щелкните правой кнопкой мыши на устройстве для которого необходимо установить драйвер и выберите пункт Обновить драйверы (Update Driver Software).
    8. Выберите пункт Выполнить поиск драйверов на этом компьютере (Browse my computer for device software).
    9. Укажите в поле Искать драйверы в следующем месте путь (Search for driver software in this location) путь к папке с драйверами и нажмите кнопку Далее (Next).
    10. Закройте оснастку Управление компьютером (Computer Management) и командную строку.
    11. Нажмите кнопку ОК в окне о невозможности продолжить установку в безопасном режиме.
    Компьютер перезагрузится и продолжит установку в обычном режиме.

    Включение встроенной учётной записи администратора, вместо создания собственной учетной записи.

    12. При появлении окна ввода имени пользователя и имени компьютера нажмите ⇑ Shift + F10 .
    13. В окне команд введите команду compmgmtlauncher и нажмите клавишу Enter ↵ .
    14. Перейдите в Служебные программыЛокальные пользователи и группыПользователи (System Tools → Local Users an Groups → Users)
    15. Щелкните правой кнопкой учетную запись Администратор (Administrator) и выберите Свойства (Properties).
    16. Откроется окно Свойства: Администратор (Administrator Properties).
    17. На вкладке Общие (General) снимите галочку Отключить учетную запись (Acount is disabled) и нажмите кнопку OK.
    18. В командной строке введите explorer и нажмите Enter ↵ .
    19. В командной строке введите taskmgr и нажмите Enter ↵ .
    20. Выделите приложение msoobe правой кнопкой мыши и нажмите Снять задачу (End Task) → Завершить сейчас (End Now).
    21. Подождите немного и Windows самостоятельно загрузится на рабочий стол.
    22. Закройте Диспетчер задач Windows (Windows Task Manager), окно команд, настройте расположение сети и перезагрузите компьютер.
    Вот и все Ваша Windows готова к работе.

    источник

    Локальные учетные записи Local Accounts

    Область применения Applies to

    • Windows 10; Windows 10
    • WindowsServer2019 Windows Server 2019
    • WindowsServer2016 Windows Server 2016

    Этот справочный раздел по умолчанию для ИТ-специалистов описывает локальные учетные записи пользователей для серверов, в том числе управление встроенными учетными записями на члене или отдельном сервере. This reference topic for IT professionals describes the default local user accounts for servers, including how to manage these built-in accounts on a member or standalone server.

    Локальные учетные записи пользователей About local user accounts

    Локальные учетные записи пользователей хранятся на сервере локально. Local user accounts are stored locally on the server. Эти учетные записи могут назначать права и разрешения на определенном сервере, но только на этом сервере. These accounts can be assigned rights and permissions on a particular server, but on that server only. Локальные учетные записи пользователей — это участники безопасности, которые используются для обеспечения доступа к ресурсам на отдельном или рядовом сервере для служб или пользователей и управления ими. Local user accounts are security principals that are used to secure and manage access to the resources on a standalone or member server for services or users.

    В этой статье рассматриваются следующие вопросы: This topic describes the following:

    Сведения об участниках безопасности можно найти в разделе Участники безопасности. For information about security principals, see Security Principals.

    Локальные учетные записи пользователей по умолчанию Default local user accounts

    Локальные учетные записи пользователей по умолчанию являются встроенными учетными записями, которые автоматически создаются при установке Windows. The default local user accounts are built-in accounts that are created automatically when you install Windows.

    После установки Windows локальные учетные записи пользователей по умолчанию не могут быть удалены или удалены. After Windows is installed, the default local user accounts cannot be removed or deleted. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступ к сетевым ресурсам. In addition, default local user accounts do not provide access to network resources.

    Локальные учетные записи пользователей по умолчанию используются для управления доступом к ресурсам локального сервера в соответствии с правами и разрешениями, которые назначены учетной записи. Default local user accounts are used to manage access to the local server’s resources based on the rights and permissions that are assigned to the account. Локальные учетные записи пользователей по умолчанию и созданные локальные учетные записи пользователей находятся в папке Users. The default local user accounts, and the local user accounts that you create, are located in the Users folder. Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления (MMC) локального управления компьютером. The Users folder is located in the Local Users and Groups folder in the local Computer Management Microsoft Management Console (MMC). Управление компьютером — это набор средств администрирования, которые можно использовать для управления отдельным локальным или удаленным компьютером. Computer Management is a collection of administrative tools that you can use to manage a single local or remote computer. Дополнительные сведения о том, как управлять локальными учетными записями, можно найти ниже в этой статье. For more information, see How to manage local accounts later in this topic.

    Локальные учетные записи пользователей по умолчанию описаны в следующих разделах. Default local user accounts are described in the following sections.

    Учетная запись администратора Administrator account

    Учетная запись локального администратора по умолчанию является учетной записью пользователя системного администратора. The default local Administrator account is a user account for the system administrator. У каждого компьютера есть учетная запись администратора (SID S-1-5-domain-500, администратор отображаемого имени). Every computer has an Administrator account (SID S-1-5-domain-500, display name Administrator). Учетная запись администратора является первой учетной записью, созданной при установке Windows. The Administrator account is the first account that is created during the Windows installation.

    Учетная запись администратора имеет полный доступ к файлам, каталогам, службам и другим ресурсам на локальном компьютере. The Administrator account has full control of the files, directories, services, and other resources on the local computer. Учетная запись администратора может создавать другие локальные пользователи, назначать права пользователей и назначать разрешения. The Administrator account can create other local users, assign user rights, and assign permissions. Учетная запись администратора может управлять локальными ресурсами в любое время, просто изменяя права и разрешения пользователей. The Administrator account can take control of local resources at any time simply by changing the user rights and permissions.

    Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить. The default Administrator account cannot be deleted or locked out, but it can be renamed or disabled.

    В Windows 10 и Windows Server 2016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая входит в группу «Администраторы». In Windows 10 and Windows Server 2016, Windows setup disables the built-in Administrator account and creates another local account that is a member of the Administrators group. Пользователи групп администраторов могут запускать приложения с повышенными разрешениями без использования команды » Запуск от имени администратора «. Members of the Administrators groups can run apps with elevated permissions without using the Run as Administrator option. Быстрое переключение пользователей более безопасно, чем использование runas или другого пользователя. Fast User Switching is more secure than using Runas or different-user elevation.

    Участие в группах учетных записей Account group membership

    По умолчанию учетная запись администратора устанавливается как член группы «Администраторы» на сервере. By default, the Administrator account is installed as a member of the Administrators group on the server. Рекомендуется ограничить количество пользователей в группе Администраторы, так как члены группы администраторов на локальном сервере имеют разрешения на полный доступ на этом компьютере. It is a best practice to limit the number of users in the Administrators group because members of the Administrators group on a local server have Full Control permissions on that computer.

    Учетная запись администратора не может быть удалена или удалена из группы Администраторы, но ее можно переименовать. The Administrator account cannot be deleted or removed from the Administrators group, but it can be renamed.

    Вопросы безопасности Security considerations

    Поскольку известно, что учетная запись администратора существует в разных версиях операционной системы Windows, рекомендуется отключить учетную запись администратора, если это возможно, чтобы пользователи-злоумышленники могли получить доступ к серверу или клиентскому компьютеру. Because the Administrator account is known to exist on many versions of the Windows operating system, it is a best practice to disable the Administrator account when possible to make it more difficult for malicious users to gain access to the server or client computer.

    Читайте также:  Установка бачка унитаза витра

    Вы можете переименовать учетную запись администратора. You can rename the Administrator account. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злонамеренными пользователями. However, a renamed Administrator account continues to use the same automatically assigned security identifier (SID), which can be discovered by malicious users. Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, можно найти в разделе Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя. For more information about how to rename or disable a user account, see Disable or activate a local user account and Rename a local user account.

    По соображениям безопасности используйте локальную учетную запись (без администратора) для входа, а затем используйте команду Запуск от имени администратора для выполнения задач, требующих более высокий уровень прав, чем у стандартной учетной записи пользователя. As a security best practice, use your local (non-Administrator) account to sign in and then use Run as administrator to accomplish tasks that require a higher level of rights than a standard user account. Не используйте учетную запись администратора для входа на компьютер, если только это не будет вполне нужно. Do not use the Administrator account to sign in to your computer unless it is entirely necessary. Дополнительные сведения можно найти в разделе Запуск программы с учетными данными администратора. For more information, see Run a program with administrative credentials.

    При сравнении в операционной системе клиента Windows пользователь с локальной учетной записью пользователя с правами администратора считается системным администратором клиентского компьютера. In comparison, on the Windows client operating system, a user with a local user account that has Administrator rights is considered the system administrator of the client computer. Первая локальная учетная запись пользователя, создаваемая во время установки, размещается в локальной группе Администраторы. The first local user account that is created during installation is placed in the local Administrators group. Тем не менее, если несколько пользователей работают как локальные администраторы, ИТ – сотрудники не смогут управлять этими пользователями или клиентскими компьютерами. However, when multiple users run as local administrators, the IT staff has no control over these users or their client computers.

    В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически управлять использованием локальной группы администраторов на каждом сервере или клиентском компьютере. In this case, Group Policy can be used to enable secure settings that can control the use of the local Administrators group automatically on every server or client computer. Дополнительные сведения о групповой политике можно найти в разделе Общие сведения о групповой политике. For more information about Group Policy, see Group Policy Overview.

    Примечание . пустые пароли не разрешены в версиях, указанных в списке Применить к в начале этой статьи. Note Blank passwords are not allowed in the versions designated in the Applies To list at the beginning of this topic.

    Важно! несмотря на то, что учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру с помощью безопасного режима. Important Even when the Administrator account has been disabled, it can still be used to gain access to a computer by using safe mode. На консоли восстановления или в безопасном режиме учетная запись администратора автоматически включается. In the Recovery Console or in safe mode, the Administrator account is automatically enabled. При возобновлении нормальных операций она отключается. When normal operations are resumed, it is disabled.

    Гостевая учетная запись Guest account

    Учетная запись гостя по умолчанию отключена при установке. The Guest account is disabled by default on installation. Учетная запись гостя позволяет периодическим или разовым пользователям, не имеющим учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователей. The Guest account lets occasional or one-time users, who do not have an account on the computer, temporarily sign in to the local server or client computer with limited user rights. По умолчанию для гостевой учетной записи задан пустой пароль. By default, the Guest account has a blank password. Поскольку Гостевая учетная запись может предоставлять анонимный доступ, это является риском для безопасности. Because the Guest account can provide anonymous access, it is a security risk. По этой причине лучше отключить гостевую учетную запись, если ее использование не соблюдается полностью. For this reason, it is a best practice to leave the Guest account disabled, unless its use is entirely necessary.

    Участие в группах учетных записей Account group membership

    По умолчанию Гостевая учетная запись является единственной членом группы «гости» по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. By default, the Guest account is the only member of the default Guests group (SID S-1-5-32-546), which lets a user sign in to a server. Иногда администратор, который входит в группу администраторов, может настроить пользователя с помощью гостевой учетной записи на одном или нескольких компьютерах. On occasion, an administrator who is a member of the Administrators group can set up a user with a Guest account on one or more computers.

    Вопросы безопасности Security considerations

    При включении гостевой учетной записи предоставляются только ограниченные права и разрешения. When enabling the Guest account, only grant limited rights and permissions. В целях обеспечения безопасности Гостевая учетная запись не должна использоваться в сети и стала доступна другим компьютерам. For security reasons, the Guest account should not be used over the network and made accessible to other computers.

    Кроме того, гостевой пользователь в гостевой учетной записи не должен иметь возможности просматривать журналы событий. In addition, the guest user in the Guest account should not be able to view the event logs. После включения гостевой учетной записи рекомендуется регулярно отслеживать гостевую учетную запись, чтобы убедиться, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были случайно оставлены предыдущими пользователями. After the Guest account is enabled, it is a best practice to monitor the Guest account frequently to ensure that other users cannot use services and other resources, such as resources that were unintentionally left available by a previous user.

    Учетная запись HelpAssistant (устанавливается вместе с сеансом удаленного помощника) HelpAssistant account (installed with a Remote Assistance session)

    Учетная запись HelpAssistant — это локальная учетная запись, которая включается по умолчанию при запуске сеанса удаленного помощника. The HelpAssistant account is a default local account that is enabled when a Remote Assistance session is run. Эта учетная запись автоматически отключается, если не ожидаются запросы удаленной помощи. This account is automatically disabled when no Remote Assistance requests are pending.

    HelpAssistant — это основная учетная запись, которая используется для создания сеанса удаленного помощника. HelpAssistant is the primary account that is used to establish a Remote Assistance session. Сеанс удаленной помощи используется для подключения к другому компьютеру, работающему под управлением операционной системы Windows, и инициируется по приглашению. The Remote Assistance session is used to connect to another computer running the Windows operating system, and it is initiated by invitation. Для запрошенной удаленной помощи пользователь отправляет приглашение с компьютера по электронной почте или в виде файла пользователю, который может предоставить помощь. For solicited remote assistance, a user sends an invitation from their computer, through e-mail or as a file, to a person who can provide assistance. После принятия приглашения пользователя на сеанс удаленной помощи автоматически создается учетная запись HelpAssistant, используемая по умолчанию, для предоставления пользователю, который предоставляет доступ к компьютеру с ограниченным доступом. After the user’s invitation for a Remote Assistance session is accepted, the default HelpAssistant account is automatically created to give the person who provides assistance limited access to the computer. Учетная запись HelpAssistant управляется службой диспетчера сеансов справки для удаленного рабочего стола. The HelpAssistant account is managed by the Remote Desktop Help Session Manager service.

    Вопросы безопасности Security considerations

    Идентификаторы безопасности, которые относятся к учетной записи HelpAssistant по умолчанию, включают: The SIDs that pertain to the default HelpAssistant account include:

    SID: S-1-5- -13, отображаемое имя пользователя сервера терминалов. SID: S-1-5- -13, display name Terminal Server User. В эту группу входят все пользователи, которые вошли на сервер с включенными службами удаленных рабочих столов. This group includes all users who sign in to a server with Remote Desktop Services enabled. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов. Note that, in Windows Server 2008, Remote Desktop Services are called Terminal Services.

    SID: S-1-5- -14, отображаемое имя удаленный интерактивный вход. SID: S-1-5- -14, display name Remote Interactive Logon. Эта группа включает всех пользователей, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. This group includes all users who connect to the computer by using a remote desktop connection. Эта группа является подмножеством интерактивной группы. This group is a subset of the Interactive group. Маркеры доступа, содержащие SID удаленного входного входа, также содержат интерактивный ИД безопасности. Access tokens that contain the Remote Interactive Logon SID also contain the Interactive SID.

    Для операционной системы Windows Server Удаленная помощь — это необязательный компонент, который не установлен по умолчанию. For the Windows Server operating system, Remote Assistance is an optional component that is not installed by default. Вы должны установить удаленный помощник, прежде чем его можно будет использовать. You must install Remote Assistance before it can be used.

    Подробнее об атрибутах учетной записи HelpAssistant можно узнать в таблице ниже. For details about the HelpAssistant account attributes, see the following table.

    Атрибуты учетной записи «помощник» HelpAssistant account attributes

    Известный SID/RID Well-Known SID/RID

    S-1-5- -13 (пользователь сервера терминалов), S-1-5- -14 (удаленный интерактивный вход) S-1-5- -13 (Terminal Server User), S-1-5- -14 (Remote Interactive Logon)

    Контейнер по умолчанию Default container

    CN = Users, DC Domain, DC = CN=Users, DC= , DC=

    Элементы по умолчанию Default members

    Элемент по умолчанию Default member of

    Гости домена Domain Guests

    Защищено объектом ADMINSDHOLDER? Protected by ADMINSDHOLDER?

    Вы безопасно можете выйти из контейнера по умолчанию? Safe to move out of default container?

    Можно переместить, но мы не рекомендуем использовать его. Can be moved out, but we do not recommend it.

    Можете ли вы безопасно управлять этой группой до администраторов, не являющихся администраторами служб? Safe to delegate management of this group to non-Service admins?

    дефаултаккаунт DefaultAccount

    Дефаултаккаунт, также называемая стандартной системой (ДСМА), является встроенной учетной записью, представленной в Windows 10 версии 1607 и Windows Server 2016. The DefaultAccount, also known as the Default System Managed Account (DSMA), is a built-in account introduced in Windows 10 version 1607 and Windows Server 2016. ДСМА — это известный тип учетной записи пользователя. The DSMA is a well-known user account type. Это независимая учетная запись, которую можно использовать для выполнения процессов, которые поддерживаются как с несколькими пользователями, так и в независимых от пользователей. It is a user neutral account that can be used to run processes that are either multi-user aware or user-agnostic. ДСМА по умолчанию отключен на настольных компьютерах конфигураций (полные версии Windows) и WS 2016 вместе с компьютером. The DSMA is disabled by default on the desktop SKUs (full windows SKUs) and WS 2016 with the Desktop.

    ДСМА имеет известный RID для 503. The DSMA has a well-known RID of 503. Таким образом, идентификатор безопасности (SID) ДСМА будет иметь известный идентификатор SID в следующем формате: S-1-5-21-\ -503 The security identifier (SID) of the DSMA will thus have a well-known SID in the following format: S-1-5-21- -503

    ДСМА является членом известной группы управляемых учетных записейгрупповых систем, которая имеет известный sid для S-1-5-32-581. The DSMA is a member of the well-known group System Managed Accounts Group, which has a well-known SID of S-1-5-32-581.

    Псевдониму ДСМА может быть предоставлен доступ к ресурсам во время автономной промежуточной на хранение, пока не будет создана сама учетная запись. The DSMA alias can be granted access to resources during offline staging even before the account itself has been created. Учетная запись и группа создаются при первой загрузке компьютера в диспетчере учетных записей безопасности (SAM). The account and the group are created during first boot of the machine within the Security Accounts Manager (SAM).

    Использование Дефаултаккаунт в Windows How Windows uses the DefaultAccount

    С точки зрения разрешения Дефаултаккаунт — это стандартная учетная запись пользователя. From a permission perspective, the DefaultAccount is a standard user account. Дефаултаккаунт необходим для запуска многопользовательского приложения с манифестом (приложения МУМА). The DefaultAccount is needed to run multi-user-manifested-apps (MUMA apps). МУМА приложения работают все время и реагируют на работу пользователей и выход из нее. MUMA apps run all the time and react to users signing in and signing out of the devices. В отличие от рабочего стола Windows, в которых приложения запускаются в контексте пользователя и завершаются после того, как пользователь выйдет из системы, МУМА приложения выполняются с помощью ДСМА. Unlike Windows Desktop where apps run in context of the user and get terminated when the user signs off, MUMA apps run by using the DSMA.

    Приложения МУМА работают в общедоступных ресурсах SKU, таких как Xbox. MUMA apps are functional in shared session SKUs such as Xbox. Например, консоль Xbox — это приложение МУМА. For example, Xbox shell is a MUMA app. Сегодня Xbox автоматически выполняет вход в качестве гостевой учетной записи и все приложения работают в этом контексте. Today, Xbox automatically signs in as Guest account and all apps run in this context. Все приложения поддерживают несколько пользователей и реагируют на события, созданные диспетчером пользователей. All the apps are multi-user-aware and respond to events fired by user manager. Приложения запускаются от имени гостевой учетной записи. The apps run as the Guest account.

    Аналогичным образом, Телефон автоматически входит в учетную запись «Дефаппс», которая аналогична стандартной учетной записи пользователя в Windows, но с несколькими дополнительными правами. Similarly, Phone auto logs in as a “DefApps” account which is akin to the standard user account in Windows but with a few extra privileges. Брокеры, некоторые службы и приложения выполняются с этой учетной записью. Brokers, some services and apps run as this account.

    В модели для Объединенных пользователей приложения с поддержкой нескольких пользователей и многопользовательские брокеры должны работать в контексте, отличном от пользователей. In the converged user model, the multi-user-aware apps and multi-user-aware brokers will need to run in a context different from that of the users. Для этой цели система создает ДСМА. For this purpose, the system creates DSMA.

    Создание Дефаултаккаунт на контроллерах домена How the DefaultAccount gets created on domain controllers

    Если домен создан с контроллерами домена под управлением Windows Server 2016, Дефаултаккаунт будет существовать на всех контроллерах домена. If the domain was created with domain controllers that run Windows Server 2016, the DefaultAccount will exist on all domain controllers in the domain. Если домен был создан с помощью контроллеров домена с более ранней версией Windows Server, Дефаултаккаунт будет создан после перемещения роли эмулятора PDC на контроллер домена, работающий под управлением Windows Server 2016. If the domain was created with domain controllers that run an earlier version of Windows Server, the DefaultAccount will be created after the PDC Emulator role is transferred to a domain controller that runs Windows Server 2016. Затем Дефаултаккаунт будет реплицирован на все другие контроллеры домена в домене. The DefaultAccount will then be replicated to all other domain controllers in the domain.

    Рекомендации по управлению учетной записью по умолчанию (ДСМА) Recommendations for managing the Default Account (DSMA)

    Корпорация Microsoft не рекомендует менять конфигурацию по умолчанию, в которой отключена учетная запись. Microsoft does not recommend changing the default configuration, where the account is disabled. Нет угрозы безопасности с учетной записью в отключенном состоянии. There is no security risk with having the account in the disabled state. Изменение конфигурации по умолчанию может препятствовать дальнейшим сценариям, которые используют эту учетную запись. Changing the default configuration could hinder future scenarios that rely on this account.

    Учетные записи локальной системы по умолчанию Default local system accounts

    Администратор SYSTEM

    Учетная запись SYSTEM используется операционной системой и службами, работающими под управлением Windows. The SYSTEM account is used by the operating system and by services that run under Windows. В операционной системе Windows существует множество служб и процессов, которые должны быть доступны для внутреннего входа, например во время установки Windows. There are many services and processes in the Windows operating system that need the capability to sign in internally, such as during a Windows installation. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя системной учетной записи. The SYSTEM account was designed for that purpose, and Windows manages the SYSTEM account’s user rights. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей и не может быть добавлена ни в одну из групп. It is an internal account that does not show up in User Manager, and it cannot be added to any groups.

    С другой стороны, учетная запись SYSTEM появляется на томе с файловой системой NTFS в диспетчере файлов в разделе » разрешения » в меню » Безопасность «. On the other hand, the SYSTEM account does appear on an NTFS file system volume in File Manager in the Permissions portion of the Security menu. По умолчанию СИСТЕМной учетной записи предоставлены разрешения на полный доступ ко всем файлам на томе NTFS. By default, the SYSTEM account is granted Full Control permissions to all files on an NTFS volume. Здесь у учетной записи SYSTEM есть те же функциональные права и разрешения, что и для учетной записи администратора. Here the SYSTEM account has the same functional rights and permissions as the Administrator account.

    Примечание . чтобы предоставить администраторам учетных записей разрешения на доступ к файлам, они не могут неявно дать разрешение на системную учетную запись. Note To grant the account Administrators group file permissions does not implicitly give permission to the SYSTEM account. Разрешения системной учетной записи можно удалить из файла, но мы не рекомендуем удалять их. The SYSTEM account’s permissions can be removed from a file, but we do not recommend removing them.

    СЕТЕВАЯ СЛУЖБА NETWORK SERVICE

    Учетная запись NETWORK SERVICE — это предварительно определенная локальная учетная запись, используемая диспетчером управления службами (SCM). The NETWORK SERVICE account is a predefined local account used by the service control manager (SCM). Служба, которая запускается в контексте учетной записи NETWORK SERVICE, предоставляет учетные данные компьютера удаленным серверам. A service that runs in the context of the NETWORK SERVICE account presents the computer’s credentials to remote servers. Дополнительные сведения можно найти в разделе учетная запись NetworkService. For more information, see NetworkService Account.

    ЛОКАЛЬНАЯ СЛУЖБА LOCAL SERVICE

    Учетная запись LOCAL SERVICE — это предварительно определенная локальная учетная запись, используемая диспетчером управления службами. The LOCAL SERVICE account is a predefined local account used by the service control manager. У него есть минимальные полномочия на локальном компьютере, и вы предоставляете анонимные учетные данные в сети. It has minimum privileges on the local computer and presents anonymous credentials on the network. Дополнительные сведения можно найти в разделе учетная запись LocalService. For more information, see LocalService Account.

    Управление локальными учетными записями пользователей How to manage local user accounts

    Локальные учетные записи пользователей по умолчанию и созданные локальные учетные записи пользователей находятся в папке Users. The default local user accounts, and the local user accounts that you create, are located in the Users folder. Папка «Пользователи» находится в разделе «Локальные пользователи и группы». The Users folder is located in Local Users and Groups. Дополнительные сведения о том, как создавать локальные учетные записи пользователей и управлять ими, можно найти в разделе Управление локальными пользователями. For more information about creating and managing local user accounts, see Manage Local Users.

    Вы можете использовать локальные пользователи и группы, чтобы назначать права и разрешения на локальном сервере и только на этом сервере, чтобы ограничить возможности локальных пользователей и групп выполнять определенные действия. You can use Local Users and Groups to assign rights and permissions on the local server, and that server only, to limit the ability of local users and groups to perform certain actions. Право предоставляет пользователю возможность выполнять на сервере определенные действия, такие как архивация файлов и папок или завершение работы сервера. A right authorizes a user to perform certain actions on a server, such as backing up files and folders or shutting down a server. Разрешение на доступ — это правило, связанное с объектом, как правило, файл, папка или принтер. An access permission is a rule that is associated with an object, usually a file, folder, or printer. Она определяет, какие пользователи могут иметь доступ к объекту на сервере, и в чем же способ. It regulates which users can have access to an object on the server and in what manner.

    Вы не можете использовать локальные пользователи и группы на контроллере домена. You cannot use Local Users and Groups on a domain controller. Однако вы можете использовать локальные пользователи и группы на контроллере домена для назначения удаленных компьютеров, которые не являются контроллерами домена в сети. However, you can use Local Users and Groups on a domain controller to target remote computers that are not domain controllers on the network.

    Обратите внимание на то, что для управления пользователями и группами в ActiveDirectory используются пользователи и компьютеры ActiveDirectory. Note You use ActiveDirectory Users and Computers to manage users and groups in ActiveDirectory.

    Вы также можете управлять локальными пользователями с помощью NET. EXE для пользователей и управления локальными группами с помощью NET. EXE LOCALGROUP или с помощью различных командлетов PowerShell и других технологий написания сценариев. You can also manage local users by using NET.EXE USER and manage local groups by using NET.EXE LOCALGROUP, or by using a variety of PowerShell cmdlets and other scripting technologies.

    Ограничение и Защита локальных учетных записей с правами администратора Restrict and protect local accounts with administrative rights

    Администратор может использовать несколько подходов, чтобы предотвратить использование злоумышленниками заимствованных учетных данных, таких как украденный пароль или хешированный пароль, для локальной учетной записи на одном компьютере с правами администратора. Это называется также «боковой движением». An administrator can use a number of approaches to prevent malicious users from using stolen credentials, such as a stolen password or password hash, for a local account on one computer from being used to authenticate on another computer with administrative rights; this is also called «lateral movement».

    Самый простой подход — войти на компьютер с помощью обычной учетной записи пользователя вместо учетной записи администратора, например для просмотра Интернета, отправки электронной почты или использования текстового процессора. The simplest approach is to sign in to your computer with a standard user account, instead of using the Administrator account for tasks, for example, to browse the Internet, send email, or use a word processor. Если вы хотите выполнить административную задачу (например, чтобы установить новую программу или изменить параметры, влияющие на других пользователей), вам не нужно переключаться на учетную запись администратора. When you want to perform an administrative task, for example, to install a new program or to change a setting that affects other users, you don’t have to switch to an Administrator account. Вы можете использовать контроль учетных записей (UAC), чтобы запрашивать разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе. You can use User Account Control (UAC) to prompt you for permission or an administrator password before performing the task, as described in the next section.

    Ниже перечислены другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора. The other approaches that can be used to restrict and protect user accounts with administrative rights include:

    Применяйте ограничения локальной учетной записи для удаленного доступа. Enforce local account restrictions for remote access.

    Запретите вход в сеть для всех учетных записей локальных администраторов. Deny network logon to all local Administrator accounts.

    Создавайте уникальные пароли для локальных учетных записей с правами администратора. Create unique passwords for local accounts with administrative rights.

    Каждый из этих подходов описан в следующих разделах. Each of these approaches is described in the following sections.

    Примечание . Эти подходы не применяются, если отключены все административные локальные учетные записи. Note These approaches do not apply if all administrative local accounts are disabled.

    Использование ограничений локальной учетной записи для удаленного доступа Enforce local account restrictions for remote access

    Контроль учетных записей (UAC) — это функция безопасности в Windows, которая использовалась в Windows Server2008 и в Виндовсвиста, а также на операционных системах, на которые ссылается список к . The User Account Control (UAC) is a security feature in Windows that has been in use in Windows Server2008 and in WindowsVista, and the operating systems to which the Applies To list refers. Контроль учетных записей позволяет всегда управлять компьютером, выключаясь в том случае, если программа вносит изменения, требующие разрешения на уровне администратора. UAC enables you to stay in control of your computer by informing you when a program makes a change that requires administrator-level permission. UAC работает путем настройки уровня разрешений для учетной записи пользователя. UAC works by adjusting the permission level of your user account. По умолчанию контроль учетных записей настроен таким образом, что приложение пытается внести изменения на компьютере, но вы можете изменить частоту уведомления о контроле учетных записей. By default, UAC is set to notify you when applications try to make changes to your computer, but you can change how often UAC notifies you.

    UAC делает так, что учетная запись с правами администратора будет рассматриваться как стандартная учетная запись пользователя, не обладающего правами администратора, пока не будут запрошены и утверждены все права, также называемые повышением прав. UAC makes it possible for an account with administrative rights to be treated as a standard user non-administrator account until full rights, also called elevation, is requested and approved. Например, контроль учетных записей позволяет администратору вводить учетные данные во время сеанса пользователя, не обладающего администратором, для выполнения часто выполняемых административных задач без необходимости переключения пользователей, выхода из нее или использования команды выполнить как . For example, UAC lets an administrator enter credentials during a non-administrator’s user session to perform occasional administrative tasks without having to switch users, sign out, or use the Run as command.

    Кроме того, контроль учетных записей может требовать, чтобы администраторы специально утверждали приложения, которые производят изменения на уровне системы, прежде чем эти приложения получат разрешение на выполнение, даже в пользовательском сеансе администратора. In addition, UAC can require administrators to specifically approve applications that make system-wide changes before those applications are granted permission to run, even in the administrator’s user session.

    Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит с удаленного компьютера, используя вход в сеть (например, с помощью команды NET. EXE). For example, a default feature of UAC is shown when a local account signs in from a remote computer by using Network logon (for example, by using NET.EXE USE). В этом случае ему выдается Стандартный маркер пользователя без прав администратора, но без возможности запросить или получить повышение прав. In this instance, it is issued a standard user token with no administrative rights, but without the ability to request or receive elevation. Следовательно, локальные учетные записи, которые выполняют вход с помощью сетевого входа, не могут получить доступ к общим ресурсам, таким как C $ или ADMIN $, или выполнить удаленное администрирование. Consequently, local accounts that sign in by using Network logon cannot access administrative shares such as C$, or ADMIN$, or perform any remote administration.

    Дополнительные сведения об UAC можно найти в разделе Управление учетными записями пользователей. For more information about UAC, see User Account Control.

    В приведенной ниже таблице указаны параметры групповой политики и реестра, которые используются для ограничения локальных учетных записей для удаленного доступа. The following table shows the Group Policy and registry settings that are used to enforce local account restrictions for remote access.

    Параметр Setting

    Подробное описание Detailed Description

    Расположение политики Policy location

    Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

    Параметр политики Policy setting

    Расположение политики Policy location

    Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

    Параметр политики Policy setting

    Раздел реестра Registry key

    HKEY_LOCAL_MACHINE \Софтваре\микрософт\виндовс\куррентверсион\полиЦиес\систем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

    Имя значения в реестре Registry value name

    Тип значения в реестре Registry value type

    Данные значения реестра Registry value data

    Вы также можете принудительно использовать параметр по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемого ADMX в шаблонах безопасности. You can also enforce the default for LocalAccountTokenFilterPolicy by using the custom ADMX in Security Templates.

    Использование ограничений локальной учетной записи для удаленного доступа To enforce local account restrictions for remote access

    Запустите консоль управления групповыми политиками (GPMC). Start the Group Policy Management Console (GPMC).

    В дереве и объекты групповой политики , где лес — это имя леса, а домен — это имя домена, в котором вы хотите настроить объект групповой политики (GPO). In the console tree, expand \Domains\ , and then Group Policy Objects where forest is the name of the forest, and domain is the name of the domain where you want to set the Group Policy Object (GPO).

    В дереве консоли щелкните правой кнопкой мыши объекты групповой политики, а затем > — создать. In the console tree, right-click Group Policy Objects, and > New.

    В диалоговом окне Создание объекта групповой политики введите и > нажмите кнопку ОК , где GPO \ _name — имя нового объекта групповой политики. In the New GPO dialog box, type , and > OK where gpo_name is the name of the new GPO. Имя GPO указывает на то, что объект групповой политики используется для ограничения прав локального администратора на другой компьютер. The GPO name indicates that the GPO is used to restrict local administrator rights from being carried over to another computer.

    В области сведений щелкните правой кнопкой мыши и > выберите пункт изменить. In the details pane, right-click , and > Edit.

    Убедитесь, что функция UAC включена, а ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив указанные ниже действия. Ensure that UAC is enabled and that UAC restrictions apply to the default Administrator account by doing the following:

    Перейдите на компьютер конфигуратион\виндовс сеттингс\секурити сеттингс\локал полиЦиес\ и > Параметры безопасности. Navigate to the Computer Configuration\Windows Settings\Security Settings\Local Policies\, and > Security Options.

    > Дважды щелкните элемент контроль учетных записей, чтобы все администраторы были включены в режим > **** одобрения администратором. **** Double-click User Account Control: Run all administrators in Admin Approval Mode > Enabled > OK.

    Дважды щелкните элемент Управление учетными записями пользователей: режим одобрения администратором для встроенной учетной записи > администратора включена > . Double-click User Account Control: Admin Approval Mode for the Built-in Administrator account > Enabled > OK.

    Убедитесь, что ограничения локальной учетной записи применяются к сетевым интерфейсам, выполнив указанные ниже действия. Ensure that the local account restrictions are applied to network interfaces by doing the following:

    Перейдите к параметрам компьютера конфигуратион\преференцес и Windows, > а затем разделу Registry. Navigate to Computer Configuration\Preferences and Windows Settings, and > Registry.

    Щелкните правой кнопкой мыши раздел реестраи > Новый > элемент реестра. Right-click Registry, and > New > Registry Item.

    В диалоговом окне Создание свойств в реестре на вкладке Общие измените значение в поле действие , чтобы заменитьего. In the New Registry Properties dialog box, on the General tab, change the setting in the Action box to Replace.

    Убедитесь, что в поле куст задано значение hKey \ _LOCAL \ _MACHINE. Ensure that the Hive box is set to HKEY_LOCAL_MACHINE.

    Нажмите кнопку (. ), перейдите в следующее место, где указан путь к > разделу Выбор : софтваре\микрософт\виндовс\куррентверсион\полиЦиес\систем. Click (), browse to the following location for Key Path > Select for: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

    В области имя значения введите параметр LocalAccountTokenFilterPolicy. In the Value name area, type LocalAccountTokenFilterPolicy.

    В поле тип значения в раскрывающемся списке выберите пункт reg \ _DWORD , чтобы изменить значение. In the Value type box, from the drop-down list, select REG_DWORD to change the value.

    Убедитесь, что в поле значение задано значение . In the Value data box, ensure that the value is set to .

    Проверьте конфигурацию и > нажмите кнопку ОК. Verify this configuration, and > OK.

    Свяжите объект групповой политики с первым организационным подразделением (OU), выполнив указанные ниже действия. Link the GPO to the first Workstations organizational unit (OU) by doing the following:

    Перейдите \домаинс\ \ау путь. Navigate to the \Domains\ \OU path.

    Щелкните подразделение рабочей станции правой кнопкой мыши и > свяжите существующий объект групповой политики. Right-click the Workstations OU, and > Link an existing GPO.

    Выберите только что созданный объект групповой политики и > нажмите кнопку ОК. Select the GPO that you just created, and > OK.

    Тестирование функциональных возможностей корпоративных приложений на рабочих станциях в этом первом подразделении и устранение проблем, связанных с новой политикой. Test the functionality of enterprise applications on the workstations in that first OU and resolve any issues caused by the new policy.

    Создавайте ссылки на все подразделения, содержащие рабочие станции. Create links to all other OUs that contain workstations.

    Создавайте ссылки на все другие подразделения, содержащие серверы. Create links to all other OUs that contain servers.

    Запретить вход в сеть для всех учетных записей локальных администраторов Deny network logon to all local Administrator accounts

    Запрещение локальных учетных записей возможность выполнения входов по сети может препятствовать повторному использованию хэша пароля локальной учетной записи при атаке злоумышленника. Denying local accounts the ability to perform network logons can help prevent a local account password hash from being reused in a malicious attack. Эта процедура помогает предотвратить боковой движение, гарантируя, что учетные данные локальных учетных записей, заимствованных из скомпрометированной операционной системы, нельзя использовать для взлома дополнительных компьютеров, использующих одни и те же учетные данные. This procedure helps to prevent lateral movement by ensuring that the credentials for local accounts that are stolen from a compromised operating system cannot be used to compromise additional computers that use the same credentials.

    Примечание . чтобы выполнить эту процедуру, необходимо сначала определить имя локальной учетной записи администратора по умолчанию, которая не является именем пользователя по умолчанию, а также другими учетными записями, входящими в локальную группу администраторов. Note In order to perform this procedure, you must first identify the name of the local, default Administrator account, which might not be the default user name «Administrator», and any other accounts that are members of the local Administrators group.

    В следующей таблице перечислены параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов. The following table shows the Group Policy settings that are used to deny network logon for all local Administrator accounts.

    Параметр Setting

    Подробное описание Detailed Description

    Расположение политики Policy location

    Конфигурация компьютера \ параметры безопасности \ локальные политики ПолиЦиес\усер назначение прав Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

    Параметр политики Policy setting

    Локальная учетная запись и член группы администраторов Local account and member of Administrators group

    Расположение политики Policy location

    Конфигурация компьютера \ параметры безопасности \ локальные политики ПолиЦиес\усер назначение прав Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

    Параметр политики Policy setting

    Локальная учетная запись и член группы администраторов Local account and member of Administrators group

    Чтобы запретить вход в сеть для всех учетных записей локального администратора To deny network logon to all local administrator accounts

    Запустите консоль управления групповыми политиками (GPMC). Start the Group Policy Management Console (GPMC).

    В дереве и объект групповой политики, где лес — это имя леса, а домен — это имя домена, в котором вы хотите настроить объект групповой политики (GPO). In the console tree, expand \Domains\ , and then Group Policy Objects, where forest is the name of the forest, and domain is the name of the domain where you want to set the Group Policy Object (GPO).

    В дереве консоли щелкните правой кнопкой мыши объекты групповой политики, а затем > — создать. In the console tree, right-click Group Policy Objects, and > New.

    В диалоговом окне Создание объекта групповой политики введите ), а затем нажмите > кнопку ОК , где имя объекта групповой политики ( GPO \ _name ) указывает на то, что оно используется для ограничения локальных административных учетных записей с интерактивным входом на компьютер. In the New GPO dialog box, type , and then > OK where gpo_name is the name of the new GPO indicates that it is being used to restrict the local administrative accounts from interactively signing in to the computer.

    В области сведений щелкните правой кнопкой мыши и > выберите пункт изменить. In the details pane, right-click , and > Edit.

    Настройте права пользователя таким образом, чтобы запретить вход в сеть для административных локальных учетных записей. Configure the user rights to deny network logons for administrative local accounts as follows:

    Перейдите на компьютер конфигуратион\виндовс сеттингс\секурити сеттингс\ и > Назначение прав пользователей. Navigate to the Computer Configuration\Windows Settings\Security Settings\, and > User Rights Assignment.

    Дважды щелкните запретить доступ к компьютеру из сети. Double-click Deny access to this computer from the network.

    Щелкните Добавить пользователя или группу, введите Локальная учетная запись и член группы Администраторыи > нажмите кнопку ОК. Click Add User or Group, type Local account and member of Administrators group, and > OK.

    Настройте права пользователей на запрет входа на удаленные рабочие столы для локальных учетных записей, выполнив указанные ниже действия. Configure the user rights to deny Remote Desktop (Remote Interactive) logons for administrative local accounts as follows:

    Перейдите в раздел Параметры компьютера Конфигуратион\полиЦиес\виндовс и локальные политики, а затем щелкните Назначение прав пользователей. Navigate to Computer Configuration\Policies\Windows Settings and Local Policies, and then click User Rights Assignment.

    Дважды щелкните отказать вход с помощью служб удаленных рабочих столов. Double-click Deny log on through Remote Desktop Services.

    Щелкните Добавить пользователя или группу, введите Локальная учетная запись и член группы Администраторыи > нажмите кнопку ОК. Click Add User or Group, type Local account and member of Administrators group, and > OK.

    Свяжите объект групповой политики с одним из подразделений первой рабочей станции следующим образом: Link the GPO to the first Workstations OU as follows:

    Перейдите \домаинс\ \ау путь. Navigate to the \Domains\ \OU path.

    Щелкните подразделение рабочей станции правой кнопкой мыши и > свяжите существующий объект групповой политики. Right-click the Workstations OU, and > Link an existing GPO.

    Выберите только что созданный объект групповой политики и > нажмите кнопку ОК. Select the GPO that you just created, and > OK.

    Тестирование функциональных возможностей корпоративных приложений на рабочих станциях в этом первом подразделении и устранение проблем, связанных с новой политикой. Test the functionality of enterprise applications on the workstations in that first OU and resolve any issues caused by the new policy.

    Создавайте ссылки на все подразделения, содержащие рабочие станции. Create links to all other OUs that contain workstations.

    Создавайте ссылки на все другие подразделения, содержащие серверы. Create links to all other OUs that contain servers.

    Примечание . Если имя пользователя, используемое по умолчанию для учетной записи администратора, отличается на рабочих станциях и серверах, может потребоваться создание отдельного объекта групповой политики. Note You might have to create a separate GPO if the user name of the default Administrator account is different on workstations and servers.

    Создание уникальных паролей для локальных учетных записей с правами администратора Create unique passwords for local accounts with administrative rights

    Пароли должны быть уникальными для каждой отдельной учетной записи. Passwords should be unique per individual account. Несмотря на то, что это верно для отдельных учетных записей пользователей, многие компании имеют одинаковые пароли для обычных локальных учетных записей, например учетную запись администратора по умолчанию. While this is generally true for individual user accounts, many enterprises have identical passwords for common local accounts, such as the default Administrator account. Это также случается, если при развертывании операционной системы одни и те же пароли используются для локальных учетных записей. This also occurs when the same passwords are used for local accounts during operating system deployments.

    Пароли, которые не изменяются или изменяются синхронно, чтобы они были идентичными, добавьте значительный риск для организаций. Passwords that are left unchanged or changed synchronously to keep them identical add a significant risk for organizations. При случайном использовании пароля снижается риск «Pass-Hash», поскольку для локальных учетных записей используются разные пароли, что предотвращает использование злоумышленниками хэша пароля этих учетных записей для взлома других компьютеров. Randomizing the passwords mitigates «pass-the-hash» attacks by using different passwords for local accounts, which hampers the ability of malicious users to use password hashes of those accounts to compromise other computers.

    Пароли можно поменять случайным образом. Passwords can be randomized by:

    Приобретите и реализуйте корпоративный инструмент для выполнения этой задачи. Purchasing and implementing an enterprise tool to accomplish this task. Эти средства обычно называются инструментами для управления привилегированными паролями. These tools are commonly referred to as «privileged password management» tools.

    Настройка пароля локального администратора (лапс) для выполнения этой задачи. Configuring Local Administrator Password Solution (LAPS) to accomplish this task.

    Создание и реализация настраиваемого сценария или решения для случайной настройки паролей локальных учетных записей. Creating and implementing a custom script or solution to randomize local account passwords.

    См. также See also

    Следующие ресурсы содержат дополнительные сведения о технологиях, связанных с локальными учетными записями. The following resources provide additional information about technologies that are related to local accounts.

    источник

    Атрибут Attribute Значение Value