Компьютер

Учетная запись в компьютере: Учетная запись пользователя в Windows

02.05.2021

Содержание

Учетная запись пользователя в Windows

Наличие в компьютере такой возможности, как создание учетных записей пользователя очень полезная вещь. Действительно благодаря их наличию, можно комфортно пользоваться компьютером нескольким людям и даже если вы его единственный владелец, они могут вам пригодится.

Учетная запись пользователя в windows предоставляет вам примерно то же самое, что и своя комната, если вы живете в квартире не один. Это ваше личное пространство, которое вы можете настроить по своему усмотрению, выбрать цветовую схему, расположение и вид иконок, различные настройки внешнего вида и так далее. У вас есть место для хранения личной информации недоступное остальным пользователям компьютера и доступ к данным в остальной части компьютера.

Согласитесь, что очень напоминает свою комнату в доме но, как и в реальном мире, вы не можете быть полностью уверены в неприкосновенности вашей частной территории. Существует вероятность, что кто-то из домочадцев войдет в вашу комнату без вас. Если только вы не самый главный в семье и вас все безоговорочно слушаются, тогда вы можете вторгаться к другим без спроса, а к вам нет. Та же ситуация с учетными записями, поэтому нужно помнить, что если вы не самый главный в компьютере, вашу приватную территорию могут нарушить без спроса. Более подробно, почему выгодно использовать несколько учетных записей на компьютере, рассмотрено в отдельной статье.

Что такое учетная запись пользователя

Учетная запись пользователя — перечень сведений, определяющих персональные настройки компьютера, права доступа к файлам и директориям в файловой системе, права пользователя на изменение работы компьютера (глобальные настройки Windows, установка и удаление программ и тому подобное). Для идентификации пользователя в системе используется имя его учетной записи (логин) и пароль.

Учетные записи пользователей в Windows бывают трех типов: администратор, стандартная, гость. Учетная запись администратора предоставляет полный доступ к управлению компьютером, она аналогична самому главному человеку в семье.

Стандартная учетная запись аналогична обычному домочадцу, можно хозяйничать внутри своей территории, но изменение глобальных параметров затрагивающих всех пользователей компьютера недоступно. Учетная запись гость, как видно из названия, предназначена для предоставления временного доступа к компьютеру постороннего человека и обладает наименьшими правами.

Существует понятие группа пользователей. Для удобства администрирования компьютера учетные записи с одинаковыми правами помещают в одну группу и права задаются для всей группы, а не для каждого пользователя отдельно. В windows по умолчанию есть группа администраторов и группа стандартные пользователи. Администратор может создавать новые группы, задавать их права и перемещать пользователей между группами. Один пользователей может входить сразу в несколько групп.

Создание учетной записи пользователя в Windows

Мы рассмотрим процесс создания новой учетной записи пользователя компьютера для начинающих пользователей на примере Windows 7, в других версиях операционной системы все действия аналогичны. Как уже говорилось, правами создавать новых пользователей и редактировать существующие, обладает администратор. Существует несколько способ управления учетными записями пользователей на компьютере. Рассмотрим два из них и начнем наверно с самого просто и понятного новичкам.

Пункт «Управление учетными записями пользователей» в панели управления

Чтобы создать новую учетную запись щелкните кнопку «Пуск» выберите «Панель управления» ⇒ «Добавление и удаление учетных записей пользователей». Внешний вид панели управления зависит от режима просмотра, на рисунках показан режим просмотра «Категория».

Откроется окно с основными учетными записями. Мы хотим создать нового пользователя компьютера, поэтому выбираем «Создание учетной записи».

Вас перебросит в новое окно, где предлагается ввести имя нового пользователя и выбрать тип учетной записи. Лучше всего, когда в компьютере только один администратор это полезно с точки зрения безопасности и убережет от ситуации, когда разные пользователи постоянно меняют глобальные настройки на свой лад. Определившись с именем пользователя компьютера и типом его учетной записи, нажимаете кнопку «Создание учетной записи».

Все, новая учетная запись создана и ей можно пользоваться, однако рекомендуем сделать пароль для нового аккаунта. Пароль может сделать администратор компьютера или сам пользователь. Чтобы самостоятельно сделать пароль на свою учетную запись, необходимо войти в нее на экране входа в систему. Дальше запускаете снова «Панель управления» и переходите «Учетные записи пользователей и семейная безопасность» ⇒ «Изменение пароля Windows».

Откроется окно с выбором возможных действий с вашей учетной записью. Выбираете «Создание пароля своей учетной записи» и вводите придуманный пароль.

Так же вы можете изменить рисунок своей учетной записи. Остальные варианты действий, отмеченные значком щита, потребуют ввода пароля администратора.

Пароль к новой учетной записи может создать и администратор, для этого войдя в систему под администратором, идем по знакомому уже пути «Панель управления» ⇒ «Добавление и удаление учетных записей пользователей» и выбираем нужную учетную запись пользователя. Открывшееся окно показывает перечень возможных действий по управлению учетной записью пользователя в Windows. Выбираете пункт «Создание пароля», вводите пароль и нажимаете кнопку «Создать пароль».

Несколько слов об учетной записи гость в Windows. Данный аккаунт по умолчанию отключен и включить его может только администратор компьютера. Установить пароль или сменить тип учетной записи не возможно. Доступна смена рисунка и включение/отключение аккаунта.

Удаление учетной записи в Windows

Помимо создания, пользователь с учетной записью администратора компьютера, может удалять учетные записи других пользователей на компьютере. Выберите в окне из предыдущего рисунка пункт «Удаление учетной записи». Система предложит сохранить личные файлы пользователя или удалить их вместе с учетной записью. В случае с выбора сохранения данных, они будут сохранены на рабочем столе в папке с именем удаляемой учетной записи.

Использование оснастки «Локальные пользователи и группы»

Данный способ предоставляет расширенные возможности по управлению пользователями и группами на компьютере путем создания правил. Чтобы создать нового пользователя на компьютере, откройте «Панель управления» ⇒ «Система и безопасность» ⇒ «Администрирование» и в открывшемся новом окне двойной щелчок на «Управление компьютером», выбираете «Локальные пользователи и группы».

Другой способ открыть оснастку нажать «Пуск» ⇒ «Стандартные» ⇒ «Выполнить» или комбинация клавиш WIN+R. Вводите в открывшееся окно lusrmgr.msc и нажимаете OK. Щелчок правой кнопкой мыши по пункту «Пользователи» и выбираете пункт «Новый пользователь…».

Заполняете в открывшемся окне данные нового пользователя компьютера, устанавливаете нужные галочки и жмете кнопку «Создать».

Назначить или изменить группу пользователя можно сделав двойной щелчок на его имени или щелкнуть по имени правой кнопкой мыши и выбрать «Свойства». Переходите на вкладку «Членство в группах».

Нажимаете кнопку «Добавить» откроется новое окно и в зависимости от предпочтений, поступаете одним из способов. Вводите в форму название добавляемой группы и нажимаете кнопку проверить «Проверить имена» затем кнопку «OK».

Второй способ нажать кнопку «Дополнительно…» и затем кнопку «Поиск». Будет выведен список всех групп на данном компьютере, выбираете нужную группу и подтверждаете выбор.

Вот собственно и все, что мы хотели сегодня рассказать об учетных записях пользователей в Windows. Есть еще способы управления ими, но начинающим пользователям компьютера будет вполне достаточно этих.

Не все описанные методы работают в Windows 7 Домашняя. Работает в Windows 7 Профессиональная, Windows 7 Максимальная или Windows 7 Корпоративная.

Учетная запись Windows. Создание, настройка, удаление.

На каждом компьютере с установленной  операционной системой Windows существуют учетные записи пользователей. Благодаря учетным записям за одним компьютером могут работать разные люди с разными программами и настройками. В этой статье Вы узнаете, как создать, изменить, настроить или удалить учетную запись Windows.

Что такое учетная запись

С помощью учетной записи разграничиваются права пользователей на компьютере. Кроме того, устанавливаются определенные настройки и параметры для каждого отдельного пользователя (например, фон рабочего стола, установленные программы, файлы и папки).

Таким образом,  через учетные записи разные люди могут работать за одним компьютером, при этом имея свои индивидуальные настройки, программы и данные.

На любом компьютере есть хотя бы одна учетная запись. Сейчас мы займемся настройкой учетной записи, под которой Вы сейчас зашли на компьютер.

Настройка учетной записи

Попробуем настроить Вашу текущую учетную запись. Откройте меню “Пуск”. В левом столбце этого меню в самом верху будет  большой значок. У меня на нем изображён цветок, но у Вас может быть другое изображение.

Нажмите на этот значок один раз левой кнопкой мыши. Откроется папка с учетными записями Windows.

Тут отображается Ваша текущая учетная запись. У меня — “Виталий”. Ниже названия учетной записи указан ее тип (администратор) и что она защищена паролем.

Все учетные записи Windows разделены на “администратор” и “обычный доступ”. Пользователь с учетной записью с типом “администратор”  может выполнять любые изменения в компьютере и влиять на работу других учетных записей. Неопытные пользователи, которые заходят под записью с типом администратор, могут снизить безопасность компьютера.  Пользователь с записью “обычный доступ” не может изменять  другие учетные записи и влиять на безопасность компьютера.

С целью безопасности рекомендуется создать на компьютере 2 учетные записи: одну “администратор”, а другую “обычный доступ” и работать под учетной записью с типом “обычный доступ”. Чуть позже мы потренируемся создавать учетные записи.

Пароль на учетную запись нужен, что бы обезопасить свою учетную запись от посторонних.  Не зная пароль, будет крайне проблематично зайти под Вашей учетной записью. Что бы создать надежный пароль используйте генератор паролей.

Изменять тип учетной записи и устанавливать пароль мы будем, когда попробуем создать учетную запись Windows, а пока давайте поменяем рисунок Вашей учетной записи.

Слева от названия Вашей учетный записи есть столбец, с помощью которого можно изменить учетную запись. Найдите в нем строчку “Изменение своего рисунка” и нажмите на нее один раз левой кнопкой мыши.

Откроется окно со всеми доступными рисунками. Выберите любой (нажмите на него правой кнопкой мыши) и нажмите на кнопку “Изменение рисунка”. Окно с рисунками закроется автоматически, а рисунок Вашей учетной записи поменяется.

Что бы поменять имя учетной записи найдите строчку “Изменение имени своей учетной записи” и нажмите на нее левой кнопкой мыши. Затем откроется окно, в которое нужно ввести новое имя учетной записи и нажмите “Переименовать”.

Как создать учетную запись Windows

Что бы создать новую учетную запись нажмите в окне учетных записей на строчку “Управление другой учетной записью”. В этом окне можно создавать новые учетные записи или изменять другие.

Что бы создать новую учетную запись Windows нажмите на надпись “Создание учетной записи”. Теперь нужно ввести название учётной записи и указать ее тип.  Нажимаем кнопку “Создание учетной записи”.

В открывшимся окне нужно указать имя новой учетной записи и ее тип. Осталось только нажать на кнопку “Создание учетной записи”. Учетная запись создалась.

Как установить пароль на учетную запись

В разделе “Управление учетными записями” (Пуск – значок в верхнем правом углу – управление другой учетной записью) выбираем нужную учетную запись Windows и нажимаем на нее один раз левой кнопкой мыши.

Находим строчку “Создание пароля” и жмем на нее. Необходимо дважды ввести пароль. Создать пароль можно с через генератор паролей. Кроме самого пароля можно ввести подсказку, что бы вспомнить пароль (например, кличка кота или номер телефона).

Как видите установить пароль на учетную запись довольно просто.

Работа с несколькими учетными записями

Теперь при загрузке компьютера нужно будет выбрать учетную запись, через которую будет выполнен вход в операционную систему. В новой учетной записи, как и в Вашей текущей, можно поменять рисунок, установить пароль или поменять имя.

Что бы переключится с одной учетной записи на другую нужно открыть меню “Пуск”. Нажать на стрелочку рядом с кнопкой “завершение работы” и выбрать пункт “Сменить пользователя”.

 

Дальше на экране появятся все доступные учетные записи пользователей.

Как удалить учетную запись Windows

Снова открываем управление учетной записью (Пуск – значок в верхнем правом углу – управление другой учетной записью). Выбираем нужную учетную запись (которую хотим удалить) и жмем на строчку “Удаление учетной записи”.

Дальше нас спросят нужно удалить ли файлы – нажмите кнопку “Удалить файлы”. Осталось нажать на кнопку “Удаление учетной записи”. Вот и все. Учетная запись удалена.

Заключение

На этом уроке Вы узнали, что такое учетные записи пользователей и как с ними работать. Использование нескольких учетных записей очень удобно, если несколько человек работают за одним компьютером. Помните, что в целях безопасности неопытным пользователям лучше сидеть под учетной записью с типом  “обычный доступ”. Если у Вас остались вопросы или что-то непонятно, то пишите свои вопросы в комментариях.

Как создать и настроить учетную запись пользователя

советы → как это сделать → Как создать и настроить учетную запись

Как создать и настроить учетную запись

В Windows есть возможность многопользовательского входа в операционную систему. То есть, для входа в компьютер каждый пользователь имеет свою учетную запись, и, по желанию, свой пароль.

Чтобы настроить учетные записи нескольких пользователей в Windows XP , необходимо проделать следующие шаги:

  1. Открыть меню «Пуск» → «Панель управления».
  2. В окне «Панель управления» щелкнуть на значке «Учетные записи пользователей».
  3. В возникшем окне выбрать пункт «Создание учетной записи».
  4. В графе «Имя новой учетной записи» необходимо набрать имя нового пользователя. Это имя будет появляться в окне приветствия Windows, а также отображаться в главном меню.
  5. В окне «Выбор типа учетной записи» необходимо выбрать уровень прав пользователя, который будет действовать под создаваемой учетной записью. Можно выбрать «Администратор компьютера» или «Ограниченная запись».
  6. Затем нажать кнопку «Создать учетную запись».
  7. В окне «Учетные записи пользователя» появится значок нового пользователя.
    Щелкните на этот значок, чтобы создать все параметры входа под этой учетной записью. В окне можно будет изменить изображения значка пользователя, создать пароль для входа в систему; изменить имя пользователя, изменить тип учетной записи или вообще удалить учетную запись пользователя.
  8. Нажмите кнопку «ОК». Новая учетная запись пользователя создана.
Учетные записи пользователей

Администратор компьютера имеет следующие права:

  • создавать, изменять, удалять учетные записи на компьютере;
  • устанавливать или удалять программы;
  • получать доступ к любым файлам;
  • вносить в работу изменения, которые могут затронуть и других пользователей.

Ограниченная запись — учетная запись с ограниченными правами имеет следующие возможности:

  • сменить и удалить свой собственный пароль, а также изменить рисунок своей учетной записи;
  • просматривать и редактировать только свои собственные файлы;
  • просматривать документы в системной папке «Общие документы»;
  • настраивать свой рабочий стол.
Переключение пользователей

При необходимости с помощью учетных записей можно переключаться между пользователями, не закрывая своих программ.

Для этого:
Открыть меню «Пуск» → «Завершение сеанса» → нажать кнопку «Смена пользователя» и выбрать учетную запись нового пользователя.

 

→ в раздел Советы

При полной или частичной публикации статьи в Интернете обязательно указание активной гиперссылки на источник http://programmistan.narod.ru

Создание учетной записи пользователя в Windows 7

Ну а теперь давайте научимся создавать учетные записи пользователей на компьютере. За это отвечает инструмент Панели управленияУчетные записи пользователей. Запустим его (рис. 72).

Рис. 72. Учетные записи пользователей

В данном окне мы можем изменить настройки текущей учетной записи, но мы этого делать не будем, а сразу создадим новую. Выбираем пункт Управление другой учетной записью.

В открывшемся окне (рис.73) мы можем выбрать любую из учетных записей, представленных в нем для редактирования, т.е. изменения ее параметров. Вы видите, что в окне отображаются три учетные записи: Пользователь, Андрей и Гость. Учетная запись Гость создается операционной системой по умолчанию и также по умолчанию она отключена. Если вы ее включите, то любой человек сможет зайти на ваш компьютер под этой учетной записью, но он будет существенно ограничен в правах, т.е. в тех действиях, которые он сможет производить на компьютере. Давайте создадим еще одну учетную запись и заодно разберемся с правами.

Выберем пункт Создание учетной записи. Мы перейдем на следующий шаг, на котором нам необходимо указать имя учетной записи и ее тип (рис.74). С именем все понятно. Здесь можно указать свое имя или имя человека, для которого вы создаете учетную запись. Теперь давайте разберемся с типом учетной записи.

Рис. 73. Окно выбора учетной записи

Для начала вспомним, что же такое учетная запись. Мы уже знаем, что на компьютере мы можем создать несколько учетных записей, индивидуально для каждого пользователя этого компьютера. При этом каждый пользователь получает свое личное пространство на компьютере и возможность настраивать внешний вид операционной системы по своему вкусу. Но кроме этого учетная запись пользователя определяет, к каким файлам и папкам пользователь имеет доступ, а также какие изменения в работу компьютера пользователь может вносить. Это и есть те самые права, о которых мы только что говорили.

В Windows существуют три типа учетных записей, которые дают пользователям разные возможности по управлению компьютером:

  1. Обычный доступ – пользователь может запускать и работать в большинстве программ, а также изменять настройки операционной системы, которые не влияют на настройки других пользователей или безопасность компьютера. Это значит, что пользователям этой группы будут недоступны некоторые инструменты Панели управления, а также они не смогут работать в программах, которые могут влиять на работоспособность операционной системы Windows. Это идеальный тип учетной записи для начинающих, так как под этой учетной записью сложно что-либо испортить в Windows или в программах. Но тут есть и существенные ограничения. Например, не все программы вы сможете установить, находясь в учетной записи этого типа.

  2. Администратор – пользователь, имеющий данный тип учетной записи, получает полный контроль над компьютером и может производить любые настройки, причем даже те, которые касаются других пользователей компьютера.

  3. Гость – встроенная учетная запись, которую применяют для временного доступа к компьютеру. Это самая ограниченная в правах учетная запись.

Рис. 74. Создание учетной записи

Укажем имя и выберем тип учетной записи (рис.74). Далее нажимаем кнопку Создание учетной записи. Теперь выбираем из списка вновь нами созданную запись Ольга. Будем ее настраивать (рис.75).

Рис. 75. Окно выбора учетной записи

Основное мы уже настроили – это имя и тип учетной записи. Теперь можем что-то изменить, а что-то и добавить. Так первый пункт Изменение имени учетной записи говорит сам за себя (рис. 76). Во втором пункте мы можем задать пароль. В этом случае на экране приветствия (рис.29), при попытки входа под учетной записью, будет запрашиваться пароль.

Рис. 76. Настройка учетной записи

Изображение, которое будет отображаться на экране приветствия и в меню Пуск (рис.29 и 30), можно установить с помощью пункта Изменение рисунка. Причем можно выбрать изображение из списка стандартных рисунков или загрузить свое, нажав на Поиск других рисунков (рис.77).

Рис. 77. Изображение учетной записи

Если за вашим компьютером работает ребенок, то вы можете создать для него отдельную учетную запись, а затем настроить параметры родительского контроля.

Выберем пункт Установить родительский контроль (рис.76). По умолчанию данная возможность отключена. Выберем Включить, используя текущие параметры, а затем установим разрешения для данной учетной записи (рис.78).

Рис. 78. Настройка родительского контроля

Мы можем указать временные интервалы, в которые доступ к компьютеру будет разрешен. Это делается в разделе Ограничение по времени. Все что нужно – это указать часы, в которые доступ к компьютеру будет заблокирован. Далее можно настроить доступ к играм, а также выбрать те программы, с которыми данный пользователь сможет работать.

Вернемся к общим настройкам учетной записи (рис.76). При необходимости вы всегда сможете изменить тип учетной записи (Администратор или Обычная). Делается это в пункте Изменение типа учетной записи, но для этого действия учетная запись, в которой вы находитесь в данный момент, должна иметь тип Администратор. Тоже самое касается и удаления учетной записи.

На рисунке 71 я фоном выделил пункты Панели управления, с которыми мы обязательно должны познакомиться. Мы уже разобрались с Центром поддержки и с созданием учетных записей пользователей на компьютере. С остальными пунктами мы познакомимся дальше по мере изучения материала.
 

Домашнее задание:

  1. Выясните, под какой учетной записью на компьютере работаете вы (имя вашей учетной записи).
  2. Узнайте тип своей учетной записи (Администратор или Обычный доступ).
  3. Создайте новую учетную запись и произведите ее настройку (установите изображение, задайте пароль).
  4. Зайдите под новой учетной записью и настройте внешний вид Windows (установите изображение на Рабочем столе и измените цвет окон).
  5. Переключитесь в свою прежнюю учетную запись. Теперь вы понимаете, как это работает? Вы создали два «рабочих кабинета» со своими настройками и настройки одной учетной записи никак не влияют на внешний вид другой. Если вам вновь созданная учетная запись не нужна, то удалите ее.
  6. Если к вашему компьютеру имеет доступ ребенок, то создайте для него индивидуальную учетную запись с обычным доступом и настройте родительский контроль. В этом случае вам нужно будет установить пароль на все другие учетные записи, чтобы ребенок имел доступ только к своей.

7 причин использовать отдельные учетные записи для каждого члена семьи – Вадим Стеркин

В корпоративной среде у каждого работника есть своя учетная запись, но в домашних условиях члены семьи нередко пользуются одним аккаунтом на всех. Если к вашему компьютеру никто и никогда кроме вас не подходит, в создании нескольких учетных записей нет необходимости. Но если хоть иногда ваши близкие или друзья, например, выходят с него в Интернет, свою учетную запись им для этого лучше не предоставлять.

Сегодня вы узнаете семь причин, по которым в Windows у каждого члена семьи должна быть своя учетная запись. Вы увидите и услышите в подкасте, почему это ускоряет работу всех пользователей системы, а также познакомитесь с различными способами для контроля над ними.

1. Привычные программы и предсказуемая работа системы

Как вы думаете, может смутить человека, привыкшего к Windows Media Player, интерфейс проигрывателей AIMP или VLC, несмотря на все их чудесные преимущества? И уверены ли вы в том, что измененная вами до неузнаваемости Opera нужна в качестве браузера по умолчанию дедушке?


photo credit: jonrawlinson

Одна моя знакомая не могла разобраться, куда сохраняются скачанные из Интернета файлы. Дело было в том, что установленный сыном менеджер закачек перехватывал их и сохранял в заданные расположения. К сожалению, сын забыл рассказать маме, как сохранять файлы на рабочий стол. Знакомая ситуация?

Таких примеров можно привести немало, но вовсе не для того, чтобы посмеяться над человеком, не умеющим работать с менеджером закачек. Мораль в том, что когда одной учетной записью пользуются люди с разным уровнем владения Windows, в проигрыше всегда оказывается менее опытный пользователь.

Отдельные учетные записи обеспечивают комфорт вам, одновременно  упрощая работу в системе и программах другим членам семьи.

Кроме того, вы проявляете уважение ко всем пользователям системы, т.к. им не придется работать на ваших условиях. Они ответят вам взаимностью, если вы сделаете их работу в Windows понятнее и удобнее.

2. Быстрый и удобный доступ к своим файлам и данным

Когда свои файлы и данные находятся под рукой, неизменно растет скорость работы в системе.


photo credit: Mariano Kamp

За счет раздельных учетных записей каждый пользователь работает быстрее, потому что доступны свои:

  • текущие документы
  • любимые файлы, папки и поиски
  • закладки и история браузера
  • ярлыки нужных программ и т.д

Если в одной учетной записи разные люди пользуются одним браузером, возникают неудобства в виде чужой истории, закладок и поисков, не говоря уж о домашней странице и запоминанием паролей к сайтам. Точно так же неудобно пользоваться в одной учетной записи двумя аккаунтами Skype или любой другой программой для общения, т.к. приходится все время выходить и вводить имя и пароль. С отдельными учетными записями таких проблем не возникает.

Windows и почти все программы запоминают последние папки и файлы, к которым вы обращались. В операционной системе это списки переходов, недавние места и история поиска, а в программах — меню «Файл» и последние открытые папки в окнах «Открыть» и «Сохранить как».

Навигация сильно упрощается, когда работаешь только со своей историей файлов и папок, т.е. повышается скорость работы в системе без всякого апгрейда железа.

Поиск тоже работает в пределах своей учетной записи, и никому не будут мешать чужие документы, картинки и медиа-файлы. Однако домашние коллекции фильмов и музыки логично поместить в общие пользовательские папки. В этом случае они автоматически включаются в стандартные библиотеки. Таким образом, каждый пользователь сможет найти как свои, так и общие файлы поиском в библиотеке.

Расположение элементов рабочего стола и панели задач также играет огромную роль в скорости работы – все должно быть на своих местах, от ярлыков рабочего стола до программ в панели задач и области уведомлений.


Увеличить рисунок

Этого редко удается достичь при совместной работе в одной учетной записи.  Я не раз видел, как доступ к файлам осуществляется через папку «Моё» на рабочем столе или в корне диска. Но ведь при этом не задействуются библиотеки и пользовательские папки, дающие выигрыш в скорости работы с файлами и документами.

3. Подходящее оформление

Раз уж речь зашла о рабочем столе, нельзя пройти мимо  оформления операционной системы — это обои, цветовая схема, звуки и т.д. Одним приятнее видеть на рабочем столе цветочек, другим — аниме в обрамлении темной цветовой гаммы окон, а третьи предпочтут обои с Ferrari и оформление Windows в красных тонах.

Работать в оформленной на свой вкус системе так же приятно, как и спать в своей кровати. И не надо ходить к гадалке или к социологам, чтобы увидеть прямую связь между комфортом и высокой продуктивностью работы.

Помимо комфорта не стоит забывать и о так называемых специальных возможностях. Так, людям со слабым зрением может понадобиться контрастная тема оформления, либо увеличенный размер шрифта в окнах. Отдельная учетная запись в этом случае просто необходима.

Пара слов о паролях

Иногда идея использования отдельных учетных записей воспринимается в штыки, даже если она помогает искоренить проблему, которую меня просят решить. Традиционный аргумент в этом случае: «Нам нечего скрывать друг от друга!» Поскольку компьютерные проблемы не должны вносить разлад в семью, я стандартно отвечаю: «Тогда не ставьте пароли на учетные записи!». Так можно получить все изложенные выше преимущества раздельных учетных записей, причем без малейшего намека на секретность.

Если же вам нужно контролировать пользователей, без паролей не обойтись (по крайней мере, на административные учетные записи). И дальше речь как раз пойдет о защите данных и системы, а также о контроле над ее пользователями.

4. Защита от шаловливых рук

Если вы читаете эту статью, то либо являетесь самым опытным пользователем в семье, либо жаждете им стать. Для этого нужно быть администратором домашней системы, причем не просто иметь полные права, а обеспечивать ей стабильную и безопасную работу.

С большой долей вероятности это означает, что ваши домочадцы должны работать с обычными правами. А чтобы им не требовались права администратора, за своевременную установку всех нужных им программ и настройку системных параметров отвечаете вы.  Да-да, а вы как думали?

В Windows права администратора требуются фактически только для установки программ, драйверов и настройки системы. С ограниченными правами вполне комфортно проводить время в Интернете, качать файлы, общаться всевозможными способами, слушать музыку, смотреть фильмы, и т.д.

Став единственным пользователем с полными правами, вы исключаете вариант потери контроля над системой по вине или недосмотру ваших домочадцев и гостей.

Изменить системные параметры и файлы они не смогут, а в случае заражения вредоносный код не продвинется дальше их профиля, что несложно исправить.

Начните с создания учетной записи с обычными правами для каждого члена семьи, а также добавьте еще один ограниченный аккаунт — для гостей.

Для друзей и знакомых можно использовать учетную запись «Гость», но я обхожусь без нее. Если вы все же решите пойти таким путем, задайте гостевой учетной записи пароль. Для этого в командной строке, запущенной от имени администратора, выполните net user guest * и введите пароль (чтобы удалить его, повторите команду и дважды нажмите Enter).

5. Конфиденциальность

Помимо защиты от шаловливых рук отдельные учетные записи спасают и от любопытных глаз.


photo credit: fmmr

Во-первых, автоматически решается вопрос с разграничением доступа пользователей к папкам и файлам. В форумах OSZone регулярно всплывает вопрос «Как поставить пароль на папку?» В пароле нет необходимости, если у вас в системе созданы отдельные ограниченные учетные записи. В этом случае обычные пользователи не имеют доступа ни к файлам друг друга, ни к папкам администратора. Однако если вы переносите пользовательские папки на другой раздел, придется вручную настроить права доступа.

Во-вторых, можно не волноваться, что домочадцам попадется на глаза любая активность в Интернете, будь-то посещение сайтов или обмен сообщениями. Все эти сведения хранятся в профиле и недоступны другим пользователям, если учетные записи защищены паролями.

Если же вы хотите дополнительно защитить ваши личные данные, их можно зашифровать. Программ для этой цели существует великое множество (я использую TrueCrypt с открытым исходным кодом).

6. Родительский контроль

Отдельные учетные записи создают отличный плацдарм для контроля над пользователями системы. Когда родители считают, что чаду нужно поменьше сидеть за компьютером и/или в Интернете, либо хотят запретить посещение «плохих» сайтов (из дома :), на помощь приходит родительский контроль.


photo credit: Cath Schneider

Эта возможность входила в состав Windows 7, но со временем переехала в облако. Впрочем, не все задачи можно решить этими средствами.

Так, если вы хотите разрешить выход в Интернет только в определенные часы (скажем, с 16 до 21), средства Microsoft вам помогут. Но если  при этом необходимо ограничить общее время в Интернете тремя часами в день, придется использовать сторонние программы. С такой задачей успешно справляется, например, пакет Kaspersky Internet Security.

У каждой программы в этой сфере есть свои возможности и фирменные технологии. Тем, кто интересуется этой темой, я рекомендую сравнительный обзор программ для родительского контроля, который опубликовал в своем блоге Владимир Безмалый, MVP по безопасности.

7. Недетский контроль

Если вы являетесь счастливым обладателем издания Pro и выше, ваши возможности по контролю над пользователями значительно расширяются и становятся удобнее.


photo credit: Ev0luti0nary

В вашем распоряжении тысячи параметров групповой политики, снабженной редактором (gpedit.msc), в то время как в домашних изданиях приходится использовать реестр. В Windows XP Professional локальные групповые политики применялись ко всем пользователям, включая администраторов, поэтому приходилось предпринимать дополнительные шаги, чтобы не ограничить себя любимого. Начиная с Windows 7 эта проблема не стоит, поскольку можно задействовать несколько объектов локальной групповой политики. Это позволяет вам применять политики к группам пользователей (например, ко всем не администраторам), и даже к избранным учетным записям.

В корпоративных изданиях с помощью технологии AppLocker можно определять, с какими программами могут работать пользователи вашей системы. Стандартный сценарий – это использование списка разрешенных программ и запрет на запуск остальных. В отличие от политик ограниченного использования программ, в AppLocker можно настроить собственные правила для различных пользователей. Подробный рассказ об AppLocker есть на сайте OSZone.

Не оставляйте лазеек

Жесткий контроль хорош, только когда  ограниченный пользователь играет по правилам. Если же он всерьез озаботился вопросом повышения своих прав, то вы и глазом моргнуть не успеете, как это произойдет. Так, проще простого создать административную учетную запись, загрузившись с установочного диска Windows или с какого-нибудь LiveCD. После чего можно выдать необходимые права своей учетной записи и делать в ней что угодно, пока вы будете почивать на лаврах.

Чтобы защититься от особо «продвинутого» пользователя, нужно установить запрет на загрузку с оптических и съемных носителей в BIOS, а также задать административный пароль на вход в BIOS.

В особо тяжелых случаях придется опечатать системный блок или ноутбук. Если печать окажется сорванной, стоит задуматься о других воспитательных мерах, либо над покупкой человеку отдельного компьютера – пусть учится отвечать за свою систему.

Как у вас организована работа в системе?

Если вы не единственный пользователь своего компьютера, расскажите, как у вас налажена работа нескольких пользователей. Имеются ли отдельные учетные записи для всех членов семьи или все вы пользуетесь одним аккаунтом?

Возможно, вы уже пытались создать отдельные учетные записи, но столкнувшись с некой проблемой, отказались от этой идеи. В этом случае расскажите, что явилось непреодолимым препятствием к работе с индивидуальными аккаунтами. Не исключено, что у проблемы есть решение!

Учетные записи Windows 7

В этой статье, предназначенной для тех, кто только начинает знакомится с “семеркой”, рассказывается об учетных записях Windows 7, о принципах их создания и использования. Учетные записи – тот инструмент, который необходим если компьютером пользуются несколько человек. Также вам не помешает узнать, в чем именно заключается различие между учетной записью администратора и обычного пользователя.

В Windows 7 работа с учетными записями особо не отличается от аналогичных действий в Windows XP и Windows Vista. Однако, в Windows 7 теперь все делается в новом интерфейсе, к которому нужно привыкнуть.

Как правило, имеет смысл создать отдельную учетную запись для каждого члена семьи. При этом вовсе не обязательно давать всем одинаковые возможности. Можно оставить себе полномочия администратора, а остальным хватит полномочий обычного пользователя – так меньше набедокурят 😉

Теперь давайте посмотрим, как можно добавить новую учетную запись.

Новая учетная запись пользователя

Выберите команду Пуск >Панель управления и в разделе Учетные записи пользователей и семейная безопасность щелкните на ссылке Добавление и удаление учетных записей пользователей.

В новом окне щелкните на ссылке Создание учетной записи.

Откроется окно, в котором следует ввести имя пользователя и тип учетной записи. Как правило, имеет смысл выбирать переключатель Обычный доступ, чтобы пользователь не мог изменять системные параметры, случайно или намеренно удалять важные системные файлы или менять параметры безопасности. Одному компьютеру – один администратор, золотое правило. После ввода имени щелкните на кнопке Создание учетной записи.

Теперь, если перезагрузить компьютер, в окне регистрации в системе появится наш новый пользователь.

Если для учетной записи пользователя указан пароль (об этом ниже), то его придется ввести для входа в систему.

Если обычный пользователь попытается выйти за рамки своих полномочий (скажем, попробует изменить имя компьютера), то у него потребуют ввести пароль администратора (в данном случае, администратора “Пимпочка”).

Будучи администратором, вы можете изменять другие учетные записи или создавать для них пароли. Что касается паролей, нужно открыть уже известное нам окно Управление учетными записями, щелкнуть на значке пользователя с обычным доступом и затем на ссылке Создание пароля.

В открывшемся окне дважды введите пароль, а также подсказку на случай, если пользователь забудет пароль.

Типы учетных записей

Давайте чуть подробнее рассмотрим, что за типы учетных записей бывают. Их всего три:

  • Администратор. Царь и бог Windows, может делать абсолютно все без ограничений.
  • Обычный доступ. Пользователи с обычным пользователем также обладают широкими возможностями, однако, им нельзя устанавливать новые программы, удалять системные файлы или изменять системные параметры. Впрочем, все это им также доступно, но лишь после ввода пароля администратора.
  • Гостевой доступ. Это временный доступ к компьютеру. Пользователи с таким доступом не могут устанавливать программы, делать какие-либо ограничения, указывать пароли и т.д. Такой тип доступа пригодится тем, кто использует компьютер лишь чтобы быстренько проверить электронную почту или поработать в Word.

Если пользователь с обычным доступом попробует залезть, куда не надо, его не пустят:

Что касается гостевого доступа, то он отключен по умолчанию. Чтобы его включить, в окне Управление учетными записями щелкните на значке Гость.

После чего в новом окне щелкните на кнопке Включить.

Для гостевой учетной записи можно только изменять картинку и выключить запись. А вот установить пароль или изменить тип гостевой записи – не получится.

Когда администратор системы устанавливает программы, то нередко ему нужно выбрать при установке – будет ли программа доступна только ему, или другим пользователям системы вне зависимости от их уровня доступа. Тут уж решайте сами, вы администратор – вам и карты в руки.

Также не забывайте, что если вы собрались выключить компьютер, когда другой пользователь еще не вышел из системы, то данные, которые он не сохранил, могут быть утрачены. Так что не спешите и завершите сеанс работы других пользователей, прежде чем жмакать кнопку “Выключить”.

Ну что ж, эта статья, рассчитанная на новичков, позволит вам захапать себе учетную запись администратора и быстренько назначить Обычный доступ всем остальным членам вашей семьи (а вредному младшему брату и гостевого доступа хватит, хе-хе).

Как создать пользователя Windows 10

&nbsp windows | для начинающих

В этой инструкции для начинающих о том, как создать нового пользователя Windows 10 несколькими способами, как сделать его администратором или наоборот, создать ограниченную учетную запись пользователя компьютера или ноутбука. Также может пригодиться: Как удалить пользователя Windows 10.

В Windows 10 присутствуют два типа учетных записей — учетные записи Майкрософт (требующие адреса электронной почты и синхронизирующие параметры онлайн) и локальные учетные записи пользователей, не отличающиеся от тех, которые могут быть вам привычны по ранним версиям Windows. При этом одну учетную запись всегда можно «превратить» в другую (например, Как удалить учетную запись Майкрософт). В статье будут рассмотрено создание пользователей с обоими типами учетных записей. Также может быть полезным: Как сделать пользователя администратором в Windows 10.

Создание пользователя в параметрах Windows 10

Основной способ создания нового пользователя в Windows 10 — использование пункта «Учетные записи» нового интерфейса настроек, доступного в «Пуск» — «Параметры». В указанном пункте настроек откройте раздел «Семья и другие пользователи».

  • В разделе «Ваша семья» вы сможете (при условии, что используете учетную запись Майкрософт) создать учетные записи для членов семьи (также синхронизируемые с Майкрософт), подробнее о таких пользователях я писал в инструкции Родительский контроль Windows 10.
  • Ниже, в разделе «Другие пользователи» можно добавить «простого» нового пользователя или администратора, учетная запись которого не будет контролироваться и являться «членом семьи», можно использовать как учетные записи Майкрософт, так и локальные учетные записи. Этот вариант будет рассматриваться далее.

Для создания нового пользователя, не входящего в семью и без возможностей родительского контроля, выполните следующие шаги:

  1. В разделе «Другие пользователи» нажмите «Добавить пользователя для этого компьютера».
  2. В следующем окне вам будет предложено указать адрес электронной почты или номер телефона — введите их, при условии, что вы хотите добавить пользователя с уже существующей учетной записью Майкрософт.
  3. Если вы собираетесь создавать локальную учетную запись (или даже учетную запись Майкрософт, но пока не зарегистрировали e-mail для нее), нажмите «У меня нет данных для входа этого человека» внизу окна.
  4. В следующем окне будет предложено создать учетную запись Майкрософт. Вы можете заполнить все поля для создания пользователя с такой учетной записью или нажать «Добавить пользователя без учетной записи Майкрософт» внизу.
  5. В следующем окне останется ввести имя пользователя, пароль (если требуется пользователь без пароля, просто не вводите ничего в соответствующие поля), подсказку для пароля и указать вопросы для восстановления пароля, на случай, если он будет забыт. Этого достаточно, чтобы новый пользователь Windows 10 появился в системе и под его учетной записью был возможен вход.

По умолчанию, новый пользователь имеет права «обычного пользователя». Если нужно сделать его администратором компьютера, выполните следующие шаги (при этом, вы для этого также должны быть администратором):

  1. Зайдите в Параметры — Учетные записи — Семья и другие пользователи.
  2. В разделе «Другие пользователи» нажмите по пользователю, которого нужно сделать администратором и кнопку «Изменить тип учетной записи».
  3. В списке выберите «Администратор» и нажмите Ок. 

Войти под новым пользователем можно, нажав по имени текущего пользователя вверху меню пуск или с экрана блокировки, предварительно выйдя из текущей учетной записи.

Как создать нового пользователя в командной строке

Для того, чтобы создать пользователя с помощью командной строки Windows 10, запустите ее от имени администратора (например, через меню правого клика по кнопке «Пуск»), после чего введите команду (если имя пользователя или пароль содержат пробелы, используйте кавычки):

net user имя_пользователя пароль /add

И нажмите Enter.

После успешного выполнения команды, в системе появится новый пользователь. Также вы можете сделать его администратором, используя следующую команду (если команда не сработала, а у вас не лицензия Windows 10, попробуйте вместо Администраторы писать administrators):

net localgroup Администраторы имя_пользователя /add

Вновь созданный таким образом пользователь будет иметь локальную учетную запись на компьютере.

Создание пользователя в «Локальные пользователи и группы» Windows 10

И еще один способ создания локальной учетной записи с помощью элемента управления «Локальные пользователи и группы»:

  1. Нажмите клавиши Win+R, введите lusrmgr.msc в окно «Выполнить» и нажмите Enter.
  2. Выберите «Пользователи», а затем в списке пользователей кликните правой кнопкой мыши и нажмите «Новый пользователь». 
  3. Задайте параметры для нового пользователя. 

Чтобы сделать созданного пользователя администратором, кликните по его имени правой кнопкой мыши, выберите пункт «Свойства». Затем, на вкладке «Членство в группах» нажмите кнопку «Добавить», наберите «Администраторы» и нажмите «Ок».

Готово, теперь выбранный пользователь Windows 10 будет иметь права администратора.

Добавление учетной записи в control userpasswords2

И еще один очень простой способ добавления новой учетной записи пользователя Windows 10:

  1. Нажмаем клавиши Win+R, вводим control userpasswords2 
  2. В списке пользователей нажимаем кнопку добавления нового пользователя 
  3. Дальнейшее добавление нового пользователя (доступны как учетная запись Майкрософт, так и локальная учетная запись) будет выглядеть тем же самым образом, что и в первом из описанных способов. 

Видео инструкция

Если остались какие-либо вопросы или что-то не получается так просто, как это описано в инструкции — пишите, постараюсь помочь.

А вдруг и это будет интересно:

учетных записей компьютеров — ITFreeTraining

В этом видео рассматриваются учетные записи компьютеров в Active Directory. Каждый раз, когда вы добавляете компьютер в домен, учетная запись компьютера создается для этого компьютера в базе данных Active Directory. В этом видео показано, как работают эти учетные записи компьютеров и как сбросить учетную запись компьютера, если пароль в учетной записи компьютера не синхронизируется с паролем, хранящимся на локальном компьютере. Демонстрация 04:57 Учетная запись компьютера Учетная запись компьютера в Active Directory. очень похожа на учетную запись пользователя в Active Directory.По сути, учетная запись компьютера и учетная запись пользователя состоят из одних и тех же атрибутов. Как и учетная запись пользователя, учетная запись компьютера имеет пароль. В отличие от учетной записи пользователя, этот пароль генерируется случайным образом. Этот пароль предоставляется домену при запуске компьютера, что позволяет создать безопасное соединение между компьютером и контроллером домена. Этот пароль автоматически меняется через 30 дней. Если компьютер не подключался к домену более 30 дней, компьютер все равно сможет получить доступ к домену.Пароль учетной записи компьютера будет изменен при следующем подключении компьютера к домену. Восстановление учетной записи компьютера Иногда пароль, используемый на локальном компьютере, и пароль, хранящийся в домене для учетной записи компьютера, не синхронизируются. В этом случае вы получите сообщение «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом». В этом случае компьютер необходимо будет повторно добавить в домен. Предварительные учетные записи компьютеров Учетная запись компьютера автоматически создается для компьютера, когда он добавляется в домен.Вы также можете вручную создать учетную запись компьютера заранее, прежде чем компьютер будет добавлен в домен. Когда это сделано, это называется предварительным этапом. Существует ряд причин, по которым вы можете захотеть предварительно подготовить учетную запись компьютера: 1) Решения для развертывания, такие как Windows Deployments Solutions (WDS), можно настроить для использования только предварительных учетных записей. Это останавливает развертывание компьютеров, если для них не созданы учетные записи компьютеров. По сути, это накладывает некоторые элементы управления на образы, которые развертываются с использованием таких систем, как WDS.2) Предварительная учетная запись компьютера гарантирует, что компьютер помещен в правильную организационную единицу. Если вы не используете предварительно подготовленную учетную запись компьютера, учетная запись компьютера будет создана в расположении компьютеров по умолчанию. К организационному подразделению компьютеров нельзя применить дополнительные групповые политики, поэтому оно ограничивает возможности администрирования компьютера. Предварительная подготовка компьютера гарантирует, что администраторы могут управлять компьютером с помощью групповой политики, как только компьютер будет добавлен в домен. 3) Когда создается предварительная учетная запись компьютера, разрешения могут быть назначены для предварительной учетной записи.Эти разрешения позволяют любому пользователю, которого вы выберете, добавить компьютер в домен с этим именем компьютера. Обычно для добавления компьютера в домен вам нужен пользователь, который является членом группы администраторов. Демонстрация Для выполнения администрирования учетных записей компьютеров в Active Directory откройте «Пользователи и компьютеры Active Directory» из средств администрирования в меню «Пуск». Если вы выбрали учетную запись компьютера, вы можете получить доступ к свойствам учетной записи компьютера, щелкнув правой кнопкой мыши и выбрав свойства.Вкладка свойств содержит информацию о компьютере, например, тип компьютера, например, «рабочая станция или сервер» или контроллер домена, настроенный или не настроенный в качестве сервера глобального каталога. Чтобы создать предварительную учетную запись компьютера, откройте «Пользователи и компьютеры Active Directory». Внутри учетных записей пользователей Active Directory перейдите к подразделению, в котором вы хотите создать учетную запись компьютера. В диалоговом окне нового компьютера вы также можете установить учетную запись пользователя, которой будет разрешено добавлять компьютер в домен.Чтобы добавить компьютер в домен, откройте проводник Windows, щелкните компьютер правой кнопкой мыши и выберите свойства. В свойствах системы выберите параметр изменения настроек и нажмите кнопку изменения. Это позволит вам удалить или добавить компьютер в домен. Чтобы сбросить пароль учетной записи компьютера, щелкните правой кнопкой мыши учетную запись компьютера и выберите «Сбросить учетную запись». Компьютер необходимо будет удалить из домена и снова добавить. Когда вы удаляете компьютер из домена и помещаете его в рабочую группу, вам не нужно перезагружать компьютер перед его повторным добавлением в домен.После добавления в домен вам потребуется перезагрузить компьютер, чтобы завершить процесс. Ссылки «Учетные записи пользователей и компьютеров» http://technet.microsoft.com/en-us/library/cc759279(v=ws.10 ) .aspx «Сброс учетных записей компьютеров в Windows» http://support.microsoft.com/kb/216393 «Процесс паролей для машинных учетных записей» http://blogs.technet.com/b/askds/archive/2009/02/15 /test2.aspx «Учетная запись компьютера Pre-Stage в Windows Server 2008» http://www.pctips3000.com/pre-stage-computer-account-in-windows-server-2008

windows server 2016 — как разрешить учетной записи компьютера / компьютера аутентифицироваться для члена домена Samba AD?

Проблема

Попытка подключиться к общему сетевому ресурсу на сервере Samba из Windows Server 2019, поскольку учетная запись SYSTEM приводит к . Недопустимый пароль для \\ server \ share , затем появляется запрос на новый.Ожидаемый результат: Команда успешно выполнена.

Когда я пытаюсь подключиться к общему ресурсу, журнал машины на сервере Samba показывает:

  get_user_from_kerberos_info: имя пользователя DOMAIN \ COMPUTER $ недействительно в этой системе
  

Итак, вопрос: почему? Как я могу разрешить рядовому серверу аутентифицировать учетную запись компьютера?

Фон

Недавно я перенастроил сервер Samba (v4.5.16) и присоединил его к домену Active Directory на базе Samba на функциональном уровне 2008 R2.Я настроил общий ресурс с помощью списков управления доступом Windows, предоставив разрешения на чтение и выполнение NTFS для прошедших проверку пользователей и компьютеров домена, а также полный доступ для всех к общему ресурсу. Просмотр и чистое использование Тесты ing работают нормально с учетной записью обычного пользователя в окне Windows 2019. Все хорошо и щегольски.

НО! Поскольку этот общий ресурс содержит установочные файлы для развертывания программного обеспечения с помощью объектов групповой политики (GPO), он также должен быть доступен для учетных записей компьютеров (например, COMPUTER $). Но, по-видимому, это не так, несмотря на то, что также предоставляются разрешения на чтение для всех.Тестирую с

  psexec -i -s cmd.exe
чистое использование \\ сервер \ доля / пользователь:% computername% $
  

… и вот тогда я вижу проблему.

Я также включил ведение журнала установщика Windows, в котором указано, что источник ( \\ server \ share \ path \ to \ installer ) недействителен.

До этого все было нормально (программное обеспечение успешно развертывалось при запуске) со старыми машинами Windows (2003-2008), поскольку для общего ресурса был включен гостевой доступ, но Windows 10+ и 2016+ больше не допускают этого по умолчанию. (Я тоже проверил, разрешил ли это, но это привело только к тому же запросу пароля.)

FWIW, член домена Samba, на котором размещается этот общий ресурс, настроен на использование серверной части ad idmap с опцией RFC2307. В результате я попытался добавить uidNumber к учетной записи компьютера в домене, но это не дало результата.

Я здесь на грани ума, потратив большую часть двух дней на поиск, тестирование, проклятия и т. Д., Так что теперь я смиренно ищу коллективную мудрость ServerFault.

Спасибо за ваше время и внимание!

учетная запись компьютера в сетевой энциклопедии

Что такое учетная запись компьютера?

Учетная запись в базе данных диспетчера учетных записей безопасности (SAM) контроллера домена Microsoft Windows NT (или в Active Directory Windows 2000), которая означает, что конкретный компьютер является частью домена Windows NT или Windows 2000.

Контроллеры домена Windows NT и Windows 2000 могут хранить три типа учетных записей: учетные записи пользователей, групповые учетные записи и учетные записи компьютеров.

Как это работает: Учетная запись компьютера

Учетные записи компьютеров используются Windows NT и Windows 2000, чтобы определить, является ли конкретная система, которую пользователь использует для входа в сеть, частью домена. Когда служба NetLogon, работающая на клиентском компьютере, подключается к службе NetLogon на контроллере домена для проверки подлинности пользователя, службы NetLogon запрашивают друг друга, чтобы определить, есть ли у них обоих действительные учетные записи компьютеров.Это позволяет установить безопасный канал связи для входа в систему.

Чтобы сервер или рабочая станция Windows NT присоединились к домену, на машине должна быть создана учетная запись компьютера в базе данных SAM. Есть два способа создать эту учетную запись:

  • Используйте диспетчер сервера в Windows NT или «Пользователи и компьютеры Active Directory» в Windows 2000, чтобы создать учетную запись компьютера для машины, а затем подключить машину к домену.
  • Используйте учетную запись администратора для создания учетной записи компьютера при установке Windows NT или Windows 2000 на сервер или рабочую станцию.

В Windows NT убедитесь, что нет открытых сеансов с основным контроллером домена (PDC) домена, прежде чем подключать машину к домену.

ПРИМЕЧАНИЕ


Машины под управлением Windows 95 и Windows 98 могут участвовать в аутентификации домена, но у них нет учетных записей компьютеров в базе данных каталога домена. Вот почему поле входа в систему для компьютера с Windows 95 или Windows 98 имеет жестко заданное доменное имя и может входить только в один домен.В поле входа в систему для машины Windows NT, однако, есть раскрывающийся список, который позволяет вам выбрать, в какой домен вы хотите войти, при условии, что между доменами в сети установлены подходящие доверительные отношения.

СОВЕТ


Если вы переустанавливаете Windows NT или Windows 2000 на машине, вы должны удалить старую учетную запись компьютера и создать новую учетную запись компьютера, даже если машина имеет то же имя, что и раньше.

Безопасность Active Directory — Active Directory и безопасность предприятия, методы защиты Active Directory, методы атак и эффективная защита, PowerShell, технические примечания и мелочи для компьютерных фанатов…

Многие знакомы с Active Directory, локальным каталогом и системой проверки подлинности, доступной в Windows Server, , но что именно такое Azure Active Directory?

Azure Active Directory (Azure AD или AAD) — это многопользовательский облачный каталог и служба проверки подлинности.
Azure AD — это служба каталогов, которую Office 365 (и Azure) использует для учетной записи, групп и ролей.
Это также поставщик удостоверений (IPD) и поддерживает федерацию (SAML и т. Д.).
Примечание: с учетом того, как быстро меняется облако, элементы этого сообщения могут устареть вскоре после исходной даты публикации.

Azure AD обеспечивает высокую доступность и глобальное развертывание.

Azure AD развернут в более чем 30 центрах обработки данных по всему миру, используя зоны доступности Azure там, где они есть.Это число быстро растет по мере развертывания дополнительных регионов Azure.

Для обеспечения надежности любой фрагмент данных, записанный в Azure AD, реплицируется как минимум в 4–13 центров обработки данных в зависимости от конфигурации вашего клиента. В каждом центре обработки данных данные снова реплицируются как минимум 9 раз для обеспечения надежности, а также для увеличения емкости для обслуживания нагрузки аутентификации. Для иллюстрации — это означает, что в любой момент времени в нашей службе в нашем самом маленьком регионе доступно не менее 36 копий данных вашего каталога.Для обеспечения надежности запись в Azure AD не завершается до успешной фиксации в центре обработки данных за пределами региона.

Этот подход дает нам как надежность данных, так и массивную избыточность — несколько сетевых путей и центров обработки данных могут обслуживать любой заданный запрос авторизации, а система автоматически и интеллектуально повторяет попытки и маршрутизирует отказы как внутри центра обработки данных, так и между центрами обработки данных.

Чтобы проверить это, мы регулярно выполняем внедрение ошибок и проверяем устойчивость системы к сбоям компонентов системы, на которых построена Azure AD.Это распространяется на регулярное отключение целых центров обработки данных, чтобы убедиться, что система может выдержать потерю центра обработки данных без ущерба для клиентов.

Azure AD уже представляет собой массивную систему, работающую более чем на 300 000 ядер ЦП и способную полагаться на огромную масштабируемость облака Azure для динамического и быстрого масштабирования в соответствии с любыми потребностями. Это может включать как естественный рост трафика, например пик аутентификации в 9 часов утра в данном регионе, так и огромные всплески нового трафика, обслуживаемого нашим Azure AD B2C, который поддерживает некоторые из крупнейших мировых событий и часто вызывает поток миллионов новых пользователей.

Для поддержки проверок работоспособности, обеспечивающих безопасное развертывание, и предоставления нашей группе инженеров информации о работоспособности систем, Azure AD излучает огромное количество внутренней телеметрии, показателей и сигналов, используемых для мониторинга работоспособности наших систем. В нашем масштабе это более 11 петабайт в неделю сигналов, которые используются в наших автоматизированных системах мониторинга состояния здоровья.

https://azure.microsoft.com/en-us/blog/advancing-azure-active-directory-availability/

Azure Active Directory не является облаком AD
Azure Active Directory не является Active Directory, размещенным в облаке.
Не существует стандартных методов аутентификации AD, таких как NTLM или Kerberos; нет LDAP; и нет групповой политики (GPO), поэтому Azure AD не будет работать с традиционными локальными приложениями.

Существуют облачные среды Active Directory, которые можно использовать для управления облачными рабочими нагрузками в Microsoft Azure (доменные службы Azure Active Directory), Amazon AWS (Amazon Managed Microsoft AD) и Google Cloud (управляемая служба для Microsoft Active Directory (AD). ). Это все размещенные среды Microsoft Active Directory, которые имеют 2 контроллера домена (или более), а администраторы клиента не получают прав администратора домена в размещенной среде AD; предоставляется только делегированный доступ, который часто включает в себя возможность создавать / управлять ресурсами в конкретном подразделении и определенных объектах групповой политики.

Примечание. У меня нет возможности включать здесь сравнение этих сервисов, но я могу написать в будущем пост, если будет интерес (я провел небольшое исследование, сравнивая предложения сервисов AD на базе Microsoft Azure и Amazon AWS в 2017 году).

Основные инструменты управления
Инструмент, с которым знакомо большинство администраторов AD, — это пользователи и компьютеры Active Directory, также известные как ADUC (инструмент MMC).

Администраторы

Azure Active Directory в основном будут использовать веб-консоль на https: // портале.azure.com для управления средой.

Администраторы, которые управляют Active Directory локально, а теперь и Azure AD / Office 365, будут использовать локальные инструменты MMC, а также порталы веб-администрирования (и различные связанные с ними URL-адреса).
Существуют командлеты PowerShell, доступные для управления Azure AD (аналогичные локальным), хотя облачные функции часто перемещаются быстрее, чем выпускаются инструменты PowerShell, что означает, что использование облачного портала администрирования все равно следует использовать, даже при использовании PowerShell.

Взаимодействие с Azure Active Directory
Поскольку в Azure AD нет LDAP, для взаимодействия с AAD требуется подключение через Graph API (или модули PowerShell). Мне нравится PowerShell, поэтому я использую модули PowerShell (или веб-сайты портала) для управления и отчетности.

Существует два основных модуля PowerShell для взаимодействия с Azure AD: MSOnline и AzureAD. Их можно установить с помощью функции установки PowerShell:
Install-Module -Name MSOnline -Force
Install-Module -Name AzureAD -Force

Модуль AzureAD может в конечном итоге заменить модуль MSOnline PowerShell, но есть доступные функции в MSOnline, которые не были перенесены в модуль Azure AD (пока).

Читать далее

Управление учетными записями компьютеров — Учебник по Windows 7

Windows 7 / Безопасность и конфиденциальность

Учетные записи компьютеров управляются и настраиваются с помощью пользователей Active Directory и Компьютеры. По умолчанию учетные записи компьютеров хранятся в контейнере «Компьютеры» и Учетные записи контроллеров домена хранятся в контейнере контроллеров домена. Компьютер учетные записи также могут храниться в других контейнерах, например в созданных вами организационных единицах. Компьютеры может быть присоединен к домену и удален из него с помощью «Управление компьютером» или «Система» на панели управления.

Создание учетной записи компьютера в Active Directory

Когда вы создаете новую учетную запись компьютера в своем домене, вы должны быть участником Операторы учетных записей, администраторы домена или группа администраторов предприятия в Active Directory. Чтобы создать новую учетную запись компьютера, запустите Active Directory — пользователи и компьютеры. Правый щелчок контейнер, в котором вы хотите создать новую учетную запись компьютера, укажите на Создать, а затем выберите Компьютер.Это запустит мастер создания нового объекта-компьютера.

Введите имя компьютера. По умолчанию только члены администраторов домена могут присоединяться к компьютерам. в домен. Чтобы разрешить другому пользователю или группе присоединиться к компьютеру к домен, нажмите кнопку «Изменить», а затем в диалоговом окне «Выбор пользователя или группы» выберите учетная запись пользователя или группы, которой разрешено присоединять компьютер к домену. Если Системы Windows NT могут использовать эту учетную запись, выберите «Назначить эту учетную запись компьютера». Флажок «Как компьютер с предустановленной Windows 2000».Дважды нажмите «Далее», а затем — «Готово».

Примечание: Создание учетной записи компьютера не присоединяет компьютер к домену. Он просто создает аккаунт, чтобы упростить процесс присоединения к домену. Однако вы можете создать учетная запись компьютера при присоединении компьютера к домену.
Создание учетных записей компьютеров из командной строки

Вы также можете создавать учетные записи компьютеров с помощью DSADD. Для этого вам нужно знать строка пути к службе Active Directory, которую вы хотите использовать.Например, предположим, что вы хотите для создания учетной записи компьютера с именем CustServicePC28 в контейнере Computers для cpandl.com домен. Полный путь к этому объекту компьютера: CN = CustServicePC28, CN = компьютеры, DC = cpandl, DC = com. При создании компьютерного объекта с помощью DSADD, вы должны указать этот путь следующим образом:

dsadd computer "CN = CustServicePC28, CN = Computers, DC = cpandl, DC = com"

Здесь CN = используется для указания общего имени объекта, а DC = используется для указания компонент домена.В строках пути Active Directory вы также увидите OU =, что используется для указания имени объекта организационной единицы. Для полного синтаксиса и использования, типа dsadd computer /? в командной строке.

Команды служб каталогов также могут использоваться для управления многими компьютерами. задачи. Используйте DSMOD COMPUTER для настройки свойств, отключения учетных записей и сброса учетные записи. Используйте DSMOVE COMPUTER для перемещения учетных записей компьютеров в новый контейнер или ОУ. Используйте DSRM COMPUTER для удаления учетной записи компьютера.

Присоединение компьютеров к домену

Когда вы присоединяете компьютер к домену, вы должны предоставить учетные данные для создания новую учетную запись компьютера в Active Directory. Новый компьютер будет помещен в контейнер Computers по умолчанию в Active Directory. В большинстве случаев есть диалог поле для присоединения компьютера к домену при установке или настройке Windows 2000 или позже впервые. Вы должны быть членом группы администраторов на локальном компьютер, чтобы присоединить его к домену.Windows Server 2008 позволяет любому аутентифицированному пользователю для присоединения рабочих станций к домену — всего до 10 — при условии, что вы уже создал необходимые учетные записи компьютеров. Чтобы присоединить сервер к домену, вы должны быть член группы «Операторы учетных записей», «Администраторы домена» или «Администраторы предприятия».

Чтобы присоединить сервер или рабочую станцию ​​к домену, выполните следующие действия:

  1. Щелкните «Система и обслуживание» \ «Система» на панели управления. В имени компьютера, В разделе «Настройки домена и рабочей группы» нажмите «Изменить настройки». Это отображает диалоговое окно «Свойства системы» с выбранной вкладкой «Имя компьютера».
  2. На вкладке «Имя компьютера» нажмите «Изменить».
  3. Выберите «Домен» и введите имя домена, к которому должен присоединиться компьютер. Щелкните ОК.
  4. При появлении запроса введите имя и пароль учетной записи домена, имеющей разрешения для создания учетной записи компьютера в Active Directory или присоединения компьютера к домену, или и того, и другого. Щелкните ОК.
  5. Компьютер присоединен к домену, и новая учетная запись компьютера создается как необходимо.Если изменения будут успешными, вы увидите диалоговое окно подтверждения.
УСТРАНЕНИЕ НЕПОЛАДОК: компьютер не присоединяется к домену
Если есть проблемы с присоединением компьютера к домену, возможно, это уже существующий компьютер в домене с таким же именем. В этом случае вы бы поменяли компьютер имя, а затем повторите эту процедуру. Компьютер также должен иметь управление трансмиссией. Протокол / Интернет-протокол (TCP / IP) настроен правильно. Если вы подозреваете проблему с конфигурацией TCP / IP отправьте эхо-запрос на адрес обратной связи 127.0.0.1, чтобы гарантировать, что TCP / IP установлен правильно, а затем проверьте параметры конфигурации, набрав ipconfig / all в командной строке.

Общие сведения об учетных записях компьютеров

Каждый компьютер под управлением операционных систем Windows NT, Windows 2000, Windows XP, Windows Vista® или Windows 7 или сервер под управлением Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2, который присоединяется к домену, имеет учетная запись компьютера. Как и учетные записи пользователей, учетные записи компьютеров предоставляют средства для проверки подлинности и аудита доступа к сети и ресурсам домена.Каждая учетная запись компьютера должна быть уникальной.

Примечание

Компьютеры под управлением Windows 95 и Windows 98 не имеют расширенных функций безопасности. Таким образом, им не назначаются учетные записи компьютеров.

Вы можете добавлять, перемещать, сбрасывать, отключать, включать и удалять учетные записи компьютеров с помощью Центра администрирования Active Directory. Вы также можете создать учетную запись компьютера при присоединении компьютера к домену.

Когда функциональный уровень домена установлен на Windows Server 2008 или Windows Server 2008 R2, атрибут lastLogonTimestamp используется для отслеживания времени последнего входа в систему учетной записи пользователя или компьютера. Этот атрибут реплицируется в домене и может предоставить вам важную информацию об истории пользователя или компьютера.

Общие сведения об именах компьютеров

Каждая учетная запись компьютера, созданная в доменных службах Active Directory (AD DS), имеет относительное отличительное имя (также известное как RDN), имя компьютера до Windows 2000 (то есть диспетчер учетных записей безопасности (SAM ) имя учетной записи), суффикс основной системы доменных имен (DNS), имя хоста DNS и имя участника службы (SPN).Администратор вводит имя компьютера при создании учетной записи компьютера. Это имя компьютера используется в качестве относительного отличительного имени облегченного протокола доступа к каталогам (LDAP).

AD DS предлагает имя до Windows 2000, используя первые 15 байтов относительного отличительного имени. Вы можете изменить имя до Windows 2000 в любое время.

DNS-имя хоста называется полным именем компьютера. Это полное доменное имя DNS (FQDN).Полное имя компьютера представляет собой объединение имени компьютера (первые 15 байтов имени учетной записи SAM учетной записи компьютера без символа «$») и основного DNS-суффикса (доменного имени DNS домена, в котором находится учетная запись компьютера. существует), например, computer1.contoso.com.

По умолчанию основная часть DNS-суффикса полного доменного имени компьютера должна совпадать с именем домена Active Directory, в котором находится компьютер. Чтобы разрешить использование различных основных DNS-суффиксов, администратор домена может создать ограниченный список разрешенных суффиксов, создав атрибут msDS-AllowedDNSSuffixes в контейнере объекта домена.Администратор домена создает и управляет этим атрибутом с помощью интерфейсов службы Active Directory (ADSI) или LDAP.

SPN — это многозначный атрибут. Обычно он строится из DNS-имени хоста. SPN используется в процессе взаимной аутентификации между клиентом и сервером, на котором размещена определенная служба. Клиент находит учетную запись компьютера на основе SPN службы, к которой он пытается подключиться. Члены группы администраторов домена могут изменять имя участника-службы.

Дополнительные ссылки

Передача хэша с помощью Machine $ Accounts

В этой лабораторной работе рассматривается использование хэшей паролей NTLM учетной записи компьютера или, более конкретно, как их можно использовать при передаче хеш-атак для получения дополнительных привилегий, в зависимости от того, к каким группам принадлежит машина. член (в идеале админы / администраторы домена).

Эта лабораторная работа основана на предположении, что вы получили права локального администратора на рабочей станции (машине), назовем ее WS01 $ .Поскольку вы выполнили перечисление AD, вы заметили, что WS01 $ является членом группы Domain Admins — поздравляем, вы в одном шаге от перехода от локального администратора к администратору домена и полной компрометации домена.

Поиск компьютеров домена, входящих в интересные группы:

 

Get-ADComputer -Filter * -Properties MemberOf | ? {$ _. MemberOf}

Конечно, то же самое можно увидеть, просто проверив сетевую группу «Администраторы домена»:

 

сетевая группа «администраторы домена» / домен

или группа администраторов (неприменимо к нашей лаборатории, но показаны в качестве примечания):

 

net localgroup administrators / domain

В AD выделенную часть можно увидеть здесь:

Извлечение машины WS01 $ NTLM-хэш после получения прав администратора в системе:

Давайте проверим, что наш текущий скомпрометированный пользователь ws01 \ mantvydas (локальный администратор на ws01) пока не может получить доступ к контроллеру домена DC01:

Поскольку машина WS01 $ является членом Domain Admins , и мы извлекли хэш машины с mimikatz мы можем использовать mimikatz для передачи этого хэша и эффективного повышения нашего доступа к администратору домена:

 

sekurlsa :: pth / user: ws01 $ / domain: offense.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *