Локальные учетные записиLocal Accounts

Область примененияApplies to

  • Windows 10Windows 10
  • WindowsServer2019Windows Server 2019
  • WindowsServer2016Windows Server 2016

В этом справочном разделе для ИТ-специалистов описаны локальные учетные записи по умолчанию для серверов, включая управление этими встроенными учетные записи на рядовом или standalone server.This reference topic for IT professionals describes the default local user accounts for servers, including how to manage these built-in accounts on a member or standalone server.

Об учетных записях локальных пользователейAbout local user accounts

Локальные учетные записи пользователей хранятся локально на сервере.Local user accounts are stored locally on the server. Этим учетным записям могут быть назначены права и разрешения на определенном сервере, но только на этом сервере.These accounts can be assigned rights and permissions on a particular server, but on that server only. Локальные учетные записи пользователей — это участников безопасности, которые используются для защиты и управления доступом к ресурсам на автономных или рядовых серверах для служб или пользователей.Local user accounts are security principals that are used to secure and manage access to the resources on a standalone or member server for services or users.

В этом разделе описываются следующие темы:This topic describes the following:

Сведения о директорах безопасности см. в подзагонах.For information about security principals, see Security Principals.

Локальные учетные записи пользователей по умолчаниюDefault local user accounts

Локальные учетные записи пользователей по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке Windows.The default local user accounts are built-in accounts that are created automatically when you install Windows.

После установки Windows локальные учетные записи пользователей по умолчанию нельзя удалить или удалить.After Windows is installed, the default local user accounts cannot be removed or deleted. Кроме того, локальные учетные записи пользователей по умолчанию не предоставляют доступ к сетевым ресурсам.In addition, default local user accounts do not provide access to network resources.

Локальные учетные записи пользователей по умолчанию используются для управления доступом к ресурсам локального сервера на основе прав и разрешений, которые назначены этой учетной записи.Default local user accounts are used to manage access to the local server’s resources based on the rights and permissions that are assigned to the account. Локальные учетные записи пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке "Пользователи".The default local user accounts, and the local user accounts that you create, are located in the Users folder. Папка "Пользователи" расположена в папке "Локальные пользователи и группы" в локальной консоли управления (MMC) "Управление компьютером".The Users folder is located in the Local Users and Groups folder in the local Computer Management Microsoft Management Console (MMC). Управление компьютером — это набор средств администрирования, которые можно использовать для управления одним локальным или удаленным компьютером.Computer Management is a collection of administrative tools that you can use to manage a single local or remote computer. Дополнительные сведения см. в разделе "Управление локальными учетной записью" далее в этой теме.For more information, see How to manage local accounts later in this topic.

Локальные учетные записи пользователей по умолчанию описаны в следующих разделах.Default local user accounts are described in the following sections.

Учетная запись администратораAdministrator account

Учетная запись локального администратора по умолчанию — это учетная запись системного администратора.The default local Administrator account is a user account for the system administrator. На каждом компьютере есть учетная запись администратора (SID S-1-5-домен-500, отображаемая имя "Администратор").Every computer has an Administrator account (SID S-1-5-domain-500, display name Administrator). Учетная запись администратора — это первая учетная запись, созданная во время установки Windows.The Administrator account is the first account that is created during the Windows installation.

Учетная запись администратора полностью контролирует файлы, каталоги, службы и другие ресурсы на локальном компьютере.The Administrator account has full control of the files, directories, services, and other resources on the local computer. Учетная запись администратора может создавать других локальных пользователей, назначать им права и назначать разрешения.The Administrator account can create other local users, assign user rights, and assign permissions. Учетная запись администратора может в любое время управлять локальными ресурсами, просто изменяя права и разрешения пользователей.The Administrator account can take control of local resources at any time simply by changing the user rights and permissions.

Учетную запись администратора по умолчанию нельзя удалить или заблокировать, но ее можно переименовать или отключить.The default Administrator account cannot be deleted or locked out, but it can be renamed or disabled.

В Windows 10 и Windows Server 2016 при установке Windows отключается встроенная учетная запись администратора и создается другая локализованная учетная запись, включаемая в группу администраторов.In Windows 10 and Windows Server 2016, Windows setup disables the built-in Administrator account and creates another local account that is a member of the Administrators group. Участники групп администраторов могут запускать приложения с повышенными разрешениями без использования параметра "Запуск от администратора".Members of the Administrators groups can run apps with elevated permissions without using the Run as Administrator option. Быстрое переключение пользователей более безопасно, чем использование Runas или повышения прав других пользователей.Fast User Switching is more secure than using Runas or different-user elevation.

Членство в группе учетных записейAccount group membership

По умолчанию учетная запись администратора устанавливается как член группы администраторов на сервере.By default, the Administrator account is installed as a member of the Administrators group on the server. Лучше всего ограничить количество пользователей в группе администраторов, так как члены группы администраторов на локальном сервере имеют разрешения на полный доступ на этом компьютере.It is a best practice to limit the number of users in the Administrators group because members of the Administrators group on a local server have Full Control permissions on that computer.

Учетную запись администратора нельзя удалить или удалить из группы администраторов, но ее можно переименовать.The Administrator account cannot be deleted or removed from the Administrators group, but it can be renamed.

Вопросы безопасностиSecurity considerations

Так как известно, что учетная запись администратора существует во многих версиях операционной системы Windows, по возможности отключать учетную запись администратора, чтобы злоумышленникам было сложнее получить доступ к серверу или клиентского компьютера.Because the Administrator account is known to exist on many versions of the Windows operating system, it is a best practice to disable the Administrator account when possible to make it more difficult for malicious users to gain access to the server or client computer.

Учетную запись администратора можно переименовать.You can rename the Administrator account. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злоумышленниками.However, a renamed Administrator account continues to use the same automatically assigned security identifier (SID), which can be discovered by malicious users. Дополнительные сведения о переименовании или отключке учетной записи пользователя см. в под названием "Отключение или активация локальной учетной записи пользователя и переименование локальной учетной записи пользователя".For more information about how to rename or disable a user account, see Disable or activate a local user account and Rename a local user account.

По соображениям безопасности для выполнения задач, которые требуют более высокого **** уровня прав, чем у стандартной учетной записи пользователя, используйте локализованную учетную запись (не администратора).As a security best practice, use your local (non-Administrator) account to sign in and then use Run as administrator to accomplish tasks that require a higher level of rights than a standard user account. Не используйте учетную запись администратора для входов на компьютер, если это не является полностью необходимым.Do not use the Administrator account to sign in to your computer unless it is entirely necessary. Дополнительные сведения см. в подпрограмме "Запуск программы с учетными данными администратора".For more information, see Run a program with administrative credentials.

Для сравнения, в клиентской операционной системе Windows пользователь с локальной учетной записью пользователя с правами администратора считается системным администратором клиентского компьютера.In comparison, on the Windows client operating system, a user with a local user account that has Administrator rights is considered the system administrator of the client computer. Первая локализованная учетная запись пользователя, созданная во время установки, помещается в локализованную группу администраторов.The first local user account that is created during installation is placed in the local Administrators group. Однако, когда несколько пользователей работают в качестве локальных администраторов, ИТ-персонал не может управлять этими пользователями или их клиентские компьютеры.However, when multiple users run as local administrators, the IT staff has no control over these users or their client computers.

В этом случае групповую политику можно использовать для обеспечения безопасности параметров, которые могут автоматически управлять использованием локальной группы администраторов на каждом сервере или клиентских компьютерах.In this case, Group Policy can be used to enable secure settings that can control the use of the local Administrators group automatically on every server or client computer. Дополнительные сведения о групповой политике см. в обзоре групповой политики.For more information about Group Policy, see Group Policy Overview.

Примечание.Note
Пустые пароли не допускаются в версиях, указанных в списке "Применяется к" в начале этой темы.Blank passwords are not allowed in the versions designated in the Applies To list at the beginning of this topic.

Важно.Important
Даже если учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру в безопасном режиме.Even when the Administrator account has been disabled, it can still be used to gain access to a computer by using safe mode. В консоли восстановления или в безопасном режиме учетная запись администратора автоматически включена.In the Recovery Console or in safe mode, the Administrator account is automatically enabled. При возобновлении нормальной работы он отключается.When normal operations are resumed, it is disabled.

Гостевая учетная записьGuest account

Гостевая учетная запись отключена по умолчанию при установке.The Guest account is disabled by default on installation. Гостевая учетная запись позволяет случайным или разным пользователям, у которых нет учетной записи на компьютере, временно войти на локальный сервер или клиентский компьютер с ограниченными правами пользователя.The Guest account lets occasional or one-time users, who do not have an account on the computer, temporarily sign in to the local server or client computer with limited user rights. По умолчанию гостевая учетная запись имеет пустой пароль.By default, the Guest account has a blank password. Так как гостевая учетная запись может предоставлять анонимный доступ, это является угрозой безопасности.Because the Guest account can provide anonymous access, it is a security risk. По этой причине лучше оставить гостевую учетную запись отключенной, если ее использование не является полностью необходимым.For this reason, it is a best practice to leave the Guest account disabled, unless its use is entirely necessary.

Членство в группе учетных записейAccount group membership

По умолчанию гостевая учетная запись является единственным членом группы "Гости" по умолчанию (SID S-1-5-32-546), которая позволяет пользователю войти на сервер.By default, the Guest account is the only member of the default Guests group (SID S-1-5-32-546), which lets a user sign in to a server. В некоторых случаях администратор, который является членом группы администраторов, может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.On occasion, an administrator who is a member of the Administrators group can set up a user with a Guest account on one or more computers.

Вопросы безопасностиSecurity considerations

При включив гостевую учетную запись, необходимо предоставить только ограниченные права и разрешения.When enabling the Guest account, only grant limited rights and permissions. Из соображений безопасности гостевую учетную запись не следует использовать по сети и делать доступной для других компьютеров.For security reasons, the Guest account should not be used over the network and made accessible to other computers.

Кроме того, гостевой пользователь в гостевой учетной записи не должен иметь возможность просматривать журналы событий.In addition, the guest user in the Guest account should not be able to view the event logs. После включения гостевой учетной записи лучше часто отслеживать гостевую учетную запись, чтобы другие пользователи не смогли использовать службы и другие ресурсы, например ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.After the Guest account is enabled, it is a best practice to monitor the Guest account frequently to ensure that other users cannot use services and other resources, such as resources that were unintentionally left available by a previous user.

Учетная запись HelpAssistant (установлена с помощью сеанса удаленной помощи)HelpAssistant account (installed with a Remote Assistance session)

Учетная запись HelpAssistant — это локализованная учетная запись по умолчанию, которая включена при запуске сеанса удаленной помощи.The HelpAssistant account is a default local account that is enabled when a Remote Assistance session is run. Эта учетная запись автоматически отключается, если запросы удаленной помощи не ожидаются.This account is automatically disabled when no Remote Assistance requests are pending.

HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленной помощи.HelpAssistant is the primary account that is used to establish a Remote Assistance session. Сеанс удаленной помощи используется для подключения к другому компьютеру под управлением операционной системы Windows и инициировался по приглашению.The Remote Assistance session is used to connect to another computer running the Windows operating system, and it is initiated by invitation. Для получения запрашиваемой удаленной помощи пользователь отправляет приглашение с компьютера по электронной почте или в файле пользователю, который может оказать помощь.For solicited remote assistance, a user sends an invitation from their computer, through e-mail or as a file, to a person who can provide assistance. После присоединения пользователя к сеансу удаленной помощи автоматически создается учетная запись HelpAssistant по умолчанию, которая предоставляет пользователю ограниченный доступ к компьютеру.After the user’s invitation for a Remote Assistance session is accepted, the default HelpAssistant account is automatically created to give the person who provides assistance limited access to the computer. Учетная запись HelpAssistant управляется службой диспетчера сеансов справки удаленного рабочего стола.The HelpAssistant account is managed by the Remote Desktop Help Session Manager service.

Вопросы безопасностиSecurity considerations

К ИД безопасности, относящийся к учетной записи HelpAssistant по умолчанию, относятся:The SIDs that pertain to the default HelpAssistant account include:

  • SID: S-1-5- < domain > -13, display name Terminal Server User.SID: S-1-5-<domain>-13, display name Terminal Server User. Эта группа включает всех пользователей, которые входят на сервер с включенными службами удаленных рабочих стола.This group includes all users who sign in to a server with Remote Desktop Services enabled. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих стола называются службами терминалов.Note that, in Windows Server 2008, Remote Desktop Services are called Terminal Services.

  • SID: S-1-5- < domain > -14, display name Remote Interactive Logon.SID: S-1-5-<domain>-14, display name Remote Interactive Logon. Эта группа включает всех пользователей, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу.This group includes all users who connect to the computer by using a remote desktop connection. Эта группа является подмножество интерактивной группы.This group is a subset of the Interactive group. Маркеры доступа, содержащие ИД безопасности удаленного интерактивного входов, также содержат интерактивный SID.Access tokens that contain the Remote Interactive Logon SID also contain the Interactive SID.

Для операционной системы Windows Server удаленная помощь является необязательным компонентом, который не устанавливается по умолчанию.For the Windows Server operating system, Remote Assistance is an optional component that is not installed by default. Прежде чем можно будет использовать удаленную помощь, необходимо установить ее.You must install Remote Assistance before it can be used.

Подробные сведения об атрибутах учетной записи HelpAssistant см. в следующей таблице.For details about the HelpAssistant account attributes, see the following table.

Атрибуты учетной записи HelpAssistantHelpAssistant account attributes

АтрибутAttribute ЗначениеValue

Well-Known SID/RIDWell-Known SID/RID

S-1-5- < domain > -13 (Terminal Server User), S-1-5- < domain > -14 (Remote Interactive Logon)S-1-5-<domain>-13 (Terminal Server User), S-1-5-<domain>-14 (Remote Interactive Logon)

ТипType

ПользовательUser

Контейнер по умолчаниюDefault container

CN=Users, DC= < domain > , DC=CN=Users, DC=<domain>, DC=

Члены по умолчаниюDefault members

НетNone

Член группы по умолчаниюDefault member of

Гости доменаDomain Guests

ГостиGuests

Защищено с помощью ADMINSDHOLDER?Protected by ADMINSDHOLDER?

НетNo

Безопасно ли перемещаться из контейнера по умолчанию?Safe to move out of default container?

Может быть перемещено, но это не рекомендуется.Can be moved out, but we do not recommend it.

Безопасно делегировать управление этой группой администраторам, не относянымся к службам?Safe to delegate management of this group to non-Service admins?

НетNo

DefaultAccountDefaultAccount

DefaultAccount, также известный как default System Managed Account (DSMA), — это встроенная учетная запись, представленная в Windows 10 версии 1607 и Windows Server 2016.The DefaultAccount, also known as the Default System Managed Account (DSMA), is a built-in account introduced in Windows 10 version 1607 and Windows Server 2016. DSMA — это известный тип учетной записи пользователя.The DSMA is a well-known user account type. Это нейтральная учетная запись пользователя, которая может использоваться для запуска процессов, которые не учитываются несколькими пользователями или не зависит от пользователя.It is a user neutral account that can be used to run processes that are either multi-user aware or user-agnostic. DSMA по умолчанию отключена на настольных компьютерах (полные windows SKUs) и WS 2016 с настольным компьютером.The DSMA is disabled by default on the desktop SKUs (full windows SKUs) and WS 2016 with the Desktop.

DSMA имеет хорошо известные 503 ДД.The DSMA has a well-known RID of 503. Таким образом, идентификатор безопасности (SID) DSMA будет иметь известный ИД безопасности в следующем формате: S-1-5-21- <ComputerIdentifier> -503The security identifier (SID) of the DSMA will thus have a well-known SID in the following format: S-1-5-21-<ComputerIdentifier>-503

DSMA является членом известной группы system Managed Accounts Group, которая имеет известный ИД безопасности S-1-5-32-581.The DSMA is a member of the well-known group System Managed Accounts Group, which has a well-known SID of S-1-5-32-581.

ПсевдонимУ DSMA можно предоставить доступ к ресурсам во время промежуточной работы в автономном режиме еще до создания самой учетной записи.The DSMA alias can be granted access to resources during offline staging even before the account itself has been created. Учетная запись и группа создаются при первой загрузке компьютера в диспетчере учетных записей безопасности (SAM).The account and the group are created during first boot of the machine within the Security Accounts Manager (SAM).

Как Windows использует DefaultAccountHow Windows uses the DefaultAccount

С точки зрения разрешений DefaultAccount — это стандартная учетная запись пользователя.From a permission perspective, the DefaultAccount is a standard user account. DefaultAccount необходим для запуска приложений с несколькими манифестами пользователей (приложений MUMA).The DefaultAccount is needed to run multi-user-manifested-apps (MUMA apps). Приложения MUMA постоянно работают и реагируют на вход и выход пользователей с устройств.MUMA apps run all the time and react to users signing in and signing out of the devices. В отличие от windows Desktop, где приложения запускаются в контексте пользователя и завершаются, когда пользователь завершает работу, приложения MMA запускаются с помощью DSMA.Unlike Windows Desktop where apps run in context of the user and get terminated when the user signs off, MUMA apps run by using the DSMA.

Приложения MUMA работают в общих сеансах, таких как Xbox.MUMA apps are functional in shared session SKUs such as Xbox. Например, оболочка Xbox — это приложение MUMA.For example, Xbox shell is a MUMA app. В настоящее время Xbox автоматически в качестве гостевой учетной записи, и все приложения запускаются в этом контексте.Today, Xbox automatically signs in as Guest account and all apps run in this context. Все приложения работают с несколькими пользователями и реагируют на события, которые запускаются диспетчером пользователей.All the apps are multi-user-aware and respond to events fired by user manager. Приложения запускают как гостевую учетную запись.The apps run as the Guest account.

Аналогично, телефон автоматически входит в систему как учетная запись DefApps, которая аналогична стандартной учетной записи пользователя в Windows, но с несколькими дополнительными привилегиями.Similarly, Phone auto logs in as a “DefApps” account which is akin to the standard user account in Windows but with a few extra privileges. В качестве этой учетной записи работают брокеры, некоторые службы и приложения.Brokers, some services and apps run as this account.

В конвергентной пользовательской модели приложения с несколькими пользователями и брокеры с несколькими пользователями должны работать в контексте, который отличается от контекста пользователей.In the converged user model, the multi-user-aware apps and multi-user-aware brokers will need to run in a context different from that of the users. Для этого система создает DSMA.For this purpose, the system creates DSMA.

Как создается DefaultAccount на контроллерах доменаHow the DefaultAccount gets created on domain controllers

Если домен был создан с помощью контроллеров домена под управления Windows Server 2016, defaultAccount будет существовать на всех контроллерах домена в домене.If the domain was created with domain controllers that run Windows Server 2016, the DefaultAccount will exist on all domain controllers in the domain. Если домен был создан с контроллерами домена, которые запускают более ранную версию Windows Server, defaultAccount будет создан после переноса роли эмулятора PDC на контроллер домена с Windows Server 2016.If the domain was created with domain controllers that run an earlier version of Windows Server, the DefaultAccount will be created after the PDC Emulator role is transferred to a domain controller that runs Windows Server 2016. Затем DefaultAccount будет реплицирован на все другие контроллеры домена в домене.The DefaultAccount will then be replicated to all other domain controllers in the domain.

Рекомендации по управлению учетной записью по умолчанию (DSMA)Recommendations for managing the Default Account (DSMA)

Корпорация Майкрософт не рекомендует изменять конфигурацию по умолчанию, когда учетная запись отключена.Microsoft does not recommend changing the default configuration, where the account is disabled. Угрозы безопасности при отключаемой учетной записи не существует.There is no security risk with having the account in the disabled state. Изменение конфигурации по умолчанию может препятствовать будущим сценариям, зависящих от этой учетной записи.Changing the default configuration could hinder future scenarios that rely on this account.

Локальные системные учетные записи по умолчаниюDefault local system accounts

SYSTEMSYSTEM

Системная учетная запись используется операционной системой и службами, работающими под Windows.The SYSTEM account is used by the operating system and by services that run under Windows. В операционной системе Windows существует множество служб и процессов, которые требуют возможности для внутреннего входов, например во время установки Windows.There are many services and processes in the Windows operating system that need the capability to sign in internally, such as during a Windows installation. Учетная запись SYSTEM разработана для этой цели, и Windows управляет правами пользователя системной учетной записи.The SYSTEM account was designed for that purpose, and Windows manages the SYSTEM account’s user rights. Это внутренняя учетная запись, которая не показывается в диспетчере пользователей и не может быть добавлена ни в какие группы.It is an internal account that does not show up in User Manager, and it cannot be added to any groups.

С другой стороны, системная учетная запись появляется на томе файловой **** системы NTFS в диспетчере файлов в части "Разрешения" меню "Безопасность".On the other hand, the SYSTEM account does appear on an NTFS file system volume in File Manager in the Permissions portion of the Security menu. По умолчанию учетной записи SYSTEM предоставлены разрешения на полный доступ для всех файлов в томе NTFS.By default, the SYSTEM account is granted Full Control permissions to all files on an NTFS volume. Здесь системная учетная запись имеет те же функциональные права и разрешения, что и учетная запись администратора.Here the SYSTEM account has the same functional rights and permissions as the Administrator account.

Примечание.Note
Чтобы предоставить учетной записи разрешения на доступ к файлу группы администраторов, неявно предоставляется разрешение для учетной записи SYSTEM.To grant the account Administrators group file permissions does not implicitly give permission to the SYSTEM account. Разрешения системной учетной записи можно удалить из файла, но не рекомендуется удалять их.The SYSTEM account's permissions can be removed from a file, but we do not recommend removing them.

СЕТОВАЯ СЛУЖБАNETWORK SERVICE

Учетная запись NETWORK SERVICE — это предопределная локализованная учетная запись, используемая диспетчером управления службами (SCM).The NETWORK SERVICE account is a predefined local account used by the service control manager (SCM). Служба, которая выполняется в контексте учетной записи NETWORK SERVICE, представляет учетные данные компьютера удаленным серверам.A service that runs in the context of the NETWORK SERVICE account presents the computer's credentials to remote servers. Дополнительные сведения см. в записи NetworkService.For more information, see NetworkService Account.

ЛОКАЛИЗОВАННАЯ СЛУЖБАLOCAL SERVICE

Учетная запись LOCAL SERVICE — это предопределная локализованная учетная запись, используемая диспетчером управления службами.The LOCAL SERVICE account is a predefined local account used by the service control manager. Он имеет минимальные привилегии на локальном компьютере и представляет анонимные учетные данные в сети.It has minimum privileges on the local computer and presents anonymous credentials on the network. Дополнительные сведения см. в под учетной записи LocalService.For more information, see LocalService Account.

Управление учетной записью локального пользователяHow to manage local user accounts

Локальные учетные записи пользователей по умолчанию и локальные учетные записи пользователей, которые вы создаете, находятся в папке "Пользователи".The default local user accounts, and the local user accounts that you create, are located in the Users folder. Папка "Пользователи" расположена в папке "Локальные пользователи и группы".The Users folder is located in Local Users and Groups. Дополнительные сведения о создании локальных учетных записей пользователей и управлении ими см. в подсети "Управление локальными пользователями".For more information about creating and managing local user accounts, see Manage Local Users.

Локальные пользователи и группы можно использовать для назначения прав и разрешений на локальном сервере и только на этом сервере, чтобы ограничить возможности локальных пользователей и групп выполнять определенные действия.You can use Local Users and Groups to assign rights and permissions on the local server, and that server only, to limit the ability of local users and groups to perform certain actions. Право разрешает пользователю выполнять определенные действия на сервере, такие как архивирование файлов и папок или завершение работы сервера.A right authorizes a user to perform certain actions on a server, such as backing up files and folders or shutting down a server. Разрешение на доступ — это правило, связанное с объектом, как правило, файлом, папкой или принтером.An access permission is a rule that is associated with an object, usually a file, folder, or printer. Он регулирует, какие пользователи могут иметь доступ к объекту на сервере и каким образом.It regulates which users can have access to an object on the server and in what manner.

Нельзя использовать локальных пользователей и группы на контроллере домена.You cannot use Local Users and Groups on a domain controller. Однако вы можете использовать локальных пользователей и группы на контроллере домена, чтобы нацелить удаленные компьютеры, которые не являются контроллерами домена в сети.However, you can use Local Users and Groups on a domain controller to target remote computers that are not domain controllers on the network.

Примечание.Note
Для управления пользователями и группами в Active Directory используются пользователи и компьютеры Active Directory.You use Active Directory Users and Computers to manage users and groups in Active Directory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и управления локальными группами с помощью NET.EXE LOCALGROUP, а также с помощью различных cmdlets PowerShell и других технологий сценариев.You can also manage local users by using NET.EXE USER and manage local groups by using NET.EXE LOCALGROUP, or by using a variety of PowerShell cmdlets and other scripting technologies.

Ограничение и защита локальных учетных записей с правами администратораRestrict and protect local accounts with administrative rights

Администратор может использовать несколько подходов, чтобы предотвратить использование злоумышленниками украденных учетных данных, таких как украденный пароль или hash пароля, для использования локальной учетной записи на одном компьютере для проверки подлинности на другом компьютере с правами администратора; Это также называется "движением по осям".An administrator can use a number of approaches to prevent malicious users from using stolen credentials, such as a stolen password or password hash, for a local account on one computer from being used to authenticate on another computer with administrative rights; this is also called "lateral movement".

Самый простой подход — войти на компьютер с помощью стандартной учетной записи пользователя, а не использовать учетную запись администратора для выполнения задач, например для просмотра Интернета, отправки электронной почты или использования word processor.The simplest approach is to sign in to your computer with a standard user account, instead of using the Administrator account for tasks, for example, to browse the Internet, send email, or use a word processor. Чтобы выполнить административную задачу, например установить новую программу или изменить параметр, влияющий на других пользователей, не нужно переключаться на учетную запись администратора.When you want to perform an administrative task, for example, to install a new program or to change a setting that affects other users, you don't have to switch to an Administrator account. Вы можете использовать контроль учетных записей (UAC) для запроса разрешения или пароля администратора перед выполнением задачи, как описано в следующем разделе.You can use User Account Control (UAC) to prompt you for permission or an administrator password before performing the task, as described in the next section.

Другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора:The other approaches that can be used to restrict and protect user accounts with administrative rights include:

  • Принудительно применяет ограничения локальных учетных записей для удаленного доступа.Enforce local account restrictions for remote access.

  • Запретить сетевой учетной записи всех локальных администраторов.Deny network logon to all local Administrator accounts.

  • Создание уникальных паролей для локальных учетных записей с правами администратора.Create unique passwords for local accounts with administrative rights.

Каждый из этих подходов описан в следующих разделах.Each of these approaches is described in the following sections.

Примечание.Note
Эти подходы не применяются, если отключены все локальные административные учетные записи.These approaches do not apply if all administrative local accounts are disabled.

Принудительное ограничение локальной учетной записи для удаленного доступаEnforce local account restrictions for remote access

Контроль учетных записей пользователей (UAC) — это функция безопасности в Windows, которая используется в Windows Server 2008 и Windows Vista, а также в операционных системах, на которые ссылается список "Применяется к".The User Account Control (UAC) is a security feature in Windows that has been in use in Windows Server 2008 and in Windows Vista, and the operating systems to which the Applies To list refers. UAC позволяет контролировать компьютер, информируя о том, когда программа вносит изменения, требующие разрешения администратора.UAC enables you to stay in control of your computer by informing you when a program makes a change that requires administrator-level permission. UAC работает путем настройки уровня разрешений учетной записи пользователя.UAC works by adjusting the permission level of your user account. По умолчанию UAC уведомляет вас, когда приложения пытаются внести изменения на компьютере, но вы можете изменить, как часто UAC уведомляет вас.By default, UAC is set to notify you when applications try to make changes to your computer, but you can change how often UAC notifies you.

В UAC учетная запись с правами администратора может рассматриваться как стандартная учетная запись пользователя без прав, пока не будут запрашиваться и утверждаться полные права, также называемые повышением прав.UAC makes it possible for an account with administrative rights to be treated as a standard user non-administrator account until full rights, also called elevation, is requested and approved. Например, UAC позволяет администратору вводить учетные данные во время сеанса пользователя, не относя доступного администратору, для выполнения периодических задач администрирования без необходимости переключения пользователей, выхода или использования команды "Выполнить как".For example, UAC lets an administrator enter credentials during a non-administrator's user session to perform occasional administrative tasks without having to switch users, sign out, or use the Run as command.

Кроме того, администраторы могут требовать от администраторов специально утверждать приложения, которые внося системные изменения, прежде чем им будет предоставлено разрешение на запуск, даже в сеансе пользователя администратора.In addition, UAC can require administrators to specifically approve applications that make system-wide changes before those applications are granted permission to run, even in the administrator's user session.

Например, функция UAC по умолчанию отображается, когда локализованная учетная запись войдена с удаленного компьютера с помощью сетевого учетного записи (например, с помощью NET.EXE USE).For example, a default feature of UAC is shown when a local account signs in from a remote computer by using Network logon (for example, by using NET.EXE USE). В этом случае ему выдан стандартный маркер пользователя без прав администратора, но без возможности запрашивать или получать повышение прав.In this instance, it is issued a standard user token with no administrative rights, but without the ability to request or receive elevation. Следовательно, локальные учетные записи, выполнив вход с помощью сетевого доступа, не могут получать доступ к административным ресурсам, таким как C$, ADMIN$, или выполнять удаленное администрирование.Consequently, local accounts that sign in by using Network logon cannot access administrative shares such as C$, or ADMIN$, or perform any remote administration.

Дополнительные сведения об UAC см. в под управлением учетных записей пользователей.For more information about UAC, see User Account Control.

В следующей таблице показаны параметры групповой политики и реестра, используемые для применения локальных ограничений учетных записей для удаленного доступа.The following table shows the Group Policy and registry settings that are used to enforce local account restrictions for remote access.

Нет.No.

ПараметрSetting

Подробное описаниеDetailed Description

Расположение политикиPolicy location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасностиComputer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

11

Имя политикиPolicy name

Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администраторомUser Account Control: Run all administrators in Admin Approval Mode

Параметр политикиPolicy setting

EnabledEnabled

22

Расположение политикиPolicy location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасностиComputer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Имя политикиPolicy name

Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администраторомUser Account Control: Run all administrators in Admin Approval Mode

Параметр политикиPolicy setting

EnabledEnabled

33

Раздел реестраRegistry key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Имя значения реестраRegistry value name

LocalAccountTokenFilterPolicyLocalAccountTokenFilterPolicy

Тип значения реестраRegistry value type

DWORDDWORD

Данные значения реестраRegistry value data

00

Примечание

Вы также можете применить значение по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемой ADMX в шаблонах безопасности.You can also enforce the default for LocalAccountTokenFilterPolicy by using the custom ADMX in Security Templates.

Принудительное ограничение локальной учетной записи для удаленного доступаTo enforce local account restrictions for remote access

  1. Запустите консоль управления групповыми политиками (GPMC).Start the Group Policy Management Console (GPMC).

  2. В дереве консоли раз expand < Forest\Domains\ Domain , а затем объекты групповой политики, где лес — это имя леса, а домен — имя домена, в котором необходимо установить объект групповой политики > < ** > (GPO). **** ** **In the console tree, expand <Forest>\Domains\<Domain>, and then Group Policy Objects where forest is the name of the forest, and domain is the name of the domain where you want to set the Group Policy Object (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политикии выберите > "Новый".In the console tree, right-click Group Policy Objects, and > New.

    локальные учетные записи 1

  4. В диалоговом окне "Новый GPO" < введите gpo_name > и > ОК, где gpo_name имя нового GPO.In the New GPO dialog box, type <gpo_name>, and > OK where gpo_name is the name of the new GPO. Имя GPO указывает, что GPO используется для ограничения прав локального администратора, которые могут быть перенаправлены на другой компьютер.The GPO name indicates that the GPO is used to restrict local administrator rights from being carried over to another computer.

    локальные учетные записи 2

  5. В области сведений щелкните правой кнопкой мыши < gpo_name > и выберите > "Изменить".In the details pane, right-click <gpo_name>, and > Edit.

    локальные учетные записи 3

  6. Убедитесь, что UAC включен и что ограничения UAC применяются к учетной записи администратора по умолчанию, выступая следующим образом:Ensure that UAC is enabled and that UAC restrictions apply to the default Administrator account by doing the following:

    1. Перейдите в меню "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\" и > "Параметры безопасности".Navigate to the Computer Configuration\Windows Settings\Security Settings\Local Policies\, and > Security Options.

    2. Дважды щелкните "Контроль учетных записей пользователей": запустите всех администраторов в режиме утверждения администратора > "ОК". > ****Double-click User Account Control: Run all administrators in Admin Approval Mode > Enabled > OK.

    3. Дважды щелкните контроль учетных записей пользователей: режим утверждения администратором встроенной учетной записи администратора > включен > ОК.Double-click User Account Control: Admin Approval Mode for the Built-in Administrator account > Enabled > OK.

  7. Убедитесь, что ограничения локальных учетных записей применяются к сетевым интерфейсам, выступая следующим образом:Ensure that the local account restrictions are applied to network interfaces by doing the following:

    1. Перейдите в "Конфигурация компьютера\Настройки" и "Параметры Windows" и > "Реестр".Navigate to Computer Configuration\Preferences and Windows Settings, and > Registry.

    2. Щелкните правой кнопкой мыши "Реестр" и > "Новый > элемент реестра".Right-click Registry, and > New > Registry Item.

      локальные учетные записи 4

    3. В диалоговом окне "Новые **** свойства реестра" на **** вкладке "Общие" измените параметр в поле "Действие" на "Заменить".In the New Registry Properties dialog box, on the General tab, change the setting in the Action box to Replace.

    4. Убедитесь, что в поле "Hive" установлено поле HKEY_LOCAL_MACHINE.Ensure that the Hive box is set to HKEY_LOCAL_MACHINE.

    5. Щелкните (...), перейдите к следующему расположению для выбора ключевого **** > **** пути: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.Click (), browse to the following location for Key Path > Select for: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

    6. В области имени значения введите LocalAccountTokenFilterPolicy.In the Value name area, type LocalAccountTokenFilterPolicy.

    7. В поле "Тип значения" в выпадаемом списке выберите REG_DWORD, чтобы изменить значение.In the Value type box, from the drop-down list, select REG_DWORD to change the value.

    8. Убедитесь, что в поле данных "Значение" установлено значение 0.In the Value data box, ensure that the value is set to 0.

    9. Проверьте эту конфигурацию и > ОК.Verify this configuration, and > OK.

      локальные учетные записи 5

  8. Привяжете GPO к первому подразделению рабочих станций, выполнив следующие этапы:Link the GPO to the first Workstations organizational unit (OU) by doing the following:

    1. Перейдите к < лесу > \Domains\ < Domain > \OU path.Navigate to the <Forest>\Domains\<Domain>\OU path.

    2. Щелкните правой кнопкой мыши OU рабочих станций и привяжете > существующий GPO.Right-click the Workstations OU, and > Link an existing GPO.

      локальные учетные записи 6

    3. Выберите только что созданный GPO, и > ОК.Select the GPO that you just created, and > OK.

  9. Протестировать функциональность корпоративных приложений на рабочих станциях в этом первом OU и устранить все проблемы, вызванные новой политикой.Test the functionality of enterprise applications on the workstations in that first OU and resolve any issues caused by the new policy.

  10. Создайте ссылки на все другие OUS, содержащие рабочие станции.Create links to all other OUs that contain workstations.

  11. Создайте ссылки на все другие OUS, содержащие серверы.Create links to all other OUs that contain servers.

Запретить сетевой учетной записи для всех учетных записей локальных администраторовDeny network logon to all local Administrator accounts

Запрет локальным учетным записям возможности выполнять сетевые учетные записи может помочь предотвратить повторное использовать в вредоносной атаке hash пароля локальной учетной записи.Denying local accounts the ability to perform network logons can help prevent a local account password hash from being reused in a malicious attack. Эта процедура помогает предотвратить дальнейшее перемещение, гарантируя, что учетные данные локальных учетных записей, украденные из скомпрометированной операционной системы, не могут использоваться для компрометации дополнительных компьютеров, которые используют те же учетные данные.This procedure helps to prevent lateral movement by ensuring that the credentials for local accounts that are stolen from a compromised operating system cannot be used to compromise additional computers that use the same credentials.

Примечание.Note
Для выполнения этой процедуры необходимо сначала указать имя локальной учетной записи администратора по умолчанию, которая может не быть именем пользователя по умолчанию "Администратор", и любых других учетных записей, которые являются членами локальной группы администраторов.In order to perform this procedure, you must first identify the name of the local, default Administrator account, which might not be the default user name "Administrator", and any other accounts that are members of the local Administrators group.

В следующей таблице показаны параметры групповой политики, которые используются для запрета на сетевой учетной записи для всех учетных записей локальных администраторов.The following table shows the Group Policy settings that are used to deny network logon for all local Administrator accounts.

Нет.No.

ПараметрSetting

Подробное описаниеDetailed Description

Расположение политикиPolicy location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователяComputer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

11

Имя политикиPolicy name

Отказ в доступе к компьютеру из сетиDeny access to this computer from the network

Параметр политикиPolicy setting

Локализованная учетная запись и участник группы администраторовLocal account and member of Administrators group

22

Расположение политикиPolicy location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователяComputer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Имя политикиPolicy name

Запретить вход в систему через службу удаленных рабочих столовDeny log on through Remote Desktop Services

Параметр политикиPolicy setting

Локализованная учетная запись и участник группы администраторовLocal account and member of Administrators group

Запрет на сетевой учетной записи для всех учетных записей локальных администраторовTo deny network logon to all local administrator accounts

  1. Запустите консоль управления групповыми политиками (GPMC).Start the Group Policy Management Console (GPMC).

  2. В дереве консоли раз expand < Forest\Domains\ Domain , а затем объекты групповой политики , где лес — это имя леса, а домен — имя домена, в котором необходимо установить объект групповой политики > < ** > (GPO). **** ** **In the console tree, expand <Forest>\Domains\<Domain>, and then Group Policy Objects, where forest is the name of the forest, and domain is the name of the domain where you want to set the Group Policy Object (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политикии выберите > "Новый".In the console tree, right-click Group Policy Objects, and > New.

  4. В диалоговом окне "Новый GPO" введите < gpo_name, а затем "ОК", где > > **** gpo_name — имя нового GPO, означает, что он используется, чтобы запретить локальным административным учетным записям в интерактивном входе на компьютер.In the New GPO dialog box, type <gpo_name>, and then > OK where gpo_name is the name of the new GPO indicates that it is being used to restrict the local administrative accounts from interactively signing in to the computer.

    локальные учетные записи 7

  5. В области сведений щелкните правой кнопкой мыши < gpo_name > и выберите > "Изменить".In the details pane, right-click <gpo_name>, and > Edit.

    локальные учетные записи 8

  6. Настройте права пользователя на запрет сетевых учетных записей для локальных административных учетных записей следующим образом:Configure the user rights to deny network logons for administrative local accounts as follows:

    1. Перейдите к конфигурации компьютера\Параметры Windows\Параметры безопасности\и > назначение прав пользователя.Navigate to the Computer Configuration\Windows Settings\Security Settings\, and > User Rights Assignment.

    2. Дважды щелкните "Запретить доступ к этому компьютеру из сети".Double-click Deny access to this computer from the network.

    3. Нажмите кнопку "Добавить пользователя или группу", введите "Локализованнаяучетная запись" и "Участник группы администраторов" и "ОК". > ****Click Add User or Group, type Local account and member of Administrators group, and > OK.

  7. Настройте права пользователя, чтобы запретить удаленный интерактивный доступ к учетным записям администраторов следующим образом:Configure the user rights to deny Remote Desktop (Remote Interactive) logons for administrative local accounts as follows:

    1. Перейдите в "Конфигурация компьютера\Политики\Параметры Windows и локальные политики", а затем щелкните "Назначение прав пользователя".Navigate to Computer Configuration\Policies\Windows Settings and Local Policies, and then click User Rights Assignment.

    2. Дважды щелкните «Запретить вход в систему через службы удаленных рабочих стола».Double-click Deny log on through Remote Desktop Services.

    3. Нажмите кнопку "Добавить пользователя или группу", введите "Локализованная учетная запись" и "Участник группы администраторов" и "ОК". > ****Click Add User or Group, type Local account and member of Administrators group, and > OK.

  8. Привяжете GPO к первому OU рабочих станций следующим образом:Link the GPO to the first Workstations OU as follows:

    1. Перейдите к < лесу > \Domains\ < Domain > \OU path.Navigate to the <Forest>\Domains\<Domain>\OU path.

    2. Щелкните правой кнопкой мыши OU рабочих станций и привяжете > существующий GPO.Right-click the Workstations OU, and > Link an existing GPO.

    3. Выберите только что созданный GPO, и > ОК.Select the GPO that you just created, and > OK.

  9. Протестировать функциональность корпоративных приложений на рабочих станциях в этом первом OU и устранить все проблемы, вызванные новой политикой.Test the functionality of enterprise applications on the workstations in that first OU and resolve any issues caused by the new policy.

  10. Создайте ссылки на все другие OUS, содержащие рабочие станции.Create links to all other OUs that contain workstations.

  11. Создайте ссылки на все другие OUS, содержащие серверы.Create links to all other OUs that contain servers.

    Примечание.Note
    Может потребоваться создать отдельный GPO, если имя пользователя учетной записи администратора по умолчанию отличается на рабочих станциях и серверах.You might have to create a separate GPO if the user name of the default Administrator account is different on workstations and servers.

Создание уникальных паролей для локальных учетных записей с правами администратораCreate unique passwords for local accounts with administrative rights

Пароли должны быть уникальными для каждой отдельной учетной записи.Passwords should be unique per individual account. Хотя это обычно верно для отдельных учетных записей пользователей, многие предприятия имеют одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию.While this is generally true for individual user accounts, many enterprises have identical passwords for common local accounts, such as the default Administrator account. Это также происходит, когда одинаковые пароли используются для локальных учетных записей во время развертывания операционной системы.This also occurs when the same passwords are used for local accounts during operating system deployments.

Пароли, которые остаются без изменений или изменяются синхронно, чтобы сохранить их идентичными, существенно снижает риск для организаций.Passwords that are left unchanged or changed synchronously to keep them identical add a significant risk for organizations. Случайное рандомизация паролей устраняет атаки с использованием атак "pass-the-hash" с помощью разных паролей для локальных учетных записей, что ограничивает возможность злоумышленников использовать хеши паролей этих учетных записей для компрометации других компьютеров.Randomizing the passwords mitigates "pass-the-hash" attacks by using different passwords for local accounts, which hampers the ability of malicious users to use password hashes of those accounts to compromise other computers.

Пароли могут быть случайными по:Passwords can be randomized by:

  • Приобретение и реализация корпоративного средства для выполнения этой задачи.Purchasing and implementing an enterprise tool to accomplish this task. Эти средства обычно называют средствами управления привилегированным паролем.These tools are commonly referred to as "privileged password management" tools.

  • Настройка решения для локального администратора (LAPS) для выполнения этой задачи.Configuring Local Administrator Password Solution (LAPS) to accomplish this task.

  • Создание и реализация пользовательского сценария или решения для случайных выборов паролей локальных учетных записей.Creating and implementing a custom script or solution to randomize local account passwords.

См. такжеSee also

В следующих ресурсах предоставляется дополнительная информация о технологиях, связанных с локальными учетами.The following resources provide additional information about technologies that are related to local accounts.