Добавление локальных пользователей
Оснастка lusrmgr.msc примечательна простотой и быстротой создания новых локальных пользователей. Так, в Win8.1 и Win10 новые пользователи создаются только в современных системных параметрах, где этот процесс сопровождается волокитой с отказом от способа входа нового пользователя в систему с подключением к аккаунту Microsoft, если мы хотим создать для него локальную «учётку». Новый пользователь сам может решить, хочет ли он подключать аккаунт Microsoft или нет, и если хочет, то он сам может это сделать в системных настройках, даже если у него будут только права стандартного пользователя. В оснастке же lusrmgr.msc всё делается на раз-два: на пустом месте в разделе «Пользователи» жмём контекстное меню, выбираем «Новый пользователь».
Вписываем имя пользователя. Далее можем установить для него пароль, а можем ничего не устанавливать, активная по умолчанию опция требования смены пароля при первом заходе этого пользователя даст ему возможность самому установить себе пароль. Мы также можем убрать галочку этой опции, тогда новая «учётка» будет незапаролена, и пользователь в любой момент позднее, если посчитает нужным, установит себе пароль в системных настройках.
Вот, собственно, и все телодвижения, если нам надо создать локального пользователя со стандартными правами. Если же учётную запись пользователю надо создать с правами администратора, тогда делаем на этом пользователе двойной клик. Откроется окошко свойств пользователя, в нём переходим на вкладку членства в группах. Удаляем группу «Пользователи».
Жмём «Добавить». В появившемся окошке выбора групп нажимаем «Дополнительно».
Далее – «Поиск». И кликаем «Администраторы».
Жмём «Ок».
Всё: у пользователя есть администраторские права. Теперь просто нажимаем «Применить».
Как удалить учетную запись компьютера в AD
Важно периодически удалять старые компьютеры из домена, чтобы избежать беспорядка в отчетах WSUS и применения политик GPO. Существует несколько способов добиться этого
Удаление учетной записи компьютера из AD с помощью ADUC
Запустите ADUC (dsa.msc).
Перейдите в OU, содержащую нужные компьютеры, в меню Action выберите Find. Введите имя компьютера в поле Name и нажмите Find now… В результате поиска, щелкните правой кнопкой мыши на компьютере, который вы хотите удалить и выберете опцию Delete.
Нажмите Yes в окне подтверждения. Если после этого вы получите следующую ошибку:
Снова щелкните на компьютер правой кнопкой мыши, перейдите в Properties -> Object снимите флажок «“Protect object from accidental deletion» и выполните операцию удаления снова.
Удаление учетной записи компьютера из AD с помощью ADAC
Запустите ADAC (dsac.exe). Переключите левую панель в Tree view и выделите нужную OU. Введите имя компьютера в панели Filter и нажмите Enter. Выберите компьютер для удаления в результатах поиска, щелкните его правой кнопкой мыши и выберите Delete. Нажмите Yes для подтверждения.
Если вы получите сообщение об ошибке:
Щелкните правой кнопкой мыши на учетную запись компьютера ->Properties и снимите флажок » Protect from accidental deletion».
После этого повторите процесс удаления.
Удаление учетной записи компьютера из AD с помощью cmd.exe
Для этой задачи нам понадобится dsrm.exe. Используйте его со следующими параметрами для удаления учетной записи компьютера, в нашем случае это WKS033.
Удаление учетной записи компьютера из AD с помощью Windows PowerShell
Эту задачу также можно легко выполнить с помощью Powershell, вот код для удаления учетной записи компьютера. В нашем примере имя компьютера WKS033
См. Список активных учетных записей пользователей на экране входа
Очевидный и самый простой способ — посмотреть на экран входа в систему непосредственно перед входом в Windows. На этом экране должны отображаться все активные (и не скрытые) учетные записи пользователей, которые существуют в Windows. Если вы используете Windows 10, этот список отображается в правом нижнем углу экрана входа в систему .
Если вы используете Windows 7, все активные учетные записи пользователей должны отображаться спереди и по центру.
То же самое верно при использовании экрана входа в Windows 8.1.
Недостатком этого метода является то, что вы не можете видеть скрытые или отключенные учетные записи пользователей.
См. Список всех учетных записей пользователей с помощью команды Net User в Powershell или CMD.
Это работает как в командной строке, так и в Powershell. Откройте приложение, которое вы предпочитаете, а затем введите net user и нажмите Enter . Эта команда выводит список всех учетных записей пользователей Windows, включая скрытые или отключенные учетные записи. Эти учетные записи пользователей перечислены с их внутренним именем, которое Windows использует за кулисами, а не с полным отображаемым именем, которое вы видите при входе в Windows.
Вы можете сохранить этот список в текстовом файле, который можно открыть с помощью Блокнота. Введите net user> filename.txt, и файл с указанным вами именем будет создан в «C: \ Users \ Your User Name».
Если вы хотите создать текстовый файл в определенном месте, введите net user> «path \ filename.txt » и нажмите Enter .
Уловка в том, что вы можете использовать эту команду для поиска информации о конкретной учетной записи пользователя. Введите имя пользователя net user и нажмите Enter . Затем Windows отображает полезную информацию об этой учетной записи пользователя, например, когда пароль был установлен в последний раз, когда он истекает (если он установлен, срок действия), группы, в которые он входит, и многое другое.
Если вы хотите узнать больше об этой команде и всех ее параметрах, перейдите на эту страницу документации: Net user.
Запретить запуск определенных приложений
Групповая политика также позволяет создать список приложений, чтобы предотвратить их запуск. Он идеально подходит для того, чтобы пользователи не тратили время на известные приложения. Перейдите в указанное ниже место и откройте опцию Не запускать указанные приложения Windows.
Конфигурация пользователя → Административные шаблоны → Система
Включите эту опцию и нажмите кнопку Показать ниже, чтобы начать создание списка приложений, которые вы хотите заблокировать.
Чтобы создать список, вы должны ввести имя исполняемого файла приложения, чтобы иметь возможность заблокировать его; тот, у которого .exe в конце, например, CCleaner.exe, CleanMem.exe или launcher.exe. Лучший способ найти точное имя исполняемого файла приложения – это найти папку приложения в проводнике Windows и скопировать точное имя исполняемого файла (вместе с его расширением .exe).
Введите имя исполняемого файла в список и нажмите ОК, чтобы начать его блокировку.
Управление пользователями
Какие возможности по управлению учётными записями локальных пользователей нам доступны в lusrmgr.msc? Как и в других системных настройках Windows, сами обладая правами администратора, можем пользователей удалять, переименовывать, менять им пароль, менять тип «учётки» со стандартного пользователя на администратора и наоборот. Для использования этих возможностей жмём контекстное меню на нужном пользователе и выбираем что нам надо.
Оснастка lusrmgr.msc позволяет удалять самого пользователя, но она не производит удаление файлов его пользовательского профиля на диске С. Эти файлы продолжают храниться в его профильной папке по пути «C:\Users». Если удалённому пользователю ничего не нужно из содержимого его профильной папки, можем зайти по этому пути и удалить эту папку, дабы она не занимала место на диске С.
Есть в lusrmgr.msc и такие функции, которые нам недоступны при использовании иных системных настроек Windows. В свойствах пользователя, в первой вкладке «Общие» у нас будут такие возможности как: установка требования смены пароля при новом заходе пользователя в систему, установка запрета смены пароля (для локальных «учёток»), задействование срока ограничения пароля, отключение и разблокировка «учётки».
С первыми двумя возможностями всё и так ясно, а что значат три последние? Если не будет активна опция неограниченного срока действия пароля, пользователь вынужден будет его менять через каждые 42 дня. При необходимости эти 42 дня можно сменить на любой иной срок, но делается это уже в локальных групповых политиках, в их редакторе gpedit.msc.
Отключение «учётки» — это её временное удаление с экрана блокировки, из меню «Пуск», из видимости прочего системного функционала и сторонних программ. Но отключённый пользователь на удаляется навсегда: его профильная папка хранится на диске С, а учётная запись может быть включена в любой нужный момент.
Разблокировка «учётки» — это снятие её блокировки в результате достижения граничного числа попыток ввода пароля за определённый промежуток времени при входе пользователя в систему. По умолчанию это 3 попытки в течение 30 минут. Если за это время будет произведено больше попыток ввода неверного пароля, система заблокирует возможность новых попыток входа на какое-то время, по умолчанию это 30 минут. И вот чтобы заблокированный пользователь мог совершить очередную попытку входа в систему раньше времени, в его свойствах в оснастке lusrmgr.msc любой другой пользователь-администратор может убрать галочку «Заблокировать учётную запись». При необходимости настройки блокировки учётных записей можно изменить, и это делается, опять же, в редакторе gpedit.msc.
Особенности при работе с учётными записями Microsoft
Возможности lusrmgr.msc по управлению учётными записями применимы как к локальным, так и к тем, что в Windows 8.1 и 10 подключаются к интернет-аккаунту Microsoft. Последние в любом случае являют собой первично локальную «учётку», а аккаунт Microsoft – это уже как дополнительные возможности. Не сможем выполнить лишь те операции, которые по условию возможны только в веб-интерфейсе личного аккаунта Microsoft пользователя.
Запретить доступ к Панели управления
Панель управления – это центр всех настроек Windows, как безопасности, так и удобства использования. Однако, эти настройки могут оказаться действительно плохими в неопытных руках. Если компьютер будет использовать начинающий пользователь или вы не хотите, чтобы кто-то вмешивался в конфиденциальные настройки, вам определенно следует запретить доступ к Панели управления.
Для этого перейдите в указанное ниже место в редакторе групповой политики и дважды щелкните Запретить доступ к панели управления.
Конфигурация пользователя → Административные шаблоны → Панель управления
Здесь выберите опцию Включено, чтобы запретить доступ к Панели управления. Теперь опция Панели управления будет удалена из меню «Пуск», и никто не сможет получить к ней доступ из любого места, включая диалоговое окно «Выполнить».
Как создать учетную запись компьютера в AD
Давайте создадим учетную запись компьютера, используя несколько методов. Эта учетная запись может быть использована для присоединения к ней устройства.
Создание учетной записи компьютера с помощью ADUC
Запустите ADUC (dsa.msc).
Перейдите к OU, в которой вы хотите хранить такие объекты, щелкните правой кнопкой мыши на этой OU -> New-> Computer:
Или вы можете сделать это, нажав на Action -> New -> Computer.
В окне New Object – Computer введите имя компьютера и имя pre Windows 2000 в соответствии с вашей политикой именования. Выберите, какая группа может ввести эту машину в домен и нажмите OK.
Поздравляю учетная запись компьютера создана!
Создание учетной записи компьютера с помощью ADAC
Запустите ADAC(dsac.exe), щелкните правой кнопкой мыши на имени домена, выберите New->Computer. Появится окно Create Computer, где вам нужно ввести имя компьютера, имя NetBIOS, в соответствии с вашей политикой именования. Укажите OU, где вы хотите хранить компьютер, нажав на Change… Вы также можете указать, какая группа может ввести этот компьютер в домен и защитить его от удаления. В конце нажмите OK.
Создание учетной записи компьютера с помощью Cmd.exe
Для этой задачи нам необходимо использовать dsadd.exe. Используйте следующую команду для создания объекта компьютера в Active Directory:
Создание учетной записи компьютера с помощью PowerShell
Используйте следующие строки кода PowerShell для создания учетной записи компьютера с именем «WKS033» в домене office.local.
Отслеживайте вход в аккаунт
С помощью групповой политики вы можете заставить Windows записывать все успешные и неудачные попытки входа на ПК с любой учетной записи. Вы можете использовать такую информацию, чтобы отслеживать, кто входит в систему на ПК и пытался ли кто-то войти в систему или нет.
В редакторе групповой политики перейдите в указанное ниже место и дважды щелкните Аудит событий входа в систему.
Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита
Здесь установите флажки рядом с вариантами Успех и Отказ. Когда вы нажмете ОК, Windows начнет регистрировать входы в систему на ПК.
Для просмотра этих журналов вам потребуется доступ к другому полезному инструменту Windows – Windows Event Viewer. Снова откройте диалоговое окно «Выполнить» и введите в нём eventvwr, чтобы открыть средство просмотра событий Windows.
Здесь разверните «Журналы Windows», а затем выберите в нём опцию «Безопасность». На средней панели вы должны увидеть все недавние события. Пусть вас не смущают все эти события, вам просто нужно найти успешные и неудачные события входа в систему из этого списка.
Успешные события входа в систему имеют идентификатор события: 4624, а неудачные – идентификатор события: 4625. Просто найдите эти идентификаторы событий, чтобы найти логины и увидеть точную дату и время входа.
Посмотреть список активных учетных записей пользователей, используя панель управления
Метод, который является менее вызывающим, но который также отображает меньше информации, включает в себя открытие панели управления. После запуска перейдите в раздел « Учетные записи пользователей» или « Учетные записи пользователей и семейная безопасность» в зависимости от имеющейся версии Windows.
Затем нажмите или коснитесь Учетные записи пользователей .
Теперь вы видите свою учетную запись, информацию о ней и несколько ссылок. Нажмите или коснитесь ссылки «Управление другой учетной записью».
Теперь вы видите активные, не скрытые учетные записи пользователей, которые существуют в Windows, и являются ли они локальными учетными записями, администраторами и т. Д.
С помощью этого метода вы не можете видеть скрытые или отключенные учетные записи пользователей.
Как вернуть скрытого пользователя на экран приветствия
Если в будущем нужно будет вновь отобразить скрытую учётную запись пользователя на экране приветствия, у вас есть два способа это сделать:
1. Измените значение параметра с «0» на «1»:
2. Удалите параметр с именем соответствующей учётной записи из реестра:
Если внести изменения в реестр не удаётся, читайте статью .
Для решения задач по управлению настройками операционной системы Windows необходимы привилегии администратора. Как правило, в системе существует учётная запись «Администратор» или «Administrator» в зависимости от языка системы, но эта запись может быть скрыта или отключена.
Как пользоваться скрытой учётной записью
Скрытая учётная запись остаётся активной, но с экрана приветствия войти в неё невозможно (другими словами, невозможен консольный доступ). Входить в скрытый аккаунт можно с помощью удалённого рабочего стола. Также, от имени скрытой учётной записи можно запускать любые приложения и апплеты. Для этого войдите в систему под другой учётной записью и используйте синтаксис runas /user: ().
Есть ещё один момент. При запуске операций, требующих повышения, из учётной записи простого пользователя система контроля UAC предлагает ввести пароль от существующего аккаунта администратора. Если учётная запись единственного администратора на компьютере была скрыта вышеописанным образом, то ввести его пароль будет невозможно.
Так выглядит запрос на повышение, когда в системе нет активных и не скрытых аккаунтов администраторов:
Как видно на картинке, поле для ввода пароля отсутствует и вводить пароль некуда. Кнопка Да
неактивна.
Поэтому, как мы и предупреждали в начале статьи, если вы скрыли всех администраторов в системе, то вам придётся .
Сокрытие учётной записи пользователя
1 Нажмите Win+R
.
2 Введите cmd
.
3 Нажмите Enter
или OK
:
4 Введите команду net users
.
5 Нажмите Enter
.
6 Скопируйте Имя
учётной записи, которую нужно скрыть. (как скопировать данные из командной строки)
7 Нажмите Win+R
.
8 Введите regedit
.
9 Нажмите Enter
или OK
:
10 Найдите раздел
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
11 Создайте раздел SpecialAccounts
:
12 В разделе SpecialAccounts
аналогичным образом cоздайте раздел UserList
:
Должен получиться следующий путь:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList
13 В разделе UserList
создайте новый параметр DWORD (32 бита)
:
14 В качестве названия параметра введите имя учётной записи, которую нужно скрыть с экрана приветствия. (В нашем примере мы будем скрывать пользователя ‘сайт’. Поэтому, даём такое же имя DWORD-параметру).
Оставьте значение «0» для сокрытия пользователя с экрана приветствия.
Для проверки результата перезагрузите компьютер. Как видно на картинке, указанный пользователь был скрыт с экрана приветствия:
Кто такой администратор
Виндовс поддерживает работу компьютера с несколькими пользователями. Это может быть несколько членов семьи или коллег по работе. Однако было бы очень неудобное, если бы каждый мог случайно или намеренно изменять настройки остальных людей, удалять чужие программы и файлы и так далее. С целью персонализации пользователей, каждый получает в свое распоряжение учетную запись, в рамках которой он будет работать.
В пределах аккаунта каждый может устанавливать и удалять программы, настраивать свою часть Windows. Помимо пользовательских учеток существует аккаунт администратора. Он обладает неограниченными правами и может вносить в работу системы изменения, затрагивающие всех пользователей компьютера.
Неправильная работа в данной учетной записи может привести к печальным последствиям: могут быть повреждены или удалены системные файлы Windows, записи реестра, отформатирован жесткий диск, поломан чей-то важный софт. Если у вашего компьютера есть администратор, входить под его записью категорически не рекомендуется.