Локальные учетные записи

Область применения

  • Windows 10
  • WindowsServer2019
  • WindowsServer2016

Этот справочный раздел по умолчанию для ИТ-специалистов описывает локальные учетные записи пользователей для серверов, в том числе управление встроенными учетными записями на члене или отдельном сервере.

Локальные учетные записи пользователей

Локальные учетные записи пользователей хранятся на сервере локально. Эти учетные записи могут назначать права и разрешения на определенном сервере, но только на этом сервере. Локальные учетные записи пользователей — это участники безопасности, которые используются для обеспечения доступа к ресурсам на отдельном или рядовом сервере для служб или пользователей и управления ими.

В этой статье рассматриваются следующие вопросы:

Сведения об участниках безопасности можно найти в разделе Участники безопасности.

Локальные учетные записи пользователей по умолчанию

Локальные учетные записи пользователей по умолчанию являются встроенными учетными записями, которые автоматически создаются при установке Windows.

После установки Windows локальные учетные записи пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступ к сетевым ресурсам.

Локальные учетные записи пользователей по умолчанию используются для управления доступом к ресурсам локального сервера в соответствии с правами и разрешениями, которые назначены учетной записи. Локальные учетные записи пользователей по умолчанию и созданные локальные учетные записи пользователей находятся в папке Users. Папка "Пользователи" находится в папке "Локальные пользователи и группы" в консоли управления (MMC) локального управления компьютером. Управление компьютером — это набор средств администрирования, которые можно использовать для управления отдельным локальным или удаленным компьютером. Дополнительные сведения о том, как управлять локальными учетными записями, можно найти ниже в этой статье.

Локальные учетные записи пользователей по умолчанию описаны в следующих разделах.

Учетная запись администратора

Учетная запись локального администратора по умолчанию является учетной записью пользователя системного администратора. У каждого компьютера есть учетная запись администратора (SID S-1-5-domain-500, администратор отображаемого имени). Учетная запись администратора является первой учетной записью, созданной при установке Windows.

Учетная запись администратора имеет полный доступ к файлам, каталогам, службам и другим ресурсам на локальном компьютере. Учетная запись администратора может создавать другие локальные пользователи, назначать права пользователей и назначать разрешения. Учетная запись администратора может управлять локальными ресурсами в любое время, просто изменяя права и разрешения пользователей.

Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

В Windows 10 и Windows Server 20016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая входит в группу "Администраторы". Пользователи групп администраторов могут запускать приложения с повышенными разрешениями без использования команды " Запуск от имени администратора ". Быстрое переключение пользователей более безопасно, чем использование runas или другого пользователя.

Участие в группах учетных записей

По умолчанию учетная запись администратора устанавливается как член группы "Администраторы" на сервере. Рекомендуется ограничить количество пользователей в группе Администраторы, так как члены группы администраторов на локальном сервере имеют разрешения на полный доступ на этом компьютере.

Учетная запись администратора не может быть удалена или удалена из группы Администраторы, но ее можно переименовать.

Вопросы безопасности

Поскольку известно, что учетная запись администратора существует в разных версиях операционной системы Windows, рекомендуется отключить учетную запись администратора, если это возможно, чтобы пользователи-злоумышленники могли получить доступ к серверу или клиентскому компьютеру.

Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злонамеренными пользователями. Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, можно найти в разделе Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя.

По соображениям безопасности используйте локальную учетную запись (без администратора) для входа, а затем используйте команду Запуск от имени администратора для выполнения задач, требующих более высокий уровень прав, чем у стандартной учетной записи пользователя. Не используйте учетную запись администратора для входа на компьютер, если только это не будет вполне нужно. Дополнительные сведения можно найти в разделе Запуск программы с учетными данными администратора.

При сравнении в операционной системе клиента Windows пользователь с локальной учетной записью пользователя с правами администратора считается системным администратором клиентского компьютера. Первая локальная учетная запись пользователя, создаваемая во время установки, размещается в локальной группе Администраторы. Тем не менее, если несколько пользователей работают как локальные администраторы, ИТ – сотрудники не смогут управлять этими пользователями или клиентскими компьютерами.

В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически управлять использованием локальной группы администраторов на каждом сервере или клиентском компьютере. Дополнительные сведения о групповой политике можно найти в разделе Общие сведения о групповой политике.

Примечание . пустые пароли не разрешены в версиях, указанных в списке Применить к в начале этой статьи.

Важно! несмотря на то, что учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру с помощью безопасного режима. На консоли восстановления или в безопасном режиме учетная запись администратора автоматически включается. При возобновлении нормальных операций она отключается.

Гостевая учетная запись

Учетная запись гостя по умолчанию отключена при установке. Учетная запись гостя позволяет периодическим или разовым пользователям, не имеющим учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователей. По умолчанию для гостевой учетной записи задан пустой пароль. Поскольку Гостевая учетная запись может предоставлять анонимный доступ, это является риском для безопасности. По этой причине лучше отключить гостевую учетную запись, если ее использование не соблюдается полностью.

Участие в группах учетных записей

По умолчанию Гостевая учетная запись является единственной членом группы "гости" по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который входит в группу администраторов, может настроить пользователя с помощью гостевой учетной записи на одном или нескольких компьютерах.

Вопросы безопасности

При включении гостевой учетной записи предоставляются только ограниченные права и разрешения. В целях обеспечения безопасности Гостевая учетная запись не должна использоваться в сети и стала доступна другим компьютерам.

Кроме того, гостевой пользователь в гостевой учетной записи не должен иметь возможности просматривать журналы событий. После включения гостевой учетной записи рекомендуется регулярно отслеживать гостевую учетную запись, чтобы убедиться, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были случайно оставлены предыдущими пользователями.

Учетная запись HelpAssistant (устанавливается вместе с сеансом удаленного помощника)

Учетная запись HelpAssistant — это локальная учетная запись, которая включается по умолчанию при запуске сеанса удаленного помощника. Эта учетная запись автоматически отключается, если не ожидаются запросы удаленной помощи.

HelpAssistant — это основная учетная запись, которая используется для создания сеанса удаленного помощника. Сеанс удаленной помощи используется для подключения к другому компьютеру, работающему под управлением операционной системы Windows, и инициируется по приглашению. Для запрошенной удаленной помощи пользователь отправляет приглашение с компьютера по электронной почте или в виде файла пользователю, который может предоставить помощь. После принятия приглашения пользователя на сеанс удаленной помощи автоматически создается учетная запись HelpAssistant, используемая по умолчанию, для предоставления пользователю, который предоставляет доступ к компьютеру с ограниченным доступом. Учетная запись HelpAssistant управляется службой диспетчера сеансов справки для удаленного рабочего стола.

Вопросы безопасности

Идентификаторы безопасности, которые относятся к учетной записи HelpAssistant по умолчанию, включают:

  • SID: S-1-5-<Domain>-13, отображаемое имя пользователя сервера терминалов. В эту группу входят все пользователи, которые вошли на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

  • SID: S-1-5-<Domain>-14, отображаемое имя удаленный интерактивный вход. Эта группа включает всех пользователей, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие SID удаленного входного входа, также содержат интерактивный ИД безопасности.

Для операционной системы Windows Server Удаленная помощь — это необязательный компонент, который не установлен по умолчанию. Вы должны установить удаленный помощник, прежде чем его можно будет использовать.

Подробнее об атрибутах учетной записи HelpAssistant можно узнать в таблице ниже.

Атрибуты учетной записи "помощник"

Атрибут Значение

Известный SID/RID

S-1-5-<Domain>-13 (пользователь сервера терминалов), S-1-5-<Domain>-14 (удаленный интерактивный вход)

Тип

Пользователь

Контейнер по умолчанию

CN = Users, DC<=>Domain, DC =

Элементы по умолчанию

Нет

Элемент по умолчанию

Гости домена

Гости

Защищено объектом ADMINSDHOLDER?

Нет

Вы безопасно можете выйти из контейнера по умолчанию?

Можно переместить, но мы не рекомендуем использовать его.

Можете ли вы безопасно управлять этой группой до администраторов, не являющихся администраторами служб?

Нет

дефаултаккаунт

Дефаултаккаунт, также называемая стандартной системой (ДСМА), является встроенной учетной записью, представленной в Windows 10 версии 1607 и Windows Server 2016. ДСМА — это известный тип учетной записи пользователя. Это независимая учетная запись, которую можно использовать для выполнения процессов, которые поддерживаются как с несколькими пользователями, так и в независимых от пользователей. ДСМА по умолчанию отключен на настольных компьютерах конфигураций (полные версии Windows) и WS 2016 вместе с компьютером.

ДСМА имеет известный RID для 503. Таким образом, идентификатор безопасности (SID) ДСМА будет иметь известный идентификатор SID в следующем формате: S-1-5-21-\ <Компутеридентифиер>-503

ДСМА является членом известной группы управляемых учетных записейгрупповых систем, которая имеет известный sid для S-1-5-32-581.

Псевдониму ДСМА может быть предоставлен доступ к ресурсам во время автономной промежуточной на хранение, пока не будет создана сама учетная запись. Учетная запись и группа создаются при первой загрузке компьютера в диспетчере учетных записей безопасности (SAM).

Использование Дефаултаккаунт в Windows

С точки зрения разрешения Дефаултаккаунт — это стандартная учетная запись пользователя. Дефаултаккаунт необходим для запуска многопользовательского приложения с манифестом (приложения МУМА). МУМА приложения работают все время и реагируют на работу пользователей и выход из нее. В отличие от рабочего стола Windows, в которых приложения запускаются в контексте пользователя и завершаются после того, как пользователь выйдет из системы, МУМА приложения выполняются с помощью ДСМА.

Приложения МУМА работают в общедоступных ресурсах SKU, таких как Xbox. Например, консоль Xbox — это приложение МУМА. Сегодня Xbox автоматически выполняет вход в качестве гостевой учетной записи и все приложения работают в этом контексте. Все приложения поддерживают несколько пользователей и реагируют на события, созданные диспетчером пользователей. Приложения запускаются от имени гостевой учетной записи.

Аналогичным образом, Телефон автоматически входит в учетную запись "Дефаппс", которая аналогична стандартной учетной записи пользователя в Windows, но с несколькими дополнительными правами. Брокеры, некоторые службы и приложения выполняются с этой учетной записью.

В модели для Объединенных пользователей приложения с поддержкой нескольких пользователей и многопользовательские брокеры должны работать в контексте, отличном от пользователей. Для этой цели система создает ДСМА.

Создание Дефаултаккаунт на контроллерах домена

Если домен создан с контроллерами домена под управлением Windows Server 2016, Дефаултаккаунт будет существовать на всех контроллерах домена. Если домен был создан с помощью контроллеров домена с более ранней версией Windows Server, Дефаултаккаунт будет создан после перемещения роли эмулятора PDC на контроллер домена, работающий под управлением Windows Server 2016. Затем Дефаултаккаунт будет реплицирован на все другие контроллеры домена в домене.

Рекомендации по управлению учетной записью по умолчанию (ДСМА)

Корпорация Microsoft не рекомендует менять конфигурацию по умолчанию, в которой отключена учетная запись. Нет угрозы безопасности с учетной записью в отключенном состоянии. Изменение конфигурации по умолчанию может препятствовать дальнейшим сценариям, которые используют эту учетную запись.

Учетные записи локальной системы по умолчанию

Администратор

Учетная запись SYSTEM используется операционной системой и службами, работающими под управлением Windows. В операционной системе Windows существует множество служб и процессов, которые должны быть доступны для внутреннего входа, например во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя системной учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей и не может быть добавлена ни в одну из групп.

С другой стороны, учетная запись SYSTEM появляется на томе с файловой системой NTFS в диспетчере файлов в разделе " разрешения " в меню " Безопасность ". По умолчанию СИСТЕМной учетной записи предоставлены разрешения на полный доступ ко всем файлам на томе NTFS. Здесь у учетной записи SYSTEM есть те же функциональные права и разрешения, что и для учетной записи администратора.

Примечание . чтобы предоставить администраторам учетных записей разрешения на доступ к файлам, они не могут неявно дать разрешение на системную учетную запись. Разрешения системной учетной записи можно удалить из файла, но мы не рекомендуем удалять их.

СЕТЕВАЯ СЛУЖБА

Учетная запись NETWORK SERVICE — это предварительно определенная локальная учетная запись, используемая диспетчером управления службами (SCM). Служба, которая запускается в контексте учетной записи NETWORK SERVICE, предоставляет учетные данные компьютера удаленным серверам. Дополнительные сведения можно найти в разделе учетная запись NetworkService.

ЛОКАЛЬНАЯ СЛУЖБА

Учетная запись LOCAL SERVICE — это предварительно определенная локальная учетная запись, используемая диспетчером управления службами. У него есть минимальные полномочия на локальном компьютере, и вы предоставляете анонимные учетные данные в сети. Дополнительные сведения можно найти в разделе учетная запись LocalService.

Управление локальными учетными записями пользователей

Локальные учетные записи пользователей по умолчанию и созданные локальные учетные записи пользователей находятся в папке Users. Папка "Пользователи" находится в разделе "Локальные пользователи и группы". Дополнительные сведения о том, как создавать локальные учетные записи пользователей и управлять ими, можно найти в разделе Управление локальными пользователями.

Вы можете использовать локальные пользователи и группы, чтобы назначать права и разрешения на локальном сервере и только на этом сервере, чтобы ограничить возможности локальных пользователей и групп выполнять определенные действия. Право предоставляет пользователю возможность выполнять на сервере определенные действия, такие как архивация файлов и папок или завершение работы сервера. Разрешение на доступ — это правило, связанное с объектом, как правило, файл, папка или принтер. Она определяет, какие пользователи могут иметь доступ к объекту на сервере, и в чем же способ.

Вы не можете использовать локальные пользователи и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для назначения удаленных компьютеров, которые не являются контроллерами домена в сети.

Обратите внимание на то, что для управления пользователями и группами в ActiveDirectory используются пользователи и компьютеры ActiveDirectory.

Вы также можете управлять локальными пользователями с помощью NET. EXE для пользователей и управления локальными группами с помощью NET. EXE LOCALGROUP или с помощью различных командлетов PowerShell и других технологий написания сценариев.

Ограничение и Защита локальных учетных записей с правами администратора

Администратор может использовать несколько подходов, чтобы предотвратить использование злоумышленниками заимствованных учетных данных, таких как украденный пароль или хешированный пароль, для локальной учетной записи на одном компьютере с правами администратора. Это называется также "боковой движением".

Самый простой подход — войти на компьютер с помощью обычной учетной записи пользователя вместо учетной записи администратора, например для просмотра Интернета, отправки электронной почты или использования текстового процессора. Если вы хотите выполнить административную задачу (например, чтобы установить новую программу или изменить параметры, влияющие на других пользователей), вам не нужно переключаться на учетную запись администратора. Вы можете использовать контроль учетных записей (UAC), чтобы запрашивать разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

Ниже перечислены другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора.

  • Применяйте ограничения локальной учетной записи для удаленного доступа.

  • Запретите вход в сеть для всех учетных записей локальных администраторов.

  • Создавайте уникальные пароли для локальных учетных записей с правами администратора.

Каждый из этих подходов описан в следующих разделах.

Примечание . Эти подходы не применяются, если отключены все административные локальные учетные записи.

Использование ограничений локальной учетной записи для удаленного доступа

Контроль учетных записей (UAC) — это функция безопасности в Windows, которая использовалась в Windows Server2008 и в Виндовсвиста, а также на операционных системах, на которые ссылается список к . Контроль учетных записей позволяет всегда управлять компьютером, выключаясь в том случае, если программа вносит изменения, требующие разрешения на уровне администратора. UAC работает путем настройки уровня разрешений для учетной записи пользователя. По умолчанию контроль учетных записей настроен таким образом, что приложение пытается внести изменения на компьютере, но вы можете изменить частоту уведомления о контроле учетных записей.

UAC делает так, что учетная запись с правами администратора будет рассматриваться как стандартная учетная запись пользователя, не обладающего правами администратора, пока не будут запрошены и утверждены все права, также называемые повышением прав. Например, контроль учетных записей позволяет администратору вводить учетные данные во время сеанса пользователя, не обладающего администратором, для выполнения часто выполняемых административных задач без необходимости переключения пользователей, выхода из нее или использования команды выполнить как .

Кроме того, контроль учетных записей может требовать, чтобы администраторы специально утверждали приложения, которые производят изменения на уровне системы, прежде чем эти приложения получат разрешение на выполнение, даже в пользовательском сеансе администратора.

Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит с удаленного компьютера, используя вход в сеть (например, с помощью команды NET. EXE). В этом случае ему выдается Стандартный маркер пользователя без прав администратора, но без возможности запросить или получить повышение прав. Следовательно, локальные учетные записи, которые выполняют вход с помощью сетевого входа, не могут получить доступ к общим ресурсам, таким как C $ или ADMIN $, или выполнить удаленное администрирование.

Дополнительные сведения об UAC можно найти в разделе Управление учетными записями пользователей.

В приведенной ниже таблице указаны параметры групповой политики и реестра, которые используются для ограничения локальных учетных записей для удаленного доступа.

Нет.

Параметр

Подробное описание

Расположение политики

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

1,1

Имя политики

Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором

Параметр политики

Включено

2

Расположение политики

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Имя политики

Контроль учетных записей пользователей: все администраторы работают в режиме одобрения администратором

Параметр политики

Включено

Трехконтактный

Раздел реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Имя значения в реестре

LocalAccountTokenFilterPolicy

Тип значения в реестре

DWORD

Данные значения реестра

до

Примечание

Вы также можете принудительно использовать параметр по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемого ADMX в шаблонах безопасности.

Использование ограничений локальной учетной записи для удаленного доступа

  1. Запустите консоль управления групповыми политиками (GPMC).

  2. В дереве < консоли разверните><домен \домаинс\ Domainобъекты групповой политики , где лес — это имя леса, а домен — это имя домена, в котором вы Вы хотите настроить объект групповой политики (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики, а затем > — создать.

    локальные учетные записи 1

  4. В диалоговом окне Создание объекта групповой политики введите < gpo_name>и > нажмите кнопку ОК , где gpo_name — имя нового объекта групповой политики. Имя GPO указывает на то, что объект групповой политики используется для ограничения прав локального администратора на другой компьютер.

    локальные учетные записи 2

  5. В области сведений щелкните правой кнопкой мыши < gpo_name>и > выберите команду изменить.

    локальные учетные записи 3

  6. Убедитесь, что функция UAC включена, а ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив указанные ниже действия.

    1. Перейдите на компьютер конфигуратион\виндовс сеттингс\секурити сеттингс\локал полиЦиес\ и > Параметры безопасности.

    2. > Дважды щелкните элемент контроль учетных записей, чтобы все администраторы были включены в режим > **** одобрения администратором. ****

    3. Дважды щелкните элемент Управление учетными записями пользователей: режим одобрения администратором для встроенной учетной записи > администратора включена > .

  7. Убедитесь, что ограничения локальной учетной записи применяются к сетевым интерфейсам, выполнив указанные ниже действия.

    1. Перейдите к параметрам компьютера конфигуратион\преференцес и Windows, > а затем разделу Registry.

    2. Щелкните правой кнопкой мыши раздел реестраи > Новый > элемент реестра.

      локальные учетные записи 4

    3. В диалоговом окне Создание свойств в реестре на вкладке Общие измените значение в поле действие , чтобы заменитьего.

    4. Убедитесь, что для поля куст задано значение HKEY_LOCAL_MACHINE.

    5. Нажмите кнопку (...), перейдите в следующее место, где указан путь к > разделу Выбор : софтваре\микрософт\виндовс\куррентверсион\полиЦиес\систем.

    6. В области имя значения введите параметр LocalAccountTokenFilterPolicy.

    7. В поле тип значения в раскрывающемся списке выберите REG_DWORD , чтобы изменить значение.

    8. Убедитесь, что в поле значение задано значение 0.

    9. Проверьте конфигурацию и > нажмите кнопку ОК.

      локальные учетные записи 5

  8. Свяжите объект групповой политики с первым организационным подразделением (OU), выполнив указанные ниже действия.

    1. Перейдите < на>\домаинс\<** домен>\ау путь.

    2. Щелкните подразделение рабочей станции правой кнопкой мыши и > свяжите существующий объект групповой политики.

      локальные учетные записи 6

    3. Выберите только что созданный объект групповой политики и > нажмите кнопку ОК.

  9. Тестирование функциональных возможностей корпоративных приложений на рабочих станциях в этом первом подразделении и устранение проблем, связанных с новой политикой.

  10. Создавайте ссылки на все подразделения, содержащие рабочие станции.

  11. Создавайте ссылки на все другие подразделения, содержащие серверы.

Запретить вход в сеть для всех учетных записей локальных администраторов

Запрещение локальных учетных записей возможность выполнения входов по сети может препятствовать повторному использованию хэша пароля локальной учетной записи при атаке злоумышленника. Эта процедура помогает предотвратить боковой движение, гарантируя, что учетные данные локальных учетных записей, заимствованных из скомпрометированной операционной системы, нельзя использовать для взлома дополнительных компьютеров, использующих одни и те же учетные данные.

Примечание . чтобы выполнить эту процедуру, необходимо сначала определить имя локальной учетной записи администратора по умолчанию, которая не является именем пользователя по умолчанию, а также другими учетными записями, входящими в локальную группу администраторов. .

В следующей таблице перечислены параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

Нет.

Параметр

Подробное описание

Расположение политики

Конфигурация компьютера \ параметры безопасности \ локальные политики ПолиЦиес\усер назначение прав

1,1

Имя политики

Отказ в доступе к компьютеру из сети

Параметр политики

Локальная учетная запись и член группы администраторов

2

Расположение политики

Конфигурация компьютера \ параметры безопасности \ локальные политики ПолиЦиес\усер назначение прав

Имя политики

Запретить вход в систему через службу удаленных рабочих столов

Параметр политики

Локальная учетная запись и член группы администраторов

Чтобы запретить вход в сеть для всех учетных записей локального администратора

  1. Запустите консоль управления групповыми политиками (GPMC).

  2. В дереве < консоли разверните><домен \домаинс\ Domainобъекты групповой политики, где лес — это имя леса, а домен — это имя домена, в котором вы Вы хотите настроить объект групповой политики (GPO).

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики, а затем > — создать.

  4. В диалоговом окне Создание объекта групповой политики введите < gpo_name>и нажмите > кнопку ОК , где gpo_name — это имя нового объекта групповой политики, которое указывает на то, что оно используется для ограничения локальных административных учетных записей в интерактивном режиме. Войдите в систему на компьютере.

    локальные учетные записи 7

  5. В области сведений щелкните правой кнопкой мыши < gpo_name>и > выберите команду изменить.

    локальные учетные записи 8

  6. Настройте права пользователя таким образом, чтобы запретить вход в сеть для административных локальных учетных записей.

    1. Перейдите на компьютер конфигуратион\виндовс сеттингс\секурити сеттингс\ и > Назначение прав пользователей.

    2. Дважды щелкните запретить доступ к компьютеру из сети.

    3. Щелкните Добавить пользователя или группу, введите Локальная учетная запись и член группы Администраторыи > нажмите кнопку ОК.

  7. Настройте права пользователей на запрет входа на удаленные рабочие столы для локальных учетных записей, выполнив указанные ниже действия.

    1. Перейдите в раздел Параметры компьютера Конфигуратион\полиЦиес\виндовс и локальные политики, а затем щелкните Назначение прав пользователей.

    2. Дважды щелкните отказать вход с помощью служб удаленных рабочих столов.

    3. Щелкните Добавить пользователя или группу, введите Локальная учетная запись и член группы Администраторыи > нажмите кнопку ОК.

  8. Свяжите объект групповой политики с одним из подразделений первой рабочей станции следующим образом:

    1. Перейдите < на>\домаинс\<** домен>\ау путь.

    2. Щелкните подразделение рабочей станции правой кнопкой мыши и > свяжите существующий объект групповой политики.

    3. Выберите только что созданный объект групповой политики и > нажмите кнопку ОК.

  9. Тестирование функциональных возможностей корпоративных приложений на рабочих станциях в этом первом подразделении и устранение проблем, связанных с новой политикой.

  10. Создавайте ссылки на все подразделения, содержащие рабочие станции.

  11. Создавайте ссылки на все другие подразделения, содержащие серверы.

    Примечание . Если имя пользователя, используемое по умолчанию для учетной записи администратора, отличается на рабочих станциях и серверах, может потребоваться создание отдельного объекта групповой политики.

Создание уникальных паролей для локальных учетных записей с правами администратора

Пароли должны быть уникальными для каждой отдельной учетной записи. Несмотря на то, что это верно для отдельных учетных записей пользователей, многие компании имеют одинаковые пароли для обычных локальных учетных записей, например учетную запись администратора по умолчанию. Это также случается, если при развертывании операционной системы одни и те же пароли используются для локальных учетных записей.

Пароли, которые не изменяются или изменяются синхронно, чтобы они были идентичными, добавьте значительный риск для организаций. При случайном использовании пароля снижается риск "Pass-Hash", поскольку для локальных учетных записей используются разные пароли, что предотвращает использование злоумышленниками хэша пароля этих учетных записей для взлома других компьютеров.

Пароли можно поменять случайным образом.

  • Приобретите и реализуйте корпоративный инструмент для выполнения этой задачи. Эти средства обычно называются инструментами для управления привилегированными паролями.

  • Настройка пароля локального администратора (лапс) для выполнения этой задачи.

  • Создание и реализация настраиваемого сценария или решения для случайной настройки паролей локальных учетных записей.

Статьи по теме

Следующие ресурсы содержат дополнительные сведения о технологиях, связанных с локальными учетными записями.