Как управлять настройками учетной записи в Windows 10

Хотя учетная запись пользователя Windows 10, обычно, создаётся при настройке нового устройства, существует множество дополнительных параметров, которые вы можете изменить с помощью приложения «Параметры», чтобы получить максимальную отдачу от использования компьютера и сделать вашу учетную запись более безопасной.

Кроме того, Windows 10 позволяет создавать несколько учетных записей пользователей с различными уровнями функциональности в зависимости от того, добавляете ли вы члена семьи, молодого человека или друга. Это позволяет каждому иметь личное пространство со своими настройками, настройками рабочего стола и отдельными файлами в зависимости от конкретных требований.

В этом руководстве по Windows 10 мы расскажем, как настроить учетные записи пользователей на вашем компьютере с помощью приложения «Параметры».

Как посмотреть информацию о вашей учетной записи в Windows 10

Чтобы просмотреть сводную информацию о вашей учетной записи в Windows 10, выполните следующие действия:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. Нажмите Ваши данные.

Страница с вашими данными не включает в себя много опций, которые можно было бы настроить, но даёт ценную информацию.

Например, если вы не уверены, используете ли вы локальную учетную запись или учетную запись Microsoft (MSA), страница «Ваши данные» – это первое место, которое следует просмотреть. Если вы видите «Локальная учетная запись» под своим именем пользователя, то вы используете учетную запись, которая не подключена к MSA.

Если это так, вы можете щелкнуть ссылку Войти с учетной записью Microsoft вместо этого, ввести учетные данные своей учетной записи, и только после этого вы сможете

синхронизировать настройки и файлы на разных устройствах.

Совет. Обычно при создании новой учетной записи может потребоваться дополнительная проверка. Если это так, вам придется нажать кнопку Подтвердить, чтобы запустить процесс проверки, и только после ввода кода вы сможете получить полный доступ к учетной записи.

В разделе «Создать аватар» вы также можете изменить изображение своей учетной записи, используя параметр Камера или выбрав фотографию в своей коллекции.

Как добавить дополнительные учетные записи

Вместо того, чтобы повторно вводить одну и ту же информацию об учетной записи каждый раз, когда вы хотите настроить приложение, вы можете использовать страницу 

Электронная почта и учетные записи, чтобы дополнительно добавить информацию о нескольких учетных записях.

Чтобы зарегистрировать дополнительные учетные записи, сделайте следующее:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. Нажмите на Электронная почта и учетные записи.

4. Нажмите кнопку Добавить учетную запись, чтобы зарегистрировать новую учетную запись с доступом к электронной почте, календарю и контактам. Если информация получена от MSA, она также будет указана в разделе «Учетные записи, используемые другими приложениями».

   Если вы хотите только добавить учетную запись MSA и будете использовать для подключения других приложений, нажмите ссылку 

   Добавить учетную запись Microsoft. Использование этой опции не добавит информацию в электронную почту, календарь и список контактов.

5. Выберите тип учетной записи.

6. Продолжайте согласно инструкциям на экране, чтобы добавить новую учетную запись.

После выполнения этих действий информация об учетных записях будет доступна, когда вам нужно будет подключиться к приложениям Microsoft Store.

Как управлять параметрами входа

На странице параметров входа вы можете быстро управлять многими способами аутентификации в Windows 10. Используя эти настройки, вы можете изменить свой текущий пароль, настроить Windows Hello, используя PIN-код или пароль для доступа к картинке, и даже включить динамическую блокировку, чтобы заблокировать устройство, когда вы уходите.

Смена пароля пользователя

Чтобы изменить текущий пароль, сделайте следующее:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. Нажмите на Варианты входа.
4. В разделе «Пароль» нажмите кнопку Изменить.

5. Введите свой текущий пароль учетной записи Microsoft.
6. Нажмите кнопку Вход.
7. Введите свой старый пароль.
8. Создайте новый пароль.
9. Нажмите кнопку Далее.

Стоит отметить, что если вы используете учетную запись Microsoft, изменение пароля на вашем компьютере также изменит пароль, который вы используете для проверки ваших электронных писем в Интернете, связанных с вашим MSA.

Добавление PIN-кода

Если вы хотите использовать более быстрый и безопасный способ входа в Windows 10, вам следует вместо этого использовать PIN-код, который можно создать, выполнив следующие действия:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. В разделе «PIN-код» нажмите кнопку Добавить.
4. Создайте новый PIN-код .

   Совет. Вы также можете активировать опцию, разрешающую использование букв и символов в составе вашего PIN-кода, что дополнительно повышает безопасность.

5. Нажмите кнопку ОК.

Хотя ПИН-код обычно более безопасен, чем традиционный пароль, поскольку он привязан только к одному устройству и никогда не передается по сети, помните, что он работает только локально. Вы не можете использовать его для удаленного доступа к вашему устройству.

Добавление графического пароля

Вы также можете использовать изображение в качестве пароля. Этот метод аутентификации позволяет использовать сенсорные жесты на изображении для входа в Windows 10. Обычно этот параметр больше подходит для устройств с сенсорным экраном.

Чтобы настроить графический пароль, выполните следующие действия.

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. В разделе «Графический пароль» нажмите кнопку Добавить.
4. Введите свой пароль, чтобы подтвердить действия.
5. Нажмите кнопку Выбор картинки на левой панели.

6. После выбора изображения нажмите кнопку Использовать это изображение.
7. Нарисуйте три жеста на изображении, включая круги, прямые линии, касания или их комбинацию.
8. Повторите жесты для подтверждения.
9. Нажмите кнопку Готово.

Завершив настройку графического пароля, просто выйдите из системы и войдите в свою учетную запись, чтобы проверить изменения.

На совместимых устройствах, таких как Surface Book 2 и Surface Pro, вы можете настроить Windows Hello Face для входа на своё устройство, используя только ваше лицо.

Если на вашем ноутбуке или рабочем столе нет биометрической аутентификации, вы всегда можете приобрести сканер отпечатков пальцев или камеру с поддержкой Windows Hello.

Настройка динамической блокировки

Динамическая блокировка – это функция, которая блокирует ваш компьютер, когда вы уходите, добавляя дополнительный уровень безопасности. Эта функция использует бесконтактную технологию, поэтому вам необходимо подключить устройство Bluetooth, например телефон или планшет, прежде чем вы сможете её настроить.

Чтобы настроить динамическую блокировку, сделайте следующее:

1. Откройте Параметры (Win + I).
2. Нажмите Устройства.
3. Нажмите Bluetooth и другие устройства.
4. Нажмите кнопку Добавление Bluetooth или другого устройства.

5. Нажмите опцию Bluetooth.
6. Подготовьте устройство Bluetooth к сопряжению.
7. Выберите ваше устройство из списка.
8. Продолжайте согласно инструкциям на экране для завершения сопряжения.
9. Находясь в настройках, нажмите на Учетные записи.
10. Нажмите Варианты входа.
11. В разделе «Динамическая блокировка» включите параметр Разрешить Windows автоматически блокировать устройство в ваше отсутствие.

После того, как вы выполнили эти шаги, если вы отойдете вместе с сопряженным устройством, Windows 10 будет ждать 30 секунд, а затем автоматически заблокирует ваш компьютер.

Требование пароля при пробуждении

Используя параметры входа в систему, вы также можете решить, должна ли Windows 10 запрашивать ввод пароля при выходе компьютера из спящего режима, выполнив следующие действия:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. Нажмите Варианты входа.
4. В разделе «Требовать пароль» используйте раскрывающееся меню и выберите:
   • Никогда – пароль никогда не потребуется после выхода компьютера из спящего режима.
   • Когда компьютер выходит из спящего режима – вам нужно будет ввести пароль, когда ваш компьютер выйдет из спящего режима.

Как подключить Windows 10 к сети организации

Страница «Доступ к учетной записи места работы или учебного заведения» позволяет вам подключить ваше устройство к организации для доступа к общим ресурсам, таким как сеть, приложения и электронная почта.

Как правило, если вы работаете в организации, ваш сетевой администратор предоставит информацию, необходимую для добавления вашего устройства в сеть.

Если у вас есть необходимая информация, вы можете подключиться к сети, выполнив следующие действия:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. Нажмите на Доступ к учетной записи места работы или учебного заведения.
4. Нажмите кнопку Подключиться.

5. Введите данные своего рабочего или студенческого аккаунта.
6. Нажмите кнопку Далее.
7. Продолжайте согласно инструкциям на экране, чтобы завершить настройку.

Обычно это не те настройки, которые вы будете настраивать на компьютере, который используете дома.

Как добавить несколько учетных записей в Windows 10

Страница «Семья и другие пользователи» – это место, где вы можете добавлять, удалять и управлять учетными записями пользователей.

Добавление учетной записи члена семьи

В разделе «Ваша семья» вы можете разрешить доверенным лицам использовать ваш компьютер со своими учетными записями, настройками, приложениями и отдельными файлами.

Вы можете добавить два типа учетных записей, включая «Ребёнок» и «Взрослый», которые предоставляют разные функции.

Аккаунт ребёнка

Аккаунт для ребёнка предлагает необходимые функции, чтобы держать детей в безопасности в Интернете. Используя эту учетную запись, ребёнок сможет использовать ваш компьютер, персонализировать рабочий стол, использовать приложения, хранить файлы, безопасно просматривать Интернет с помощью Microsoft Edge, а вы сможете контролировать его действия с помощью онлайн-панели управления семейства пользователей Microsoft.

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. В разделе «Ваша семья» выберите опцию Добавить члена семьи.

   

4. Выберите вариант Аккаунт ребёнка.
5. Введите адрес электронной почты.
6. Нажмите кнопку Далее.
7. Нажмите кнопку Подтвердить.
8. Нажмите кнопку Закрыть.

После того, как вы выполнили эти шаги, член семьи может сразу же войти в систему, но вы не сможете управлять учетной записью, пока новый пользователь не примет приглашение, отправленное во время создания учетной записи.

Только после того, как новый пользователь примет запрос, взрослые пользователи в семье смогут просматривать отчеты об активности, ограничивать время работы, настраивать доступ к контенту, приложениям и играм, давать пользователю деньги на покупки в Магазине Microsoft и многое другое через Панель управления семейства учетных записей Microsoft.

Дочерняя учетная запись технически является стандартной учетной записью с большим количеством функций, это также означает, что пользователь не может изменять настройки безопасности или устанавливать приложения без разрешения.

Аккаунт для взрослых

Аккаунт взрослого очень похож на традиционную учетную запись, но добавление кого-то, как часть вашей семьи позволяет ему управлять аккаунтами детей.

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. В разделе «Ваша семья» выберите опцию Добавить члена семьи.
4. Выберите Добавить аккаунт взрослого.
5. Введите адрес электронной почты.
6. Нажмите кнопку Далее.
7. Нажмите кнопку Подтвердить.
8. Нажмите кнопку Закрыть.

После выполнения этих шагов новый член семьи получит по электронной почте приглашение, которое должно быть принято для использования вашего компьютера и управления настройками родительского контроля с помощью онлайн-панели.

Подобно обычной учетной записи, учетная запись для взрослых использует стандартный шаблон учетной записи, который дает пользователю свободу делать практически всё, но они не могут изменять настройки безопасности, устанавливать приложения или изменять что-либо, что может повлиять на других пользователей.

Конечно, вы всегда можете нажать кнопку Изменить тип учетной записи и установить тип учетной записи «Администратор», чтобы позволить пользователю получить полный контроль над устройством (не рекомендуется).

Добавление учетной записи для не членов семьи

В разделе «Другие люди» вы можете добавить новые учетные записи для людей, которые не являются членами вашей семьи с учетной записью Microsoft или без нее.

С учетной записью Microsoft

Использование учетной записи Microsoft для создания новой учетной записи является рекомендуемым способом предоставления доступа к компьютеру другим пользователям, поскольку её проще настроить, настройки синхронизируются между устройствами и пользователи могут быстро восстановить свой пароль.

Чтобы добавить новую учетную запись с помощью MSA, выполните следующие действия:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. В разделе «Другие пользователи» выберите опцию Добавить пользователя для этого компьютера.

4. Введите адрес электронной почты или номер телефона человека, которого вы хотите добавить.
5. Нажмите кнопку Далее.

   Совет. Нажмите ссылку «У меня нет информации для входа в систему», чтобы создать новый MSA для нового пользователя.

6. Нажмите кнопку Готово.

После того, как вы выполнили все шаги, пользователь сможет сразу начать использовать ваш компьютер.

Без учетной записи Microsoft

Также возможно настроить аккаунт без учетной записи Microsoft, который обычно относится к локальной учетной записи. Это более традиционная учетная запись, позволяющая использовать компьютер, но без преимуществ облачной интеграции, таких как настройки, данные приложений и синхронизация файлов на разных устройствах.

Чтобы создать локальную учетную запись в Windows 10, выполните следующие действия:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. В разделе «Другие пользователи» выберите опцию Добавить пользователя для этого компьютера.
4. Нажмите на ссылку У меня нет информации для входа в систему.
5. Нажмите Добавить пользователя без учетной записи Microsoft.
6. Задайте имя пользователя.
7. Задайте пароль.
8. Создайте подсказку.
9. Нажмите кнопку Далее.

После выполнения этих шагов новый пользователь может начать использовать ваш компьютер, используя своё имя пользователя и пароль, которые вы создали.

Как удалить учетную запись в Windows 10

Если учетная запись больше не нужна, вы можете легко удалить её, выполнив следующие действия:

Чтобы удалить учетную запись семьи, выполните следующие действия:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. Нажмите Семья и другие пользователи.
4. В разделе «Ваша семья» щелкните ссылку Управление настройками семьи».
5. Войдите в свою учетную запись Microsoft (если требуется).
6. В разделе «Семейство» нажмите ссылку Удалить из семейства.

   Важное замечание: если вы пытаетесь удалить управляемую учетную запись, под именем учетной записи щелкните меню Дополнительные параметры, а затем выберите параметр Удалить из семейства.

7. Нажмите кнопку Удалить.

После выполнения этих действий учетная запись также будет удалена с вашего компьютера.

Чтобы удалить учетную запись, не принадлежащую семье, выполните следующие действия:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. Нажмите Семья и другие пользователи.
4. Выберите учетную запись, которую вы хотите удалить.
5. Нажмите кнопку Удалить.
6. Нажмите кнопку Удалить учетную запись и данные.

После выполнения этих действий учетная запись и данные пользователя больше не будут доступны на вашем компьютере.

Как управлять настройками синхронизации

Если вы используете учетную запись Microsoft, вы можете использовать страницу «Синхронизация ваших параметров», чтобы включить, отключить или указать, какие именно настройки должны синхронизироваться с облаком и между устройствами.

Для управления настройками синхронизации сделайте следующее:

1. Откройте Параметры (Win + I).
2. Нажмите Учетные записи.
3. Перейдите к Синхронизация ваших параметров.

На этой странице вы можете включить или выключить переключатель настроек синхронизации, чтобы включить или отключить синхронизацию настроек в облаке и между устройствами, использующими одну и ту же учетную запись Microsoft.

Если опция включена, вы также можете решить, какие конкретные настройки вы хотите синхронизировать, включив или выключив тумблер для каждой настройки.

---

Используя настройки учетных записей, вы можете быстро настроить и управлять своими и учетными записями других пользователей, и хотя использование учетной записи Майкрософт является предпочтительным способом добавления новых пользователей, всё ещё можно создать локальную учетную запись без каких-либо ограничений. Однако, в конце концов, вы обнаружите, что учетная запись Microsoft является более удобным вариантом, поскольку её проще настраивать, обслуживать, а пользователи получают дополнительные преимущества.

Учетная запись Windows: создание и настройка

На каждом компьютере с  установленной ОС Windows можно работать нескольким пользователям, имеющим свои персональные настройки и параметры операционной системы. Такую возможность представляет очень полезная функция учетных записей Windows.

к оглавлению ↑

Что такое учетная запись?

Учетная запись позволяет настроить индивидуальное рабочее окружение для каждого пользователя и разграничить права на компьютере. Это в некоторой мере напоминает членов одной семьи, у каждого из них имеется своя комната, обустроенная по своему вкусу, и где он может заниматься чем хочет, но в рамках дозволенного главой семьи, у которого есть один универсальный ключ ко всем дверям комнат. Так же и в компьютере с учетными записями: каждый пользователь может настроить вид рабочего стола, вывести свои ярлыки на рабочий стол, настроить цветовую схему системы под себя, установить нужные ему программы и т.д. Но опять же в рамках дозволенного администратором (по аналогии с комнатами – главой семьи).

При такой организации совместной работы на одном компьютере, у каждого пользователя имеется пространство для хранения личных данных, защищенное паролем и недоступное другим. К тому же исключается риск по ошибке удалить чужую информацию.

Учетные записи в Windows могут быть 3 типов: администратор, стандартная и гость.

к оглавлению ↑

Администратор

Администратор на компьютере обладает полными правами и полномочиями, он может войти к любому пользователю на компьютере и вносить любые изменения, как в его личные настройки, так и в основные на компьютере. Администратором на компьютере должен быть опытный пользователь, во избежание внесения каких-либо фатальных ошибок в систему.

к оглавлению ↑

Стандартная учетная запись

Стандартная учетная запись (или обычный доступ) позволяет работать пользователю в рамках его прав, определенных администратором. По умолчанию, пользователь с обычным доступом может запускать большинство программ и вносить изменения в операционную систему, не затрагивающие других пользователей.

к оглавлению ↑

Учетная запись Гость

Запись с самыми минимальными правами. Используется для предоставления доступа постороннему с разрешением «только посмотреть».

На любом компьютере с операционной системой Windows есть хотя бы одна учетная запись администратора, которая была создана при установке системы.

к оглавлению ↑

Создание учетной записи

Для создания новой учетки щелкните по кнопке «Пуск». В открывшемся Главном меню, вверху справа щелкните по иконке учетной записи.

Откроется окно настроек, где кликните мышкой по «Управлению другой учетной записью». В следующем окне щелкните по «Создание учетной записи», где введите имя и тип учетной записи, после чего нажмите кнопку «Создание учетной записи».

Мы создали новую учетку и теперь ее можно настроить

к оглавлению ↑

Настройка учетной записи

Для настройки опять войдите в окно учетных записей пользователей и выберите пункт «Управление другой учетной записью», в котором щелкните по имени пользователя, учетку которого нужно настроить. В открывшемся окне выберите пункт настроек: изменение имени, создание пароля, изменение рисунка, установка родительского контроля, изменение типа учетной записи, удаление учетной записи.

Для переключения между пользователями нет необходимости перезагружать компьютер, достаточно щелкнуть по кнопке «Пуск», щелкнуть по стрелочке рядом с пунктом «Завершить работу» и выбрать в меню пункт «Сменить пользователя».

Теперь, после прочтения материала, вы можете создавать и настраивать учетные записи пользователей.

Поделиться.
к оглавлению ↑

Еще по теме:

• Настройка звука на компьютере Подсоедините колонки к компьютеру, подключив их к соответствующему разъему (чаще всего обозначенному символом небольшого мегафона или колонок) на компьютере, ноутбуке или мониторе. В […]
• Как установить и настроить экранную заставку Раньше, во времена громоздких ЭЛТ мониторов, экранная заставка выполняла функцию хранителя экрана монитора в то время, когда картинка на экране долго не менялась. В таких мониторах не […]
• Выбор программ, используемых по умолчанию Пользователь может самостоятельно выбрать программы, с помощью которых открываются те или иные документы. Чтобы реализовать это, выполните команду «Пуск>Панель […]
• Что такое панель управления Windows и как ее открыть? Панель управления Windows – это часть пользовательского интерфейса операционной системы, где собраны элементы для основной настройки Windows и выполнения важных операций. Например, с […]
• Как обновить виндовс самому? Простые советы начинающим пользователям Не все операционные системы работают успешно, поэтому для многих из них разработчики создают новые дополнения и паки, которые во многом улучшают состояние компьютера. Как же можно обновить […]

«Как создать пользователя в Windows 10?» – Яндекс.Кью

Основной способ создания нового пользователя в Windows 10 — использование пункта «Учетные записи» нового интерфейса настроек, доступного в «Пуск» — «Параметры».

В указанном пункте настроек откройте раздел «Семья и другие пользователи».

В разделе «Ваша семья» вы сможете (при условии, что используете учетную запись Майрософт) создать учетные записи для членов семьи (также синхронизируемые с Майкрософт), подробнее о таких пользователях я писал в инструкции Родительский контроль Windows 10.

Ниже, в разделе «Другие пользователи» можно добавить «простого» нового пользователя или администратора, учетная запись которого не будет контролироваться и являться «членом семьи», можно использовать как учетные записи Майкрософт, так и локальные учетные записи. Этот вариант будет рассматриваться далее. Добавление нового пользователя в параметрах Windows 10

В разделе «Другие пользователи» нажмите «Добавить пользователя для этого компьютера». В следующем окне вам будет предложено указать адрес электронной почты или номер телефона.

Добавление E-mail пользователя

Если вы собираетесь создавать локальную учетную запись (или даже учетную запись Майкрософт, но пока не зарегистрировали e-mail для нее), нажмите «У меня нет данных для входа этого человека» внизу окна.

В следующем окне будет предложено создать учетную запись Майкрософт. Вы можете заполнить все поля для создания пользователя с такой учетной записью или нажать «Добавить пользователя без учетной записи Майкрософт» внизу.

Создание учетной записи Microsoft

В следующем окне останется ввести имя пользователя, пароль и подсказку для пароля, чтобы новый пользователь Windows 10 появился в системе и под его учетной записью был возможен вход.

Создание локального полльзователя Windows 10

По умолчанию, новый пользователь имеет права «обычного пользователя». Если нужно сделать его администратором компьютера, выполните следующие шаги (при этом, вы для этого также должны быть администратором):

Зайдите в Параметры — Учетные записи — Семья и другие пользователи.

В разделе «Другие пользователи» нажмите по пользователю, которого нужно сделать администратором и кнопку «Изменить тип учетной записи».

В списке выберите «Администратор» и нажмите Ок. Установка прав администратора для пользователя

Войти под новым пользователем можно, нажав по имени текущего пользователя вверху меню пуск или с экрана блокировки, предварительно выйдя из текущей учетной записи.

Переключение пользователей в Windows 10

Как создать нового пользователя в командной строке

Для того, чтобы создать пользователя с помощью командной строки Windows 10, запустите ее от имени администратора (например, через меню правого клика по кнопке «Пуск»), после чего введите команду (если имя пользователя или пароль содержат пробелы, используйте кавычки):

net user имя_пользователя пароль /add

И нажмите Enter.

Создание пользователя в командной строке

После успешного выполнения команды, в системе появится новый пользователь. Также вы можете сделать его администратором, используя следующую команду (если команда не сработала, а у вас не лицензия Windows 10, попробуйте вместо Администраторы писать administrators):

net localgroup Администраторы имя_пользователя /add

Вновь созданный таким образом пользователь будет иметь локальную учетную запись на компьютере.

Создание пользователя в «Локальные пользователи и группы» Windows 10

И еще один способ создания локальной учетной записи с помощью элемента управления «Локальные пользователи и группы»:

Нажмите клавиши Win+R, введите lusrmgr.msc в окно «Выполнить» и нажмите Enter.

Выберите «Пользователи», а затем в списке пользователей кликните правой кнопкой мыши и нажмите «Новый пользователь». Управление локальными пользователями Windows 10

Задайте параметры для нового пользователя. Создание нового пользователя в lusrmgr

Чтобы сделать созданного пользователя администратором, кликните по его имени правой кнопкой мыши, выберите пункт «Свойства».

Затем, на вкладке «Членство в группах» нажмите кнопку «Добавить», наберите «Администраторы» и нажмите «Ок».

Добавление пользователя в группу Администраторы

Готово, теперь выбранный пользователь Windows 10 будет иметь права администратора.

control userpasswords2

И еще один способ, о котором я забыл, но мне напомнили в комментариях:

Нажмаем клавиши Win+R, вводим control userpasswords2 Запуск Control userpasswords2

В списке пользователей нажимаем кнопку добавления нового пользователя Список пользователей Windows 10

Дальнейшее добавление нового пользователя (доступны как учетная запись Майкрософт, так и локальная учетная запись) будет выглядеть тем же самым образом, что и в первом из описанных способов. Добавление нового пользователя Windows 10

Локальные учетные записи (Windows 10)

• 02/28/2019
• Время чтения: 19 мин

В этой статье

Область применения

• Windows 10
• WindowsServer2019
• WindowsServer2016

Этот справочный раздел по умолчанию для ИТ-специалистов описывает локальные учетные записи пользователей для серверов, в том числе управление встроенными учетными записями на члене или отдельном сервере.

Локальные учетные записи пользователей

Локальные учетные записи пользователей хранятся на сервере локально. Эти учетные записи могут назначать права и разрешения на определенном сервере, но только на этом сервере. Локальные учетные записи пользователей — это участники безопасности, которые используются для обеспечения доступа к ресурсам на отдельном или рядовом сервере для служб или пользователей и управления ими.

В этой статье рассматриваются следующие вопросы:

Сведения об участниках безопасности можно найти в разделе Участники безопасности.

Локальные учетные записи пользователей по умолчанию

Локальные учетные записи пользователей по умолчанию являются встроенными учетными записями, которые автоматически создаются при установке Windows.

После установки Windows локальные учетные записи пользователей по умолчанию не могут быть удалены или удалены. Кроме того, локальные учетные записи пользователей по умолчанию не обеспечивают доступ к сетевым ресурсам.

Локальные учетные записи пользователей по умолчанию используются для управления доступом к ресурсам локального сервера в соответствии с правами и разрешениями, которые назначены учетной записи. Локальные учетные записи пользователей по умолчанию и созданные локальные учетные записи пользователей находятся в папке Users. Папка «Пользователи» находится в папке «Локальные пользователи и группы» в консоли управления (MMC) локального управления компьютером. Управление компьютером — это набор средств администрирования, которые можно использовать для управления отдельным локальным или удаленным компьютером. Дополнительные сведения о том, как управлять локальными учетными записями, можно найти ниже в этой статье.

Локальные учетные записи пользователей по умолчанию описаны в следующих разделах.

Учетная запись администратора

Учетная запись локального администратора по умолчанию является учетной записью пользователя системного администратора. У каждого компьютера есть учетная запись администратора (SID S-1-5-domain-500, администратор отображаемого имени). Учетная запись администратора является первой учетной записью, созданной при установке Windows.

Учетная запись администратора имеет полный доступ к файлам, каталогам, службам и другим ресурсам на локальном компьютере. Учетная запись администратора может создавать другие локальные пользователи, назначать права пользователей и назначать разрешения. Учетная запись администратора может управлять локальными ресурсами в любое время, просто изменяя права и разрешения пользователей.

Учетная запись администратора по умолчанию не может быть удалена или заблокирована, но ее можно переименовать или отключить.

В Windows 10 и Windows Server 20016 программа установки Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, которая входит в группу «Администраторы». Пользователи групп администраторов могут запускать приложения с повышенными разрешениями без использования команды » Запуск от имени администратора «. Быстрое переключение пользователей более безопасно, чем использование runas или другого пользователя.

Участие в группах учетных записей

По умолчанию учетная запись администратора устанавливается как член группы «Администраторы» на сервере. Рекомендуется ограничить количество пользователей в группе Администраторы, так как члены группы администраторов на локальном сервере имеют разрешения на полный доступ на этом компьютере.

Учетная запись администратора не может быть удалена или удалена из группы Администраторы, но ее можно переименовать.

Вопросы безопасности

Поскольку известно, что учетная запись администратора существует в разных версиях операционной системы Windows, рекомендуется отключить учетную запись администратора, если это возможно, чтобы пользователи-злоумышленники могли получить доступ к серверу или клиентскому компьютеру.

Вы можете переименовать учетную запись администратора. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который может быть обнаружен злонамеренными пользователями. Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, можно найти в разделе Отключение или активация локальной учетной записи пользователя и Переименование локальной учетной записи пользователя.

По соображениям безопасности используйте локальную учетную запись (без администратора) для входа, а затем используйте команду Запуск от имени администратора для выполнения задач, требующих более высокий уровень прав, чем у стандартной учетной записи пользователя. Не используйте учетную запись администратора для входа на компьютер, если только это не будет вполне нужно. Дополнительные сведения можно найти в разделе Запуск программы с учетными данными администратора.

При сравнении в операционной системе клиента Windows пользователь с локальной учетной записью пользователя с правами администратора считается системным администратором клиентского компьютера. Первая локальная учетная запись пользователя, создаваемая во время установки, размещается в локальной группе Администраторы. Тем не менее, если несколько пользователей работают как локальные администраторы, ИТ – сотрудники не смогут управлять этими пользователями или клиентскими компьютерами.

В этом случае групповая политика может использоваться для включения параметров безопасности, которые могут автоматически управлять использованием локальной группы администраторов на каждом сервере или клиентском компьютере. Дополнительные сведения о групповой политике можно найти в разделе Общие сведения о групповой политике.

Примечание . пустые пароли не разрешены в версиях, указанных в списке Применить к в начале этой статьи.

Важно! несмотря на то, что учетная запись администратора отключена, ее можно использовать для получения доступа к компьютеру с помощью безопасного режима. На консоли восстановления или в безопасном режиме учетная запись администратора автоматически включается. При возобновлении нормальных операций она отключается.

Гостевая учетная запись

Учетная запись гостя по умолчанию отключена при установке. Учетная запись гостя позволяет периодическим или разовым пользователям, не имеющим учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами пользователей. По умолчанию для гостевой учетной записи задан пустой пароль. Поскольку Гостевая учетная запись может предоставлять анонимный доступ, это является риском для безопасности. По этой причине лучше отключить гостевую учетную запись, если ее использование не соблюдается полностью.

Участие в группах учетных записей

По умолчанию Гостевая учетная запись является единственной членом группы «гости» по умолчанию (SID S-1-5-32-546), которая позволяет пользователю входить на сервер. Иногда администратор, который входит в группу администраторов, может настроить пользователя с помощью гостевой учетной записи на одном или нескольких компьютерах.

Вопросы безопасности

При включении гостевой учетной записи предоставляются только ограниченные права и разрешения. В целях обеспечения безопасности Гостевая учетная запись не должна использоваться в сети и стала доступна другим компьютерам.

Кроме того, гостевой пользователь в гостевой учетной записи не должен иметь возможности просматривать журналы событий. После включения гостевой учетной записи рекомендуется регулярно отслеживать гостевую учетную запись, чтобы убедиться, что другие пользователи не могут использовать службы и другие ресурсы, такие как ресурсы, которые были случайно оставлены предыдущими пользователями.

Учетная запись HelpAssistant (устанавливается вместе с сеансом удаленного помощника)

Учетная запись HelpAssistant — это локальная учетная запись, которая включается по умолчанию при запуске сеанса удаленного помощника. Эта учетная запись автоматически отключается, если не ожидаются запросы удаленной помощи.

HelpAssistant — это основная учетная запись, которая используется для создания сеанса удаленного помощника. Сеанс удаленной помощи используется для подключения к другому компьютеру, работающему под управлением операционной системы Windows, и инициируется по приглашению. Для запрошенной удаленной помощи пользователь отправляет приглашение с компьютера по электронной почте или в виде файла пользователю, который может предоставить помощь. После принятия приглашения пользователя на сеанс удаленной помощи автоматически создается учетная запись HelpAssistant, используемая по умолчанию, для предоставления пользователю, который предоставляет доступ к компьютеру с ограниченным доступом. Учетная запись HelpAssistant управляется службой диспетчера сеансов справки для удаленного рабочего стола.

Вопросы безопасности

Идентификаторы безопасности, которые относятся к учетной записи HelpAssistant по умолчанию, включают:

• SID: S-1-5-<Domain>-13, отображаемое имя пользователя сервера терминалов. В эту группу входят все пользователи, которые вошли на сервер с включенными службами удаленных рабочих столов. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

• SID: S-1-5-<Domain>-14, отображаемое имя удаленный интерактивный вход. Эта группа включает всех пользователей, которые подключаются к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, содержащие SID удаленного входного входа, также содержат интерактивный ИД безопасности.

Для операционной системы Windows Server Удаленная помощь — это необязательный компонент, который не установлен по умолчанию. Вы должны установить удаленный помощник, прежде чем его можно будет использовать.

Подробнее об атрибутах учетной записи HelpAssistant можно узнать в таблице ниже.

Атрибуты учетной записи «помощник»

Атрибут	Значение
Известный SID/RID	S-1-5-<Domain>-13 (пользователь сервера терминалов), S-1-5-<Domain>-14 (удаленный интерактивный вход)
Тип	Пользователь
Контейнер по умолчанию	CN = Users, DC<=>Domain, DC =
Элементы по умолчанию	Нет
Элемент по умолчанию	Гости домена Гости
Защищено объектом ADMINSDHOLDER?	Нет
Вы безопасно можете выйти из контейнера по умолчанию?	Можно переместить, но мы не рекомендуем использовать его.
Можете ли вы безопасно управлять этой группой до администраторов, не являющихся администраторами служб?	Нет

дефаултаккаунт

Дефаултаккаунт, также называемая стандартной системой (ДСМА), является встроенной учетной записью, представленной в Windows 10 версии 1607 и Windows Server 2016. ДСМА — это известный тип учетной записи пользователя. Это независимая учетная запись, которую можно использовать для выполнения процессов, которые поддерживаются как с несколькими пользователями, так и в независимых от пользователей. ДСМА по умолчанию отключен на настольных компьютерах конфигураций (полные версии Windows) и WS 2016 вместе с компьютером.

ДСМА имеет известный RID для 503. Таким образом, идентификатор безопасности (SID) ДСМА будет иметь известный идентификатор SID в следующем формате: S-1-5-21-\ <Компутеридентифиер>-503

ДСМА является членом известной группы управляемых учетных записейгрупповых систем, которая имеет известный sid для S-1-5-32-581.

Псевдониму ДСМА может быть предоставлен доступ к ресурсам во время автономной промежуточной на хранение, пока не будет создана сама учетная запись. Учетная запись и группа создаются при первой загрузке компьютера в диспетчере учетных записей безопасности (SAM).

Использование Дефаултаккаунт в Windows

С точки зрения разрешения Дефаултаккаунт — это стандартная учетная запись пользователя. Дефаултаккаунт необходим для запуска многопользовательского приложения с манифестом (приложения МУМА). МУМА приложения работают все время и реагируют на работу пользователей и выход из нее. В отличие от рабочего стола Windows, в которых приложения запускаются в контексте пользователя и завершаются после того, как пользователь выйдет из системы, МУМА приложения выполняются с помощью ДСМА.

Приложения МУМА работают в общедоступных ресурсах SKU, таких как Xbox. Например, консоль Xbox — это приложение МУМА. Сегодня Xbox автоматически выполняет вход в качестве гостевой учетной записи и все приложения работают в этом контексте. Все приложения поддерживают несколько пользователей и реагируют на события, созданные диспетчером пользователей. Приложения запускаются от имени гостевой учетной записи.

Аналогичным образом, Телефон автоматически входит в учетную запись «Дефаппс», которая аналогична стандартной учетной записи пользователя в Windows, но с несколькими дополнительными правами. Брокеры, некоторые службы и приложения выполняются с этой учетной записью.

В модели для Объединенных пользователей приложения с поддержкой нескольких пользователей и многопользовательские брокеры должны работать в контексте, отличном от пользователей. Для этой цели система создает ДСМА.

Создание Дефаултаккаунт на контроллерах домена

Если домен создан с контроллерами домена под управлением Windows Server 2016, Дефаултаккаунт будет существовать на всех контроллерах домена. Если домен был создан с помощью контроллеров домена с более ранней версией Windows Server, Дефаултаккаунт будет создан после перемещения роли эмулятора PDC на контроллер домена, работающий под управлением Windows Server 2016. Затем Дефаултаккаунт будет реплицирован на все другие контроллеры домена в домене.

Рекомендации по управлению учетной записью по умолчанию (ДСМА)

Корпорация Microsoft не рекомендует менять конфигурацию по умолчанию, в которой отключена учетная запись. Нет угрозы безопасности с учетной записью в отключенном состоянии. Изменение конфигурации по умолчанию может препятствовать дальнейшим сценариям, которые используют эту учетную запись.

Учетные записи локальной системы по умолчанию

Администратор

Учетная запись SYSTEM используется операционной системой и службами, работающими под управлением Windows. В операционной системе Windows существует множество служб и процессов, которые должны быть доступны для внутреннего входа, например во время установки Windows. Учетная запись SYSTEM была разработана для этой цели, и Windows управляет правами пользователя системной учетной записи. Это внутренняя учетная запись, которая не отображается в диспетчере пользователей и не может быть добавлена ни в одну из групп.

С другой стороны, учетная запись SYSTEM появляется на томе с файловой системой NTFS в диспетчере файлов в разделе » разрешения » в меню » Безопасность «. По умолчанию СИСТЕМной учетной записи предоставлены разрешения на полный доступ ко всем файлам на томе NTFS. Здесь у учетной записи SYSTEM есть те же функциональные права и разрешения, что и для учетной записи администратора.

Примечание . чтобы предоставить администраторам учетных записей разрешения на доступ к файлам, они не могут неявно дать разрешение на системную учетную запись. Разрешения системной учетной записи можно удалить из файла, но мы не рекомендуем удалять их.

СЕТЕВАЯ СЛУЖБА

Учетная запись NETWORK SERVICE — это предварительно определенная локальная учетная запись, используемая диспетчером управления службами (SCM). Служба, которая запускается в контексте учетной записи NETWORK SERVICE, предоставляет учетные данные компьютера удаленным серверам. Дополнительные сведения можно найти в разделе учетная запись NetworkService.

ЛОКАЛЬНАЯ СЛУЖБА

Учетная запись LOCAL SERVICE — это предварительно определенная локальная учетная запись, используемая диспетчером управления службами. У него есть минимальные полномочия на локальном компьютере, и вы предоставляете анонимные учетные данные в сети. Дополнительные сведения можно найти в разделе учетная запись LocalService.

Управление локальными учетными записями пользователей

Локальные учетные записи пользователей по умолчанию и созданные локальные учетные записи пользователей находятся в папке Users. Папка «Пользователи» находится в разделе «Локальные пользователи и группы». Дополнительные сведения о том, как создавать локальные учетные записи пользователей и управлять ими, можно найти в разделе Управление локальными пользователями.

Вы можете использовать локальные пользователи и группы, чтобы назначать права и разрешения на локальном сервере и только на этом сервере, чтобы ограничить возможности локальных пользователей и групп выполнять определенные действия. Право предоставляет пользователю возможность выполнять на сервере определенные действия, такие как архивация файлов и папок или завершение работы сервера. Разрешение на доступ — это правило, связанное с объектом, как правило, файл, папка или принтер. Она определяет, какие пользователи могут иметь доступ к объекту на сервере, и в чем же способ.

Вы не можете использовать локальные пользователи и группы на контроллере домена. Однако вы можете использовать локальные пользователи и группы на контроллере домена для назначения удаленных компьютеров, которые не являются контроллерами домена в сети.

Обратите внимание на то, что для управления пользователями и группами в ActiveDirectory используются пользователи и компьютеры ActiveDirectory.

Вы также можете управлять локальными пользователями с помощью NET. EXE для пользователей и управления локальными группами с помощью NET. EXE LOCALGROUP или с помощью различных командлетов PowerShell и других технологий написания сценариев.

Ограничение и Защита локальных учетных записей с правами администратора

Администратор может использовать несколько подходов, чтобы предотвратить использование злоумышленниками заимствованных учетных данных, таких как украденный пароль или хешированный пароль, для локальной учетной записи на одном компьютере с правами администратора. Это называется также «боковой движением».

Самый простой подход — войти на компьютер с помощью обычной учетной записи пользователя вместо учетной записи администратора, например для просмотра Интернета, отправки электронной почты или использования текстового процессора. Если вы хотите выполнить административную задачу (например, чтобы установить новую программу или изменить параметры, влияющие на других пользователей), вам не нужно переключаться на учетную запись администратора. Вы можете использовать контроль учетных записей (UAC), чтобы запрашивать разрешение или пароль администратора перед выполнением задачи, как описано в следующем разделе.

Ниже перечислены другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора.

• Применяйте ограничения локальной учетной записи для удаленного доступа.

• Запретите вход в сеть для всех учетных записей локальных администраторов.

• Создавайте уникальные пароли для локальных учетных записей с правами администратора.

Каждый из этих подходов описан в следующих разделах.

Примечание . Эти подходы не применяются, если отключены все административные локальные учетные записи.

Использование ограничений локальной учетной записи для удаленного доступа

Контроль учетных записей (UAC) — это функция безопасности в Windows, которая использовалась в Windows Server2008 и в Виндовсвиста, а также на операционных системах, на которые ссылается список к . Контроль учетных записей позволяет всегда управлять компьютером, выключаясь в том случае, если программа вносит изменения, требующие разрешения на уровне администратора. UAC работает путем настройки уровня разрешений для учетной записи пользователя. По умолчанию контроль учетных записей настроен таким образом, что приложение пытается внести изменения на компьютере, но вы можете изменить частоту уведомления о контроле учетных записей.

UAC делает так, что учетная запись с правами администратора будет рассматриваться как стандартная учетная запись пользователя, не обладающего правами администратора, пока не будут запрошены и утверждены все права, также называемые повышением прав. Например, контроль учетных записей позволяет администратору вводить учетные данные во время сеанса пользователя, не обладающего администратором, для выполнения часто выполняемых административных задач без необходимости переключения пользователей, выхода из нее или использования команды выполнить как .

Кроме того, контроль учетных записей может требовать, чтобы администраторы специально утверждали приложения, которые производят изменения на уровне системы, прежде чем эти приложения получат разрешение на выполнение, даже в пользовательском сеансе администратора.

Например, функция UAC по умолчанию отображается, когда локальная учетная запись входит с удаленного компьютера, используя вход в сеть (например, с помощью команды NET. EXE). В этом случае ему выдается Стандартный маркер пользователя без прав администратора, но без возможности запросить или получить повышение прав. Следовательно, локальные учетные записи, которые выполняют вход с помощью сетевого входа, не могут получить доступ к общим ресурсам, таким как C $ или ADMIN $, или выполнить удаленное администрирование.

Дополнительные сведения об UAC можно найти в разделе Управление учетными записями пользователей.

В приведенной ниже таблице указаны параметры групповой политики и реестра, которые используются для ограничения локальных учетных записей для удаленного доступа.

Примечание

Вы также можете принудительно использовать параметр по умолчанию для LocalAccountTokenFilterPolicy с помощью настраиваемого ADMX в шаблонах безопасности.

Использование ограничений локальной учетной записи для удаленного доступа

1. Запустите консоль управления групповыми политиками (GPMC).

2. В дереве < консоли разверните><домен \домаинс\ Domain>и объекты групповой политики , где лес — это имя леса, а домен — это имя домена, в котором вы Вы хотите настроить объект групповой политики (GPO).

3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики, а затем > — создать.

4. В диалоговом окне Создание объекта групповой политики введите < gpo_name>и > нажмите кнопку ОК , где gpo_name — имя нового объекта групповой политики. Имя GPO указывает на то, что объект групповой политики используется для ограничения прав локального администратора на другой компьютер.

5. В области сведений щелкните правой кнопкой мыши < gpo_name>и > выберите команду изменить.

6. Убедитесь, что функция UAC включена, а ограничения UAC применяются к учетной записи администратора по умолчанию, выполнив указанные ниже действия.

   1. Перейдите на компьютер конфигуратион\виндовс сеттингс\секурити сеттингс\локал полиЦиес\ и > Параметры безопасности.

   2. > Дважды щелкните элемент контроль учетных записей, чтобы все администраторы были включены в режим > **** одобрения администратором. ****

   3. Дважды щелкните элемент Управление учетными записями пользователей: режим одобрения администратором для встроенной учетной записи > администратора включена > .

7. Убедитесь, что ограничения локальной учетной записи применяются к сетевым интерфейсам, выполнив указанные ниже действия.

   1. Перейдите к параметрам компьютера конфигуратион\преференцес и Windows, > а затем разделу Registry.

   2. Щелкните правой кнопкой мыши раздел реестраи > Новый > элемент реестра.

   3. В диалоговом окне Создание свойств в реестре на вкладке Общие измените значение в поле действие , чтобы заменитьего.

   4. Убедитесь, что для поля куст задано значение HKEY_LOCAL_MACHINE.

   5. Нажмите кнопку (…), перейдите в следующее место, где указан путь к > разделу Выбор : софтваре\микрософт\виндовс\куррентверсион\полиЦиес\систем.

   6. В области имя значения введите параметр LocalAccountTokenFilterPolicy.

   7. В поле тип значения в раскрывающемся списке выберите REG_DWORD , чтобы изменить значение.

   8. Убедитесь, что в поле значение задано значение 0.

   9. Проверьте конфигурацию и > нажмите кнопку ОК.

8. Свяжите объект групповой политики с первым организационным подразделением (OU), выполнив указанные ниже действия.

   1. Перейдите < на>\домаинс\<** домен>\ау путь.

   2. Щелкните подразделение рабочей станции правой кнопкой мыши и > свяжите существующий объект групповой политики.

   3. Выберите только что созданный объект групповой политики и > нажмите кнопку ОК.

9. Тестирование функциональных возможностей корпоративных приложений на рабочих станциях в этом первом подразделении и устранение проблем, связанных с новой политикой.

10. Создавайте ссылки на все подразделения, содержащие рабочие станции.

11. Создавайте ссылки на все другие подразделения, содержащие серверы.

Запретить вход в сеть для всех учетных записей локальных администраторов

Запрещение локальных учетных записей возможность выполнения входов по сети может препятствовать повторному использованию хэша пароля локальной учетной записи при атаке злоумышленника. Эта процедура помогает предотвратить боковой движение, гарантируя, что учетные данные локальных учетных записей, заимствованных из скомпрометированной операционной системы, нельзя использовать для взлома дополнительных компьютеров, использующих одни и те же учетные данные.

Примечание . чтобы выполнить эту процедуру, необходимо сначала определить имя локальной учетной записи администратора по умолчанию, которая не является именем пользователя по умолчанию, а также другими учетными записями, входящими в локальную группу администраторов. .

В следующей таблице перечислены параметры групповой политики, которые используются для запрета входа в сеть для всех учетных записей локальных администраторов.

Нет.	Параметр	Подробное описание
	Расположение политики	Конфигурация компьютера \ параметры безопасности \ локальные политики ПолиЦиес\усер назначение прав
1,1	Имя политики	Отказ в доступе к компьютеру из сети
	Параметр политики	Локальная учетная запись и член группы администраторов
2	Расположение политики	Конфигурация компьютера \ параметры безопасности \ локальные политики ПолиЦиес\усер назначение прав
	Имя политики	Запретить вход в систему через службу удаленных рабочих столов
	Параметр политики	Локальная учетная запись и член группы администраторов

Чтобы запретить вход в сеть для всех учетных записей локального администратора

1. Запустите консоль управления групповыми политиками (GPMC).

2. В дереве < консоли разверните><домен \домаинс\ Domain>и объекты групповой политики, где лес — это имя леса, а домен — это имя домена, в котором вы Вы хотите настроить объект групповой политики (GPO).

3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики, а затем > — создать.

4. В диалоговом окне Создание объекта групповой политики введите < gpo_name>и нажмите > кнопку ОК , где gpo_name — это имя нового объекта групповой политики, которое указывает на то, что оно используется для ограничения локальных административных учетных записей в интерактивном режиме. Войдите в систему на компьютере.

5. В области сведений щелкните правой кнопкой мыши < gpo_name>и > выберите команду изменить.

6. Настройте права пользователя таким образом, чтобы запретить вход в сеть для административных локальных учетных записей.

   1. Перейдите на компьютер конфигуратион\виндовс сеттингс\секурити сеттингс\ и > Назначение прав пользователей.

   2. Дважды щелкните запретить доступ к компьютеру из сети.

   3. Щелкните Добавить пользователя или группу, введите Локальная учетная запись и член группы Администраторыи > нажмите кнопку ОК.

7. Настройте права пользователей на запрет входа на удаленные рабочие столы для локальных учетных записей, выполнив указанные ниже действия.

   1. Перейдите в раздел Параметры компьютера Конфигуратион\полиЦиес\виндовс и локальные политики, а затем щелкните Назначение прав пользователей.

   2. Дважды щелкните отказать вход с помощью служб удаленных рабочих столов.

   3. Щелкните Добавить пользователя или группу, введите Локальная учетная запись и член группы Администраторыи > нажмите кнопку ОК.

8. Свяжите объект групповой политики с одним из подразделений первой рабочей станции следующим образом:

   1. Перейдите < на>\домаинс\<** домен>\ау путь.

   2. Щелкните подразделение рабочей станции правой кнопкой мыши и > свяжите существующий объект групповой политики.

   3. Выберите только что созданный объект групповой политики и > нажмите кнопку ОК.

9. Тестирование функциональных возможностей корпоративных приложений на рабочих станциях в этом первом подразделении и устранение проблем, связанных с новой политикой.

10. Создавайте ссылки на все подразделения, содержащие рабочие станции.

11. Создавайте ссылки на все другие подразделения, содержащие серверы.

    Примечание . Если имя пользователя, используемое по умолчанию для учетной записи администратора, отличается на рабочих станциях и серверах, может потребоваться создание отдельного объекта групповой политики.

Создание уникальных паролей для локальных учетных записей с правами администратора

Пароли должны быть уникальными для каждой отдельной учетной записи. Несмотря на то, что это верно для отдельных учетных записей пользователей, многие компании имеют одинаковые пароли для обычных локальных учетных записей, например учетную запись администратора по умолчанию. Это также случается, если при развертывании операционной системы одни и те же пароли используются для локальных учетных записей.

Пароли, которые не изменяются или изменяются синхронно, чтобы они были идентичными, добавьте значительный риск для организаций. При случайном использовании пароля снижается риск «Pass-Hash», поскольку для локальных учетных записей используются разные пароли, что предотвращает использование злоумышленниками хэша пароля этих учетных записей для взлома других компьютеров.

Пароли можно поменять случайным образом.

• Приобретите и реализуйте корпоративный инструмент для выполнения этой задачи. Эти средства обычно называются инструментами для управления привилегированными паролями.

• Настройка пароля локального администратора (лапс) для выполнения этой задачи.

• Создание и реализация настраиваемого сценария или решения для случайной настройки паролей локальных учетных записей.

Статьи по теме

Следующие ресурсы содержат дополнительные сведения о технологиях, связанных с локальными учетными записями.

настройка данных пользователя, а также изменения типа профиля по умолчанию

С целью повышения безопасности работы за компьютером пользователям рекомендуется создать учётную запись с ограниченными правами. Таким образом вредоносное программное обеспечение и неопытные юзеры будут ограничены в возможностях изменять системные файлы. Управление учетными записями в Windows 10 позволяет изменять уровни доступа юзеров. Рассмотрим, как это осуществляется.

Инструкции актуальны только для локальных профилей с привилегиями администратора. Имея обычный доступ или аккаунт Гость, изменять права пользователей нельзя.

Метод №1

Первым рассмотрим классический метод, которого достаточно в большинстве случаев.

1. Вызовите Панель инструментов.

2. Переключите режим отображения её иконок в «Мелкие значки».

3. Перейдите в раздел, как показано на скриншоте ниже.

4. Откройте меню управления иной учётной записью.

5. Выберите профиль, для которого нужно изменить уровень доступа (сделать администратором или же ограничить права).

6. Перейдите в окно изменения типа профиля.

7. Перенесите переключатель в нужное положение, чтобы внести изменения в системный реестр.

Метод №2

Второй способ – через Параметры системы.

1. Зажмите кнопки Win + I и перейдите в раздел для настройки пользователей.

2. Посетите подраздел «Семья, другие пользователи».

3. Кликните по имени нужного юзера.

4. Укажите уровень доступа в выпадающем списке и жмите «OK».

Метод №3

Командная строка позволяет выполнить абсолютно всё, что пользователю доступно через графический интерфейс.

1. Запустите инструмент от имени Администратора при помощи контекстного меню Пуска.

2. Для активации невидимого пользователя с расширенными привилегиями выполните команду «net user administrator /active:yes». При появлении ошибки повторите её, написав слово «administrator» на русском языке.

Метод №4

Задействуем возможности редактора групповой политики (в Home редакции Windows 10 инструмент недоступен).

1. Зажмите Win + R и выполните команду «secpol.msc».

2. Перейдите в «Параметры безопасности» в подразделе локальных политик.

3. Откройте свойства параметра «Состояние учётной записи…».

4. Перенесите переключатель в положение «Включён» и закройте окно с сохранением изменений.

Как и в предыдущем способе, появится новый аккаунт с расширенными привилегиями.

Метод №5

Воспользуемся инструментом «Локальные пользователи и группы».

1. В окне «Выполнить» осуществите команду «lusrmgr.msc».

2. Перейдите в каталог «Пользователи».

3. Выберите «Администратор» и откройте его свойства.

4. Отметьте флажком «Отключить…» и кликните «OK».

Метод №6

Последний вариант решения проблемы – утилита netplwiz.

1. Жмите Win + R и выполните в окне команду «netplwiz.exe».

2. Выберите аккаунт и откройте его свойства.

3. Во вкладке «Членство в группах» укажите уровень доступа для аккаунта.

Вот так просто в Windows 10 управлять уровнем доступа юзеров без посторонних утилит.

Изменить настройки учетной записи. Настройка Windows Live ID и почтовых учетных записей

Можно создать отдельные учетные записи и настроить для всех пользователей компьютера. Такое разделение рабочей среды позволяет каждому пользователю хранить свои данные отдельно и настраивать компьютер согласно собственным предпочтениям.

Чтобы корректно загрузить целевую рабочую среду, операционная система должна идентифицировать пользователя, сидящего перед экраном компьютера.

Для однозначного указания себя как пользователя, управляющего компьютером, вам нужно войти в систему, для чего щелкните в списке, расположенном в левой нижней части экрана, на соответствующей учетной записи. После завершения загрузки операционной системы вы увидите на экране меню Пуск и рабочий стол в том состоянии, которые они имели в предыдущем сеансе работы на компьютере. Убедившись в том, что вы вошли под своими учетными данными, можете приступать к работе на компьютере.

Наработавшись вдоволь, вы рано или поздно решитесь отдохнуть и отойти от компьютера. Чтобы предотвратить доступ к компьютеру посторонних пользователей в течение всего времени вашего отсутствия, вам необходимо выйти из системы.

При последующем входе в систему под прежними именем пользователя и паролем (Как создать пароль для учетной записи ) вы найдете все рабочие данные в местах их создания и последнего редактирования. Никто из других пользователей компьютера не будет знать, как выглядит ваша рабочая среда, — ее настройкой и упорядочением занимаетесь исключительно вы. После входа в систему все рабочие документы и другие файлы будут располагаться в папках, в которые вы их поместили ранее.

Другой пользователь вряд ли сможет удалить их, если войдет в систему под своей учетной записью. У каждого из пользователей есть не только собственные папки сохранения рабочих документов, но и собственные списки избранного, системные настройки и многое другое. Само собой, ваш почтовый ящик остается недоступным для всех, кроме вас, равно как и вы не можете несанкционированно просматривать чужие письма.

Как создать аватар учетной записи

До тех пор пока вы не укажете использовать в качестве аватара собственную фотографию или другое графическое изображение, учетная запись в левом нижнем углу окна входа в систему будет обозначаться “пустым” силуэтом. Чтобы добавить в учетную запись собственную фотографию, щелкните на ее названии в верхней части меню Пуск и выберите команду Изменить параметры учетной записи.

В окне настройки учетной записи перейдите в раздел Ваша учетная запись и щелкните на правой панели на значке Камера, расположенном под надписью Создать аватар. Для создания фотографии применяется камера, в текущий момент подключенная к компьютеру (встроенная в ноутбук или планшет). Ваш портрет вас удручает? Приведите себя в порядок, чтобы не выглядеть, как в паспорте! Теперь щелкните на кнопке Обзор и укажите только что созданный снимок, который по умолчанию сохраняется в папке Изображения вашей учетной записи.

В сегодняшней инструкции рассмотрим, как создать нового пользователя на Windows 10 всеми доступными в операционной системе методами. Также ознакомимся со способами придать ему администраторские привилегии или же сделать обратное — превратить учетную запись в аккаунт с ограниченными правами.

Скорее всего, все пользователи Windows 10 ознакомлены с обоими типами учетных записей, из-под которых можно работать в среде «десятки». Первые — это локальные аккаунты пользователей, которые ничем не отличаются от учетных записей предыдущих редакций операционной системы. Вторые — это учетные записи Microsoft, требующие регистрации на сайте разработчика операционной системы. Имея такой аккаунт, все параметры будут регулярно синхронизироваться с хранимыми на сервере софт-гиганта.

Если не хотите, чтобы Майкрософт хранили все данные о вашей учетной записи или наоборот, желаете воспользоваться привилегиями аккаунта Microsoft, в Windows 10 существует возможность превращения одного типа учетной записи в иной в любом направлении.

В отличие от предыдущих редакций ОС, где аккаунты создавались и редактировались через специальный апплет Панели управления, в «десятке» его функционал фактически заменяет раздел меню «Параметры», носящий название «Учетные записи».

1. Для получения доступа к меню «Параметры» воспользуемся комбинацией горячих клавиш «Win+I».

2. Переходим в раздел «Учетные записи».

3. Активируем вкладку «Семья и иные пользователи», расположенную в вертикальном меню.

Первый раздел «Ваша семья» при наличии аккаунта Майкрософт позволит создать учетные записи с ограниченными правами для иных членов семьи, например, для детей.

Следующий раздел предоставляет возможности создания локальной учетной записи с привилегиями администратора или обычными правами. Этот вариант и рассмотрим ниже.

4. Опускаемся вниз правого фрейма и жмём по пиктограмме добавления нового пользователя для данного компьютера, расположенной в разделе «Другие пользователи».

5. Если не имеете намерений создавать аккаунт Майкрософт (или хотите обзавестись ним, но пока не имеете электронной почты для него), переходим по расположенной внизу окна ссылк

Автоматическая настройка учетных записей пользователей

• 21.12.2019
• Время чтения: 3 мин

В этой статье

Эта статья предназначена для ИТ-администраторов, которые хотят автоматически настраивать учетные записи пользователей при развертывании нового приложения синхронизации OneDrive (OneDrive. exe) на управляемых компьютерах с Windows на предприятии.This article is for IT admins who would like to silently configure user accounts when deploying the new OneDrive sync app (OneDrive.exe) to managed Windows computers in their enterprise. Эта функция работает для компьютеров, присоединенных к Azure Active Directory (Azure AD).This feature works for computers that are joined to Azure Active Directory (Azure AD).

ОбзорOverview

Если включить эту функцию, OneDrive. exe попытается войти в рабочую или учебную учетную запись на устройстве, присоединенном к Azure AD.If you enable this feature, OneDrive.exe will attempt to sign in to the work or school account on the device that’s joined to Azure AD. Перед началом синхронизации он проверит доступное место на диске.Before if begins syncing, it will check the available disk space. Если синхронизация всего OneDrive пользователя приведет к уменьшению доступного места на диске ниже 1 ГБ или при превышении установленного порогового значения (на устройствах без файлов по требованию), OneDrive предложит пользователю выбрать папки для синхронизации. Сведения об установке этого порогового значения с помощью групповой политики можно узнать в статье Установка максимального размера OneDrive пользователя, который может загружаться автоматически.If syncing the user’s entire OneDrive would cause the available space to drop below 1 GB or if the size exceeds the threshold you set (on devices that don’t have Files On-Demand enabled), OneDrive will prompt the user to choose folders to sync. For info about setting this threshold using Group Policy, see Set the maximum size of a user’s OneDrive that can download automatically. 

Если этот параметр включен, а пользователь выполняет синхронизацию файлов с предыдущим приложением синхронизации OneDrive для бизнеса (Groove. exe), то новое приложение для синхронизации (OneDrive. exe) попытается выполнить синхронизацию и импортировать параметры синхронизации пользователя.If you enable this setting and the user is syncing files with the previous OneDrive for Business sync app (Groove.exe), the new sync app (OneDrive.exe) will attempt to take over syncing and import the user’s sync settings. 

Предварительные требованияPrerequisites

Прежде чем включать автоматическую настройку учетных записей, необходимо присоединить свои устройства к Azure AD.Before you can enable silent account configuration, you need to join your devices to Azure AD. Вы можете присоединить устройства под управлением Windows 10 и Windows Server 2016 непосредственно к Azure AD.You can join devices running Windows 10 and Windows Server 2016 directly to Azure AD. Сведения о том, как присоединиться к рабочему устройству в сети организации.To learn how, see Join your work device to your organization’s network.

Если у вас есть локальная среда, использующая Active Directory, вы можете включить гибридные подключенные устройства Azure AD для присоединения устройств в домене к Azure AD.If you have an on-premises environment that uses Active Directory, you can enable hybrid Azure AD joined devices to join devices on your domain to Azure AD. Устройства должны работать под управлением одной из следующих операционных систем:Devices must be running one of the following operating systems:

• Windows 10Windows 10 

• Windows 8.1Windows 8.1 

• Windows 7Windows 7 

• Windows Server 2019Windows Server 2019

• Windows Server 2016Windows Server 2016 

• Windows Server 2012 R2Windows Server 2012 R2 

• Windows Server 2012Windows Server 2012 

• Windows Server 2008 R2Windows Server 2008 R2

Если вы включаете в Федерацию локальную службу Active Directory с помощью Azure AD, для включения этой функции необходимо использовать AD FS.If you federate your on-premises Active Directory with Azure AD, you must use AD FS to enable this feature. Сведения об использовании Azure AD Connect вы найдете в статье Начало работы с Azure AD Connect с помощью параметров Express.For info about using Azure AD Connect, see Getting started with Azure AD Connect using express settings.

Включение автоматической настройкиEnable silent configuration

Если компьютеры в вашей сети присоединены к локальной службе Active Directory, вы можете настроить автоматическую настройку учетных записей с помощью групповой политики домена.If the computers on your network are joined to Active Directory on-premises, you can use domain group policy to configure silent account configuration.

С помощью групповой политики:Using Group Policy:

1. Включите автоматическую настройку учетных записей.Enable silent account configuration. Сведения см. в статье Автоматическая регистрация пользователей в приложении синхронизации OneDrive с помощью учетных данных Windows.For info, see Silently sign in users to the OneDrive sync app with their Windows credentials. Если устройство еще не присоединено к Azure AD, при включении этого параметра он будет присоединен.If a device is not already joined to Azure AD, enabling this setting will join it.

2. При необходимости укажите максимальный размер OneDrive, который будет автоматически скачиваться в конфигурации с автоматической настройкой.Optionally, specify the maximum OneDrive size that will download automatically in silent configuration. Сведения см. в статье Set максимальный размер OneDrive пользователя, который может загружаться автоматически.For info, see Set the maximum size of a user’s OneDrive that can download automatically. Обратите внимание, что при включении файлов по требованию в OneDrive будет игнорироваться значение максимального размера.Note that if you enable Files On-Demand, OneDrive will ignore the maximum size value.

3. При необходимости задайте расположение по умолчанию для папки OneDrive.Optionally, set the default location for the OneDrive folder. Сведения см. в разделе Задание расположения по умолчанию для папки OneDrive.For info, see Set the default location for the OneDrive folder.

Совет

Чтобы протестировать единый вход, запустите программу установки OneDrive с параметром/Silent и введите имя пользователя.To test single sign-on, run OneDrive setup using the /silent parameter and enter your user name. Программа установки не должна запрашивать учетные данные.Setup should not prompt for credentials.

Примечание

Настройка автоматической учетной записи не будет работать на устройствах для пользователей, которым требуется многофакторная проверка подлинности.Silent account configuration won’t work on devices for users who require multi-factor authentication. Выберите сторонние поставщики удостоверений (ИДПС), но у вас есть предостережения.Select third-party identity providers (IdPs) are supported, but there are caveats. Для получения дополнительных сведений обязательно ознакомьтесь со списком совместимости Федерации Azure AD.For more information, make sure to check out the Azure AD federation compatibility list.

Если компьютеры в вашей сети не подключены к локальной службе Active Directory, но только в Azure AD, рекомендуется использовать Intune и сценарий Microsoft PowerShell для настройки разделов реестра, необходимых для включения автоматической настройки. Убедитесь, что настроена автоматическая регистрация для устройств с Windows 10.If the computers on your network are not connected to Active Directory on-premises, but only to Azure AD, we recommend using Intune and a Microsoft PowerShell script to set the registry keys required to enable silent config. Be sure you have automatic enrollment set up for Windows 10 devices.

С помощью скрипта:Using a script:

$HKLMregistryPath = 'HKLM:\SOFTWARE\Policies\Microsoft\OneDrive'##Path to HKLM keys

$DiskSizeregistryPath = 'HKLM:\SOFTWARE\Policies\Microsoft\OneDrive\DiskSpaceCheckThresholdMB'##Path to max disk size key

$TenantGUID = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'

IF(!(Test-Path $HKLMregistryPath))

{New-Item -Path $HKLMregistryPath -Force}

IF(!(Test-Path $DiskSizeregistryPath))

{New-Item -Path $DiskSizeregistryPath -Force}

New-ItemProperty -Path $HKLMregistryPath -Name 'SilentAccountConfig' -Value '1' -PropertyType DWORD -Force | Out-Null ##Enable silent account configuration

New-ItemProperty -Path $DiskSizeregistryPath -Name $TenantGUID -Value '102400' -PropertyType DWORD -Force | Out-Null ##Set max OneDrive threshold before prompting