Разграничение рабочей и административной учетной записи в Windows
Кому из нас нравится, когда в компьютере “наводят порядок” посторонние? Настраивают параметры рабочего стола, переводят время, устанавливают лишние программы, перемещают ярлыки… Хорошо бы поставить пароль, да начальник будет недоволен – не мчаться же на работу каждый раз, когда кому-то понадобится ваша техника? Неужели так и придется до скончания веков бороться с безалаберными пользователями, наводящими беспорядок среди папок и ярлыков? А ведь решение лежит на поверхности: Windows – многопользовательская система, позволяющая не только завести дополнительные учетные записи, но и установить для них права, ограничивающие свободу действий.
Для начала разберемся в типах учетных записей, предоставляемых операционной системой:
- Запись с правами администратора – имеет максимальные права, под ее управлением можно изменять любые системные настройки и вносить даже такие изменения, что приведут к выходу операционной системы из строя.
- Учетная запись с обычным доступом – ограничивает пользователя в правах на установку программ, на запуск программ, критичных для безопасности системы, не дает изменять глобальные системные настройки.
- Гостевая учетная запись – минимальные права, отсутствует возможность установить для нее пароль.
Для доступа к вашему компьютеру сотрудников, или же родственников (если это домашний компьютер) хорошо подходит обычный доступ. Кстати говоря, в целях безопасности и вам неплохо было бы работать под учетной записью такого типа, переключаясь на запись с правами администратора лишь при необходимости.
следующее окно отобразит нам существующие учетные записи, а также предоставит возможность создания новой:
При создании записи следует выбрать для нее имя, которое будет отображаться при входе в систему, а также тип учетной записи. Так как мы не хотим давать новому пользователю прав администратора, пусть все остается как есть:
Если вы хотите оградить компьютер от совершенно уж посторонних, стоит назначить новой записи пароль и сообщить его тем, кому доступ к компьютеру позволен:
Для этого вам потребуется ввести пароль (1), подтвердить его повторным вводом (2) и, если считаете нужным, заполнить поле для напоминания пароля (3), после чего следует нажать на кнопку создания пароля:
Для домашнего пользования можно еще воспользоваться средством, именуемым “Родительский контроль”, которое позволяет блокировать конкретные программы, ограничивать время работы за компьютером и разделять игры по категориям, запрещая доступ к отдельным из них:
Как отключить пользователей с помощью командной строки
Чтобы выйти из других пользователей с помощью командной строки, выполните следующие действия.
-
от имени администратора.
Введите следующую команду, чтобы просмотреть всех текущих пользователей, вошедших в Windows 10, и нажмите Enter :
В этой команде не забудьте заменить «ID-NUMBER» на номер учетной записи, которую вы хотите отключить.
В этом примере выполняется отключение учетной записи пользователя с идентификатором 1:
После выполнения этих действий пользователь покинет Windows 10, независимо от того, запущено ли приложение.
в "Разрешать вход в систему через службы удаленных рабочих столов":
"org\Пользователи домена"
"Администраторы"
"Пользователи удаленного рабочего стола"
Решение проблемы «подключение было запрещено так как учетная запись пользователя не имеет прав для удаленного входа»
Обычно такое происходит в Windows Server 2008 R2 когда пользователь состоит в группе, которая не имеет прав на использование удаленного рабочего стола.
Группу нужно добавить в «Локальных политиках безопасности» — «Локальные политики»->»Назначение прав пользователя», «Разрешить вход в систему через службу удаленных рабочих столов».
Так же группу нужно зайти в «Пуск»->»Администрирование»->»Службы удаленных рабочих столов»->»Конфигурация узла сеансов удаленных рабочих столов» правой кнопкой на RDP-Tcp -> Свойства, вкладка безопасность, здесь добавить нужную группу и разрешить «Доступ пользователя» и «Доступ гостя» и все начнет подключаться
Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.
Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.
| Группа | Описание |
| Администраторы | Полные права на систему. |
| Пользователи | Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля. |
| Операторы архива | Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования. |
| Опытные пользователи | Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки). |
| Пользователи удаленного рабочего стола | Членство дает возможность подключаться к компьютеру по RDP |
| Операторы печати | Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати. |
| Операторы настройки сети | Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу. |
| Операторы учета | Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу. |
Познакомиться со всеми группами и более полным описанием можно в официальной документации.
Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.
Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.
Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.
Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 10\2016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.
| Группа | Описание |
| Администраторы | Полные права на систему. |
| Пользователи | Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля. |
| Операторы архива | Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования. |
| Опытные пользователи | Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки). |
| Пользователи удаленного рабочего стола | Членство дает возможность подключаться к компьютеру по RDP |
| Операторы печати | Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати. |
| Операторы настройки сети | Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу. |
| Операторы учета | Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу. |
Включить гостевую учетную запись в Windows 10
Учетная запись гостя может использоваться только для просмотра файлов, которые уже присутствуют, и выполнять регулярные веб-серфинг. Пользователи на гостевой учетной записи не могут устанавливать и удалять программное обеспечение, доступ и изменение локальных файлов и т. Д.
Прежде чем начать, сначала создайте точку восстановления системы. Затем вам нужно открыть меню WinX и выбрать Command Prompt (Admin). В окне командной строки введите следующую команду и нажмите enter.
Он покажет вам сообщение «Команда успешно завершена». Это означает, что учетная запись гостя включена в Windows 10.
Загрузка...
