«Локальные пользователи и группы» в Windows 10
Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!
Запуск «Локальных пользователей и групп»
Доступ к рассматриваемому элементу можно получить следующим образом:
Теперь взглянем подробнее на особенности приложения.
«Пользователи»
В данном каталоге присутствуют такие категории:
«Группы»
В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:
Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.
Добавление нового пользователя
Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.
Присоединение пользователя к группе
Редактирование группы происходит по похожему алгоритму:
Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.
Как видим, действительно ничего сложного.
Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.
Помимо этой статьи, на сайте еще 12533 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Источник
Интерактивный пользователь
Интерактивным пользователем является пользователь, который в данный момент вошел в систему на компьютере, где работает сервер COM. Если удостоверение настроено как интерактивный пользователь, все клиенты используют один и тот же экземпляр сервера, если сервер регистрирует свою фабрику класса в качестве многофакторного использования. Если ни один пользователь не вошел в систему, сервер не будет работать. Если сервер имеет графический интерфейс пользователя (GUI), который должен видеть клиент, следует использовать для удостоверения сервера интерактивный пользователь. Однако при выборе этого удостоверения происходит ряд угроз безопасности, так как сервер работает с удостоверением вошедшего в систему пользователя без ведома пользователя или его согласия. Кроме того, приложение службы не может отображать пользовательский интерфейс. Дополнительные сведения см. в разделе Интерактивные службы.
Если сервер COM настроен для работы в качестве интерактивного пользователя, в среде служб терминалов сервер будет запущен в интерактивном сеансе, который соответствует удостоверению пользователя клиента. Однако клиентское приложение может использовать моникер сеанса для ссылки на объект, предоставленный сервером в сеансе, который не соответствует удостоверению клиента. При использовании этого приложения клиентское приложение может указать любой сеанс, в этом случае сервер будет работать от имени пользователя, владеющего сеансом, а не запускающего пользователя. Разрешения на доступ по умолчанию в этом сценарии не позволяют запускающему пользователю вызывать методы на сервере. Однако остаются следующие риски безопасности:
Источник
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Имеем уровень домена Windows 2008
Клиент Windows7 Ent
Интересует группа Users на локальном ПК.
По умолчаниию при вводе ПК в домен в группе Users (локальная) есть группы: встроенные «Проверенные пользователи» и «Интерактивные» + добавляеться «Пользователи домена».
В статье http://technet.microsoft.com/ru-ru/library/cc771990(WS.10).aspx сказано что «Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы. «
Мне необходимо следующее: например чтобы я добавил группу DG Sales (в которую входит Вася Пупкин ) в локальную группу Users на локальном ПК, и только он (Вася) смог заходить на данный ПК (пока расматриваем только данную ситуацию). Далее:
1. Исходя из статьи я удаляю группы ( «Проверенные пользователи», «Интерактивные»,«Пользователи домена») из группы Users на локальном ПК
2. Добавляю группу DG Sales в локальную группу Users.
В итоге человека пускает на комп но без оболочки (черный экран, рабочего стола нет)
Подскажите в чем причина
PS: оболочка появиться при добавлении встроенной группы «Интерактивные» в группу Users, но тогда любой пользователь домена сможет зайти на данный ПК.
Источник
Интерактивный вход в систему: отображать сведения о пользователе, когда сеанс заблокирован
Относится к:
Описывает лучшие практики, расположение, значения и соображения безопасности для интерактивного логотипа: отображение сведений о пользователях при блокировке параметра политики безопасности сеанса.
Справочники
Этот параметр безопасности контролирует, отображаются ли сведения, такие как адрес электронной почты или имя пользователя, с иным иным пользователем на экране входной записи. Для клиентов, Windows 10 версии 1511 и 1507 (RTM), этот параметр работает аналогично предыдущим версиям Windows. Однако из-за нового параметра конфиденциальности, Windows 10 версии 1607, этот параметр безопасности влияет на этих клиентов по-разному.
Изменения, начиная с Windows 10 версии 1607
Начиная с Windows 10 версии 1607, в Windows 10 были добавлены новые функции для сокрытия сведений о имени пользователя, таких как адрес электронной почты по умолчанию, с возможностью изменения по умолчанию для демонстрации сведений. Эта функция управляется новым параметром конфиденциальности в Параметры > учетныхзаписей. > **** Параметр Privacy отключен по умолчанию, который скрывает сведения.
Интерактивный логотип: отображение сведений о пользователе при блокировке сеанса параметр групповой политики контролирует те же функции.
Этот параметр имеет эти возможные значения:
Имя отображения пользователя, домен и имена пользователей
Для локального логотипа отображается полное имя пользователя. Если пользователь подписался с помощью учетной записи Майкрософт, отображается адрес электронной почты пользователя. Для логотипа домена отображается имя доменапользователя. Этот параметр имеет такой же эффект, как включение параметра Конфиденциальность.
Только имя отображения пользователя
Отображается полное имя пользователя, который заблокировали сеанс. Этот параметр имеет тот же эффект, что и отключение параметра Конфиденциальность.
Не отображать сведения о пользователях
Имена не отображаются. Начиная с Windows 10 версии 1607, этот параметр не поддерживается. Если выбран этот параметр, вместо него отображается полное имя пользователя, заблокившего сеанс. Это изменение делает этот параметр совместимым с функциональными возможностями нового параметра Конфиденциальность. Чтобы отобразить сведения о пользователе, внося параметр Групповой политики Интерактивный логотип: неотображайте последнюю подпись.
Только имена доменов и пользователей
Только для логотипа домена отображается имя пользователя. Параметр Конфиденциальности автоматически включит и выключит серый цвет.
Пустое
Параметр по умолчанию. Этот параметр переводится как «Не определено», но он будет отображать полное имя пользователя таким же образом, как только имя отображения пользователя параметра. При наборе параметра эту политику нельзя сбросить пустым или не определить.
Hotfix для Windows 10 версии 1607
Клиенты, Windows 10 версии 1607, не будут отображать сведения на экране входной записи, даже если выбран параметр Пользовательского отображения, домена и имен пользователей, так как параметр Privacy отключен. Если параметр Конфиденциальность включен, покажут сведения.
Параметр Конфиденциальности не может быть изменен для клиентов в массовом объеме. Вместо этого применяем 4013429 КБ для клиентов, Windows 10 версии 1607, чтобы они вели себя так же, как и предыдущие версии Windows. Клиентам, которые запускают более поздние версии Windows 10, не требуется hotfix.
Существуют соответствующие параметры групповой политики:
Взаимодействие с связанными настройками групповой политики
Для всех версий Windows 10 по умолчанию отображается только имя отображения пользователя.
Если пользователь блокирует отображение сведений учетной записи при входе, отображается только имя отображения пользователя независимо от других параметров групповой политики. Пользователи не смогут показывать сведения.
Если **** не включено отображение сведений учетной записи при входе, можно установить интерактивный логотип: отображение сведений о пользователе, когда сеанс заблокирован для отображения имени пользователя, домена и имен пользователей или домена и имен пользователей, только для отображения дополнительных сведений, таких как domainusername. **** В этом случае клиентам, Windows 10 версии 1607, требуется 4013429 КБ. Пользователи не смогут скрыть дополнительные сведения.
Если не включено отображение сведений учетной **** записи во входе и не отображается последняя запись, имя пользователя не будет отображаться.
Рекомендации
Реализация этой политики зависит от требований к безопасности для отображаемой информации с логотипом. Если вы запустите компьютеры, хранимые конфиденциальные данные, с мониторами, отображаемыми в незащиченных расположениях, или если у вас есть компьютеры с удаленным доступом к конфиденциальным данным, выявление в журнале полных имен пользователей или имен учетных записей домена может противоречить общей политике безопасности.
В зависимости от политики безопасности также может потребоваться включить логотип Interactive: Не отображайте политику фамилии пользователя.
Местонахождение
Конфигурация компьютераWindows ПараметрыSecurity ПараметрыLocal PoliciesSecurity Options
Значения по умолчанию
| Тип сервера или объект групповой политики (GPO) | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию отдельного сервера | Не определено |
| Эффективные параметры контроллера домена по умолчанию | Имя отображения пользователя, домен и имена пользователей |
| Параметры сервера-участника по умолчанию | Имя отображения пользователя, домен и имена пользователей |
| Эффективные параметры по умолчанию GPO на клиентских компьютерах | Имя отображения пользователя, домен и имена пользователей |
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.
Соображения конфликта политики
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповой политикой (GPMC), которая будет распространяться через объекты групповой политики (GPOs). Если эта политика не содержится в распределенной GPO, эту политику можно настроить на локальном компьютере с помощью привязки к локальной политике безопасности.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Когда компьютер отображает безопасный рабочий стол в необеспеченной области, некоторые сведения о пользователе могут быть легко доступны любому, кто смотрит на монитор физически или с помощью удаленного подключения. Отображаемая информация пользователя может включать имя учетной записи пользователя домена или полное имя пользователя, который заблокировали сеанс или вошел в систему в последний раз.
Противодействие
Включение этого параметра политики позволяет операционной системе скрывать определенные сведения пользователей от отображения на безопасном рабочем столе (после загрузки устройства или при блокировке сеанса с помощью CTRL+ALT+DEL). Однако сведения о пользователе отображаются, если используется функция Switch, чтобы отображаться плитки с логотипом для каждого пользователя, зарегистрированного в журнале.
Кроме того, может потребоваться включить интерактивный логотип: не отображать последнюю политику входа, которая не позволит операционной системе Windows отобразить имя логотипа и логотипную плитку последнего пользователя, чтобы войти в систему.
Источник
Как, используя встроенные возможности операционной системы «Windows 10», включить или отключить безопасный вход в систему?
Но особенно большое внимание ей стали уделять после стремительного развития огромного множества различных вариантов образцов персональных компьютерных устройств, представленных в стационарном и мобильном исполнении.
Введение
Основными и наиболее востребованными видами компьютерных устройств, которые бесспорно можно назвать основополагающими представителями данного класса, безоговорочно являются настольные персональные компьютеры и ноутбуки широкого вариативного ряда. Обладая сверх скоростными и высоко производительными внутренними комплектующими, означенные образцы компьютерных устройств способны мгновенно исполнять большой объем единовременных высоко затратных процессов, освобождая пользователей от трудоемких действий, значительно упрощая общее взаимодействие последних как между собой, так и с разнообразными видами информационных материалов, в последнее время регулярно и в огромных количествах используемыми пользователями в своей ежедневной деятельности.
Полноценно решать поставленные задачи и максимально использовать заложенные производителями возможности компьютеров помогает современное программное обеспечение, основное усилие которого направлено на увеличение общего уровня производительности, снижение трудоемкости обслуживаемых процессов и повышение удобства каждодневного использования устройств.
Одним из таких, массово представленных на рынке программных продуктов, неоспоримо является операционная система «Windows» производства корпорации «Microsoft». Обладая существенными и многочисленными преимуществами, система «Windows» значительно опередила схожие программные оболочки других производителей, и как следствие, представлена на подавляющем количестве пользовательских компьютеров в мире.
Операционная система «Windows», особенно новейшая ее версия «Windows 10», уделяет повышенное внимание обеспечению серьезного уровня безопасности как информационных материалов, хранящихся на персональных компьютерах или обрабатываемых посредством возможностей системы и установленных в ней приложениях, так и непосредственно защите компьютера, проверяя и контролируя доступ к нему при помощи доступных встроенных системных инструментов.
Это означает, что пользователи могут дополнительно укрепить защиту своего персонального компьютера, на базе самой целевой операционной системы на планете «Windows 10», и на соответствующем безопасном уровне полноценно обеспечить себе защиту как при взаимодействии по сети, так и в автономном режиме. И далее в нашем руководстве показано, как включить или отключить такой инструмент защиты, как безопасный вход в систему «Windows 10».
Безопасный вход является дополнительным компонентом, который присутствует на экране входа в «Windows 10». К сожалению, данный инструмент не способен помешать кому-либо получить доступ к пользовательскому компьютеру, если сторонний человек обладает корректными учетными данными конкретного пользователя для успешного входа в систему. Однако, встроенный инструмент скрывает стандартные поля для ввода данных, пока пользователь не наберет ключевую комбинацию символов. Лишь после верного исполнения, поля для ввода «ПИН-кода» или данных учетной записи становиться доступны для использования в обычном режиме.
Инструмент безопасного входа направлен на предотвращение зловредных действий вредоносных программ. Вредоносный код может находиться на компьютере пользователя, функционировать в фоновом режиме и подделывать экран входа в «Windows 10», чтобы захватывать учетные данные пользователя для дальнейшей передачи злоумышленнику. Поскольку приложения и программы, как правило, не имеют доступа к команде «Ctrl + Alt + Delete», пользователи могут обойти ложный экран входа в систему с помощью безопасного входа, который активируется путем ввода данной команды из трех клавиш, и быть полноценно уверенными, что вводят свои данные действительно в стандартные системные поля.
Активировать инструмент безопасного входа можно разными способами, и далее мы подробнее на них остановимся.
Способ 1. Включить или отключить инструмент безопасного входа в настройках учетных записей пользователей
При использовании данного способа пользователям потребуется запустить панель «Учетные записи пользователей», воспользовавшись специальным исполняемым системным приложением «Netplwiz», активирующимся соответствующей одноименной командой.
Для отображения панели пользователям необходимо задействовать возможности диалогового окна «Выполнить», открыть которое можно путем совместного нажатия комбинации клавиш «Windows + R». В текстовом поле «Открыть» запущенного окна введите команду «netplwiz» (без граничных кавычек), а затем нажмите на кнопку «ОК» или клавишу «Ввод» на клавиатуре для непосредственного исполнения. 
Кроме того, пользователи могут получить доступ к панели «Учетные записи пользователей» и другим способом. Например, нажмите на «Панели задач» в нижнем левом углу рабочего стола на кнопку «Поиск», выполненную в виде значка с изображением лупы, и откройте поисковую панель. В поле ввода запроса наберите фразу «netplwiz». Система мгновенно произведет поиск подходящих вариантов, и в поле «Лучшее соответствие» представит итоговый результат. Щелкните его левой кнопкой мыши или нажмите в боковом меню поисковой панели на кнопку «Открыть» для мгновенного отображения востребованной панели «Учетные записи пользователей». 
Искомая панель настроек учетных записей появится на экране. Перейдите на вкладку «Дополнительно» (если она не загружается сразу напрямую по умолчанию). В нижней части панели в разделе «Безопасный вход в систему» отыщите параметр «Требовать нажатия CTRL + ALT + DELETE». Установите или снимите индикатор выбора («галочку») в связанной ячейке означенной строки параметра, чтобы соответственно включить или отключить инструмент безопасности на экране входа в «Windows 10». 
Нажмите на кнопку «Применить», а затем на кнопку «ОК» для завершения и сохранения установленных изменений настроек экрана доступа в систему.
Способ 2. Включить или отключить интерактивный вход в систему, используя приложение «Локальная политика безопасности»
В данном способе управления инструментом безопасного входа в операционную систему «Windows 10» пользователям потребуется использовать возможности приложения «Локальная политика безопасности», который несколько более трудоемкий, чем простое следование инструкциям, представленным в предыдущем разделе.
Запустите диалоговое окно «Выполнить», одновременно нажав комбинацию клавиш «Windows + R». В открывшемся окне в текстовом поле набора запроса «Открыть» введите команду «secpol.msc» (без учета наружных кавычек), а затем нажмите клавишу «Ввод» на клавиатуре или на кнопку «ОК» для выполнения. 
Как и в ранее представленном «Способе 1», пользователи также могут получить доступ к приложению «Локальная политика безопасности», осуществив набор фразы «secpol.msc» в поле запроса поисковой панели, добиться отображения которой следует путем нажатия на кнопку «Поиск» на «Панели задач» в левом нижнем углу рабочего стола, и щелкнув итоговый результат, представленный в разделе «Лучшее соответствие», или нажав на кнопку «Открыть» в боковом правом меню поисковой панели. 
В открывшемся, по результатам исполненных действий, окне приложения «Локальная политика безопасности» разверните в левой боковой панели раздел «Локальные политики», выбрав требуемый из перечисленных вариантов доступных разделов параметров безопасности, нажав на схематическую стрелку «вправо» в строке соответствующего раздела, а потом, из списка вложенных директорий, выберите подпапку «Параметры безопасности». Теперь в связанной правой панели окна, используя стандартные методы перемещения посредством колеса управления компьютерной мыши или ползунка полосы прокрутки, отыщите и дважды щелкните левой кнопкой мыши строку записи политики «Интерактивный вход в систему: не требовать нажатия CTRL + ALT + DEL». 
Всплывающая панель свойств выбранной записи политики мгновенно будет отображена на экране, и по умолчанию представлена вкладкой «Параметр локальной безопасности». Установите в связанной ячейке строки «Включен» или «Отключен» индикатор выбора (точку), чтобы соответственно включить или отключить данную функцию. Завершите настройку и сохраните внесенные изменения, нажав на кнопку «Применить», а затем на кнопку «ОК». 
Способ 3. Включить или отключить инструмент безопасного входа в систему посредством возможностей приложения «Редактор реестра»
Данный вариант предполагает наличие у пользователей определенных знаний и навыков, позволяющих им производить процедуру редактирования реестра операционной системы «Windows 10», и подходит для уверенных опытных пользователей. Однако стоит помнить, что неосторожные или необдуманные действия, связанные с внесением пользователями изменений в реестр, могут привести к развитию разнообразных ошибок, возможному отказу отдельных приложений или даже полному краху операционной системы.
Откройте диалоговое окно «Выполнить», воспользовавшись одновременным нажатием комбинации клавиш «Windows + R». Введите команду «regedit» (опустив внешние кавычки) в текстовое поле «Открыть» и нажмите на кнопку «ОК» или щелкните на клавиатуре клавишу «Ввод» для продолжения. 
Как и в первых двух предыдущих вариантах, пользователи могут получить доступ к «Редактору реестра» из поисковой панели, открывающейся нажатием на кнопку «Поиск» на «Панели задач» в левом нижнем углу рабочего стола, набрав в соответствующем текстовом поле запрос «regedit» или «редактор реестра» и щелкнув, представленный в разделе «Лучшее соответствие», итоговой результат, или нажав на кнопку «Открыть» в боковом меню панели поиска. 
В окне приложения «Редактор реестра» осуществите пошаговый последовательный переход и разверните вложенные папки в следующем порядке:
КомпьютерHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 
После выбора окончательной папки из предложенного ряда «Winlogon», в правой панели окна будут отображены ее вложенные записи, управляющие определенными заданными параметрами. Отыщите в представленном списке запись реестра «DisableCad» и дважды щелкните ее левой кнопкой мыши, чтобы осуществить запуск всплывающего окна, ответственного за смену установленных настроек. 
В представленном окне «Изменение параметра DWORD (32 бита)» установите в текстовом поле «Значение» один из двух числовых коэффициентов, каждый из которых задает определенное действие:
Затем нажмите на кнопку «ОК» для завершения редактирования параметров отмеченной записи реестра и сохранения установленных разрешений. Потом перезагрузите компьютер, чтобы заданные изменения вступили в силу. 
Примечание. Если в настройках директории «Winlogon» запись реестра «DisableCad» не отображена, то щелкните правой кнопкой мыши по названию «Winlogon» в левой панели окна и во всплывающем контекстном меню наведите курсор на раздел «Создать». Мгновенно будет отображено новое скрытое вложенное меню, в котором из представленных вариантов выберите раздел «Параметр DWORD (32 бита)». Новый параметр появиться в правой панели окна. Присвойте ему название «DisableCAD» (без ограничивающих кавычек) и измените его значение в соответствии с ранее описанным способом.
Заключение
Вопросы обеспечения общей безопасности как персональных компьютерных устройств, так и разнообразных информационных материалов, тем или иным способом хранящихся на компьютерах или задействованных в различных сферах деятельности пользователей, требуют ответственного подхода и наличия действенных инструментов защиты.
Операционная система «Windows», массово представленная на подавляющем количестве персональных компьютеров в мире, обладает встроенными инструментами безопасности, установленными по умолчанию, как непосредственно сразу активными после первичной установки системы, так и требующими дополнительного включения при соответствующем желании пользователей.
Для исключения непредвиденной кражи пользовательских данных учетной записи, позволяющих осуществлять беспрепятственный доступ в систему, в «Windows 10», новейшей версии операционной системы корпорации «Microsoft» присутствует защитный инструмент безопасного доступа на экране входа. Применяя описанные в данном руководстве способы, пользователи могут быстро включить или, при соответствующей необходимости, отключить доступный инструмент безопасности любым из предложенных вариантов.
Полную версию статьи со всеми дополнительными видео уроками читайте в нашем блоге.
Источник
В своей работе мне довольно часто приходится создавать учетные записи, предназначенные для каких либо технических задач (запуск скриптов, отправка почтовых уведомлений и т.п.). Поскольку эти учетные записи не предназначены для обычной работы, то, в целях безопасности, они не должны иметь возможность входа на сервер.
Запретить вход в систему для определенных учетных записей можно с помощью групповых политик. Для этого откроем оснастку управления групповыми политиками и создадим новый GPO.
Затем откроем созданный GPO для редактирования и перейдем в раздел Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment. Здесь нас интересуют два параметра:
Deny log on locally — запрет на локальный (интерактивный) вход в систему;
Deny log on through Remote Desktop Services — запрет на вход по RDP.
Для активации политики необходимо включить (define) ее и указать пользователей или группы, для которых необходимо запретить вход. Использовать группы более удобно, чем добавлять пользователей по одному, поэтому я создал группу DenyInteractiveLogon, которую и добавлю в данные политики.
В результате должна получиться такая картина.
Политика готова, надо проверить ее действие. Для этого в оснастке ADUC находим группу DenyInteractiveLogon, добавляем в нее специально созданную сервисную учетку service_user
и безуспешно пытаемся войти на компьютер под этим пользователем. При любой попытке входа (локально или по RDP) выдается сообщение об ошибке.
В заключение пара важных моментов, о которых надо помнить при использовании запретов:
• Политика предназначена для компьютеров, поэтому назначать ее надо на подразделения, в которых находятся компьютеры, а не пользователи. В принципе можно особо не заморачиваться и назначить политику на весь домен, все равно запрет будет действовать только на указанные в политике группы;
• Данная политика довольно опасна в неумелых руках. К примеру, если указать в ней группу Domain Users, то никто из доменных пользователей не сможет войти на свой компьютер, а если добавить группу Everyone, то запрет подействует на все без исключения учетные записи. Поэтому, выбирая объекты для запрета будьте внимательны, чтобы не запретить вход обычным пользователям;
• По возможности для технических целей старайтесь использовать управляемые учетные записи служб (managed service accounts), они более безопасны в использовании.
- Remove From My Forums
Группа доступа на ПК.Домен
-
Вопрос
-
Имеем уровень домена Windows 2008
Клиент Windows7 Ent
Интересует группа Users на локальном ПК.
По умолчаниию при вводе ПК в домен в группе Users (локальная) есть группы: встроенные «Проверенные пользователи» и «Интерактивные» + добавляеться «Пользователи домена».
В статье
http://technet.microsoft.com/ru-ru/library/cc771990(WS.10).aspx сказано что «Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы. «Мне необходимо следующее: например чтобы я добавил группу DG Sales (в которую входит Вася Пупкин ) в локальную группу Users на локальном ПК, и только он (Вася) смог заходить на данный ПК (пока расматриваем только данную ситуацию). Далее:
1. Исходя из статьи я удаляю группы ( «Проверенные пользователи», «Интерактивные»,«Пользователи домена») из группы Users на локальном ПК
2. Добавляю группу DG Sales в локальную группу Users.
В итоге человека пускает на комп но без оболочки (черный экран, рабочего стола нет)
Подскажите в чем причина
PS: оболочка появиться при добавлении встроенной группы «Интерактивные» в группу Users, но тогда любой пользователь домена сможет зайти на данный ПК.
Ответы
-
PS: оболочка появиться при добавлении встроенной группы «Интерактивные» в группу Users, но тогда любой пользователь домена сможет зайти на данный ПК.
Группа «Интерактивные» — это пользователи, которые работают локально за консолью компьютера. В нее «автоматически» попадают любые пользователи, которые залогинились на данном компьютере.
Насколько я понял Вам нужно предоставить возможность работы на некоторых компьютерах в домене только конкретной группе пользователей и запретить всем остальным доменным пользователям. Это можно сделать через политики (Restricted Groups) или руками.
- Убрать группу Пользователи домена (другие группы удалять НЕ нужно) из локальной группы Пользователи на всех нужных ПК.
- Добавить нужную доменную группу (DG Sales) в локальную группу Пользователи на всех нужных ПК.
-
Помечено в качестве ответа
31 мая 2010 г. 12:09
Новичок
Зарегистрирован: 12.01.2010
Пользователь #: 84,236
Сообщения: 72
Интерактивный вход в систему: отображать сведения о пользователе, когда сеанс заблокирован Interactive logon: Display user information when the session is locked
Область применения Applies to
В этой статье описаны лучшие методики, расположение, **** значения и вопросы безопасности интерактивного локала: отображение сведений о пользователе при блокировке параметра политики безопасности сеанса. Describes the best practices, location, values, and security considerations for the Interactive logon: Display user information when the session is locked security policy setting.
Справочные материалы Reference
Этот параметр безопасности управляет тем, отображаются ли на экране входе такие сведения, как адрес электронной почты или доменимя пользователя. This security setting controls whether details such as email address or domainusername appear with the username on the sign-in screen. Для клиентов с Windows 10 версий 1511 и 1507 (RTM) этот параметр работает аналогично предыдущим версиям Windows. For clients that run Windows 10 version 1511 and 1507 (RTM), this setting works similarly to previous versions of Windows. Однако из-за нового параметра конфиденциальности, введенного в Windows 10 версии 1607, этот параметр безопасности влияет на эти клиенты по-разному. However, because of a new Privacy setting introduced in Windows 10 version 1607, this security setting affects those clients differently.
Изменения, начиная с Windows 10 версии 1607 Changes beginning with Windows 10 version 1607
Начиная с Windows 10 версии 1607, в Windows 10 были добавлены новые функции для скрытие сведений об именах пользователей, таких как электронный адрес по умолчанию, с возможностью изменить значение по умолчанию для их показа. Beginning with Windows 10 version 1607, new functionality was added to Windows 10 to hide username details such as email address by default, with the ability to change the default to show the details. Эта функция управляется новым параметром **** конфиденциальности в параметрах входов в учетные записи > **** > параметров. This functionality is controlled by a new Privacy setting in Settings > Accounts > Sign-in options. Параметр «Конфиденциальность» по умолчанию отключен, что скрывает сведения. The Privacy setting is off by default, which hides the details.
Интерактивный учетной записи для пользователя: отображение сведений о пользователе при блокировке сеанса параметром групповой политики управляет одной и той же функцией. The Interactive logon: Display user information when the session is locked Group Policy setting controls the same functionality.
Этот параметр имеет такие возможные значения: This setting has these possible values:
Отображаемая имя пользователя, домен и имена пользователей User display name, domain and user names
При локальном учете пользователя отображается полное имя пользователя. For a local logon, the user’s full name is displayed. Если пользователь вошел с помощью учетной записи Майкрософт, отображается адрес электронной почты пользователя. If the user signed in using a Microsoft account, the user’s email address is displayed. Для учетной записи домена отображается доменимя пользователя. For a domain logon, the domainusername is displayed. Этот параметр действует так же, как и включение параметра «Конфиденциальность». This setting has the same effect as turning on the Privacy setting.
Только отображаемая имя пользователя User display name only
Отображается полное имя пользователя, заблоквшего сеанс. The full name of the user who locked the session is displayed. Этот параметр действует так же, как и отключение параметра «Конфиденциальность». This setting has the same effect as turning off the Privacy setting.
Не отображать сведения о пользователе Do not display user information
Имена не отображаются. No names are displayed. Начиная с Windows 10 версии 1607, этот параметр не поддерживается. Beginning with Windows 10 version 1607, this option is not supported. Если выбран этот параметр, отображается полное имя пользователя, заблоквшего сеанс. If this option is chosen, the full name of the user who locked the session is displayed instead. Это изменение делает этот параметр согласованным с функциональными возможностями нового параметра конфиденциальности. This change makes this setting consistent with the functionality of the new Privacy setting. Чтобы отобразить сведения о пользователе, в режиме интерактивного логотипа в параметре групповой политики в режиме «Не отображать последний во время входящего». To display no user information, enable the Group Policy setting Interactive logon: Don’t display last signed-in.
Только домены и имена пользователей Domain and user names only
Только для домена отображается доменимя пользователя. For a domain logon only, the domainusername is displayed. Параметр **** «Конфиденциальность» автоматически включаем и серый. The Privacy setting is automatically on and grayed out.
Пустое Blank
Параметр по умолчанию. Default setting. Этот параметр преобразуется в «Не определено», но будет отображаться полное имя пользователя так же, как и только отображаемого имени пользователя. This setting translates to “Not defined,” but it will display the user’s full name in the same manner as the option User display name only. Если параметр установлен, вы не можете сбросить эту политику до пустого или не определено. When an option is set, you cannot reset this policy to blank, or not defined.
Обновление для Windows 10 версии 1607 Hotfix for Windows 10 version 1607
Клиенты, на которых работает Windows 10 версии 1607, не будут отображать сведения на экране регистрации, **** даже если выбран параметр «Отображаемого имени пользователя», «Домен» и «Имена пользователей», так как параметр «Конфиденциальность» отключен. Clients that run Windows 10 version 1607 will not show details on the sign-in screen even if the User display name, domain and user names option is chosen because the Privacy setting is off. Если параметр «Конфиденциальность» включен, отключались сведения. If the Privacy setting is turned on, details will show.
Параметр конфиденциальности нельзя изменить для клиентов массово. The Privacy setting cannot be changed for clients in bulk. Вместо этого примените KB 4013429 к клиентам с Windows 10 версии 1607, чтобы они ведут себя аналогично предыдущим версиям Windows. Instead, apply KB 4013429 to clients that run Windows 10 version 1607 so they behave similarly to previous versions of Windows. Клиентам, которые работают с более поздними версиями Windows 10, не требуется обновление. Clients that run later versions of Windows 10 do not require a hotfix.
Существуют связанные параметры групповой политики: There are related Group Policy settings:
- Конфигурация компьютераПолитикиАдминистративные шаблоныСистемаВходЗапретить пользователю показывать сведения об учетной записи при входе, не позволяет пользователям показывать сведения об учетной записи на экране регистрации. Computer ConfigurationPoliciesAdministrative TemplatesSystemLogonBlock user from showing account details on sign-in prevents users from showing account details on the sign-in screen.
- Конфигурация компьютераПараметры WindowsПараметры безопасностиЛокальные политикиПараметры безопасностиНе отображать последний вход предотвращает отображение имени пользователя последнего пользователя, который должен войти. Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity OptionsDon’t display last signed-in prevents the username of the last user to sign in from being shown.
- Конфигурация компьютераПараметры WindowsПараметры безопасностиЛокальные политикиПараметры безопасностиНе отображать имя пользователя при входе предотвращает отображение имени пользователя при входе в Windows и сразу после введения учетных данных и до того, как появится рабочий стол. Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity OptionsDon’t display username at sign-in prevents the username from being shown at Windows sign-in and immediately after credentials are entered and before the desktop appears.
Взаимодействие с связанными настройками групповой политики Interaction with related Group Policy settings
Для всех версий Windows 10 по умолчанию отображается только отображаемая имя пользователя. For all versions of Windows 10, only the user display name is shown by default.
Если включить блокировку отображения сведений учетной записи при входе, отображается только отображаемая имя пользователя независимо от параметров групповой политики. If Block user from showing account details on sign-in is enabled, then only the user display name is shown regardless of any other Group Policy settings. Пользователи не смогут показать подробности. Users will not be able to show details.
Если **** блокировка отображения сведений учетной записи при входе не включена, можно настроить интерактивный вход: отображать сведения о **** пользователе при блокировке отображаемого имени пользователя, домена и имени пользователя или домена и имен пользователей только для отображения дополнительных сведений, таких как доменимя пользователя. If Block user from showing account details on sign-in is not enabled, then you can set Interactive logon: Display user information when the session is locked to User display name, domain and user names or Domain and user names only to show additional details such as domainusername. В этом случае для клиентов с Windows 10 версии 1607 требуется KB 4013429. In this case, clients that run Windows 10 version 1607 need KB 4013429 applied. Пользователи не смогут скрыть дополнительные сведения. Users will not be able to hide additional details.
Если не включить отображение сведений учетной записи при входе и не отображать последний вход, имя пользователя не будет отображаться. **** If Block user from showing account details on sign-in is not enabled and Don’t display last signed-in is enabled, the username will not be shown.
Рекомендации Best practices
Реализация этой политики зависит от требований безопасности для отображаемой информации для логотипа. Your implementation of this policy depends on your security requirements for displayed logon information. Если компьютеры, на которых хранятся конфиденциальные данные, мониторы отображаются в незащиченных расположениях или на компьютерах с конфиденциальными данными с удаленным доступом, раскрытие полных имен пользователей или доменных учетных записей может привести к противоречию общей политике безопасности. If you run computers that store sensitive data, with monitors displayed in unsecured locations, or if you have computers with sensitive data that are remotely accessed, revealing logged on user’s full names or domain account names might contradict your overall security policy.
В зависимости от политики безопасности также может потребоваться включить интерактивный учет: не отображать политику фамилии пользователя. Depending on your security policy, you might also want to enable the Interactive logon: Do not display last user name policy.
Расположение Location
Конфигурация компьютераПараметры WindowsПараметры безопасностиЛокальные политикиПараметры безопасности Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Значения по умолчанию Default values
| Тип сервера или объект групповой политики (GPO) Server type or Group Policy object (GPO) | Значение по умолчанию Default value |
|---|---|
| Политика домена по умолчанию Default domain policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default domain controller policy | Не определено Not defined |
| Параметры по умолчанию для отдельного сервера Stand-alone server default settings | Не определено Not defined |
| Параметры по умолчанию для контроллера домена Domain controller effective default settings | Отображаемая имя пользователя, домен и имена пользователей User display name, domain and user names |
| Эффективные параметры по умолчанию для серверов-членов Member server effective default settings | Отображаемая имя пользователя, домен и имена пользователей User display name, domain and user names |
| Эффективные параметры GPO по умолчанию на клиентских компьютерах Effective GPO default settings on client computers | Отображаемая имя пользователя, домен и имена пользователей User display name, domain and user names |
Управление политикой Policy management
В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.
Вопросы конфликтов политик Policy conflict considerations
Групповая политика Group Policy
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) для распространения через объекты групповой политики (GGPOs). This policy setting can be configured by using the Group Policy Management Console (GPMC) to be distributed through Group Policy Objects (GPOs). Если эта политика не содержится в распределенном GPO, эту политику можно настроить на локальном компьютере с помощью оснастки «Локализованная политика безопасности». If this policy is not contained in a distributed GPO, this policy can be configured on the local computer by using the Local Security Policy snap-in.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Когда компьютер отображает безопасный рабочий стол в незащиченной области, некоторые сведения о пользователе могут быть легко доступны любому, кто смотрит на монитор как физически, так и через удаленное подключение. When a computer displays the Secure Desktop in an unsecured area, certain user information can be readily available to anyone looking at the monitor, either physically or through a remote connection. Отображаемая информация о пользователе может включать имя учетной записи пользователя домена или полное имя пользователя, который заблокировали сеанс или вошел в систему последним. The displayed user information could include the domain user account name or the full name of the user who locked the session or who had logged on last.
Противодействие Countermeasure
Включение этого параметра политики позволяет операционной системе скрыть отображение определенных сведений о пользователе на безопасном рабочем столе (после загрузки устройства или блокировки сеанса с помощью CTRL+ALT+DEL). Enabling this policy setting allows the operating system to hide certain user information from being displayed on the Secure Desktop (after the device has been booted or when the session has been locked by using CTRL+ALT+DEL). Однако сведения о пользователе отображаются, если используется функция switch user, чтобы плитки входа отображались для каждого во включенного пользователя. However, user information is displayed if the Switch user feature is used so that the logon tiles are displayed for each logged on user.
Также может потребоваться включить интерактивный вход: не отображать политику последнего входа, которая не позволит операционной системе Windows отобразить имя для входа и плитку входа последнего пользователя. You might also want to enable the Interactive logon: Do not display last signed-in policy, which will prevent the Windows operating system from displaying the logon name and logon tile of the last user to log on.
Adblock
detector
kaktusenok
четверг, 16 августа 2012 г.
Специальные группы Windows и их перевод на русский язык
Вот уж не думал, что будет непросто найти перевод группы «Authenticated Users». Но всё-таки получилось! Ниже приведены названия специальных групп (не всех) и их перевод на русский язык (найденные экспериментально).
ВНИМАНИЕ! При поиске по фрагменту названия очень важно соблюдать регистр! Введя «СЕ» найдём группу «СЕТЬ», а вот введя «Сеть» — уже нет. Поэтому данные (по крайней мере по русскому переводу и по возможности на английском языке) приведены в соответствующем регистре.
Знаком * отмечены встроенные группы и идентификаторы. Некоторые группы не стали переводить, а оставили в английском варианте, например, LOCAL SERVICE.
* SYSTEM
* система (Windows 7)
* SYSTEM (Windows Server 2008)
* LOCAL SERVICE
* LOCAL SERVICE (именно так!)
* NETWORK SERVICE
* NETWORK SERVICE (именно так!)
* BATCH
* ПАКЕТНЫЕ ФАЙЛЫ
* REMOTE INTERACTIVE LOGON
* REMOTE INTERACTIVE LOGON (именно так!)
* DIALUP
* УДАЛЕННЫЙ ДОСТУП
* ANONYMOUS LOGON
* АНОНИМНЫЙ ВХОД
* authenticated users
* Прошедшие проверку
* IUSR
* IUSR (именно так!)
* OWNER RIGHTS
* ПРАВА ВЛАДЕЛЬЦА
* CREATOR OWNER
* СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ
* CREATOR GROUP
* ГРУППА-СОЗДАТЕЛЬ
DOMAIN ADMINS
Администраторы домена
DOMAIN USERS
Пользователи домена
DOMAIN GUESTS
Гости домена
Конечно, это не полный список. Полный список будет зависеть от операционной системы, языка, включения в домен и других параметров/условий. Например, сюда не вошли:
* SELF
* Дайджест проверка подлинности
* Данная организация
* Другая организация
* КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ
* ОГРАНИЧЕННЫЕ
* ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ
* Проверка подлинности NTLM
* Проверка подлинности SChannel
? PROXY
ACCOUNT OPERATORS
BACKUP OPERATORS
DnsAdmins
DnsUpdateProxy
HelpServicesGroup
PRINT OPERATORS
REPLICATOR
SERVER OPERATORS
TelnetClients
Администраторы DHCP
Администраторы SQL
Администраторы WSUS
Администраторы предприятия
Администраторы схемы
Владельцы-создатели групповой политики
Доступ DCOM службы сертификации
Издатели сертификатов
Компьютеры домена
Компьютеры сервера терминалов
Контроллеры домена
Контроллеры домена — только чтение
Контроллеры домена предприятия — только чтение
Криптографические операторы
Операторы архива
Операторы настройки сети
Операторы печати
Операторы сервера
Операторы учета
Пользователи
Пользователи DCOM
Пользователи DHCP
Пользователи домена
Пользователи журналов производительности
Пользователи системного монитора
Пользователи удаленного рабочего стола
Пред-Windows 2000 доступ
Репликатор
Серверы RAS и IAS
Серверы лицензий сервера терминалов
Сертификат этой организации
Создатели отчетов WSUS
Источник
В чем разница между группами Everyone и Authenticated Users?
В целях поддержания надлежащего уровня контроля доступа, важно однозначно понимать, что каждый объект в списке управления доступом (ACL) представляет, в том числе встроенные в ОС Windows.
Существует множество встроенных учетных записей с малопонятными именами и неопределенными описаниями, что может привести к путанице в понимании разницы между ними. Очень частый вопрос: «В чем разница между группами Everyone и Authenticated Users?»
Самое важное
Группа Authenticated Users охватывает всех пользователей, вошедших в систему, используя учетную запись и пароль. Группа Everyone охватывает всех пользователей, вошедших в систему с учетной записью и паролем, а также встроенные, незащищённые паролем учетные записи, такие как Guest и LOCAL_SERVICE.
Если описанное выше показалась вам упрощённым, то дальше чуть больше деталей.
Группа Authenticated Users включает в себя всех пользователей, чья подлинность была подтверждена при входе в систему, в них входят как локальные учетные записи, так и учетные записи доверенных доменов.
Группа же Everyone включает всех членов группы Authenticated Users, а также гостевую учетную запись Guest и некоторые другие встроенные учетные записи, такие как likeSERVICE, LOCAL_SERVICE, NETWORK_SERVICE и др. Гостевая учётная запись Guest по умолчанию отключена, однако если она активна, то она дает возможность попасть в систему без ввода пароля.
Вопреки распространенному мнению, любой, кто вошел в систему анонимно, т.е. не прошедшие процедуру подтверждения подлинности, не будут включены в группу Everyone. Это имело место ранее, но изменено начиная с Windows 2003 и Windows XP (SP2).
Когда дело доходит до распределения разрешений, существует один важный вопрос, на который мы должны быть в состоянии ответить: какие конкретные люди имеют доступ к данному ресурсу?
Большую часть разрешений, которые мы видим, даны не конкретным людям, а группам безопасности (и это — правильно), роль которых не всегда очевидна. В результате приходится тратить много времени для выяснения ответа на вопрос выше.
Решение есть. Когда ваш CEO спросит: «Кто имеет доступ к «Зарплатная ведомость.doc»?» вы сможете быстро, уверенно и абсолютно точно дать ответ, вместо предположений после недельных расследований.
Источник
Права и группы пользователей в Windows
Группы пользователей Windows и их права
Мы уже обсуждали возможности Windows по настройке прав доступа пользователей к определенным объектам. Данными объектами выступали папки или файлы. Соответственно, мы могли дать некоторым пользователям доступ к выбранным объектам, а некоторым запретить. Права доступа к файлам это одно, а вот как настроить права доступа к определенным компонентам и возможностям операционной системы Windows? Как одному пользователю разрешить пользоваться удаленным рабочим столом, а второму запретить изменять настройки сети или времени? Тут уже обычными правами доступа NTFS не обойтись.
Для решения данной проблемы в Windows есть специальные группы пользователей с определенными правами доступа. Самые известные и наиболее используемые группы пользователей Windows — это группы Администраторы, Пользователи и Гости. Права пользователей входящих в данные группы приблизительно понятны, но сегодня я познакомлю Вас с ними поближе. Кроме этого не стоит забывать, что количество групп пользователей колеблется от 10 до 20-25, поэтому Вам будет интересно узнать про основные из них.
Как изменить права доступа пользователя?
В Windows имеется два инструмента, которые позволяют манипулировать содержимым групп пользователей операционной системы Windows. Другими словами, добавить пользователя в определенную группу или, наоборот, выкинуть его оттуда под силу сразу двум инструментам Windows:
- Консоль Управление компьютером.
- Редактор локальной групповой политики.
Рассмотрим оба варианта.
Настройка групп пользователей Windows через консоль Управление компьютером
Как добавить пользователя в группу пользователей Windows:
- Выполните клик правой кнопкой компьютерной мышки по пункту Мой компьютер.
- В контекстном меню выберите пункт Управление.
- В открывшемся окне раскройте узел Локальные пользователи и группы.
- Выберите узел Группы.
- В центральном окне выберите необходимую группу и откройте ее.
- В открывшемся окне выберите пункт Добавить.
- В следующем окне введите имя пользователя Windows, которого Вы хотите добавить в данную группу. При необходимости воспользуйтесь кнопкой Проверить имена.
- После выбора пользователя или сразу нескольких пользователей, жмите кнопку ОК.
Как удалить пользователя из группы:
- Проделайте первые 5 пунктов описанные выше.
- В открывшемся окне выберите нужного пользователя и нажмите кнопку Удалить.
- Нажмите ОК.
Работа с группами пользователей Windows в Редакторе локальной групповой политики
Как добавить/удалить пользователя в/из группу/группы пользователей WIndows:
- Через меню Выполнить откройте Редактор локальной групповой политики. Вызываемый файл носит имя gpedit.msc.
- Перейдите в узел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Назначение прав пользователей.
- Выберите необходимую политику(каждая политика подразумевает в себе определенные права доступа).
- Далее необходимо действовать по аналогии — для добавления пользователя проделайте пункты 6-8, а для удаления 2-3 из соответствующих пунктов настройки через консоль Управление компьютером.
Разница политик от консоли Управление компьютера в том, что они позволяют настроить права доступа по винтикам. Если группы пользователей Windows в Управлении компьютером имеют довольно обширные права и запреты, то политики позволяют настроить права пользователей Windows до такой мелочи, как возможность изменения времени или часового пояса.
Группы пользователей в Windows и их права доступа
А вот и долгожданный список основных групп пользователей Windows:
- Администраторы. Неограниченный доступ.
- Операторы архива. Члены данной группы имеют права создания резервной копии даже тех объектов, к которым не имеют доступа.
- Опытные пользователи. Толку от них немного, так как группа включена только для совместимости с предыдущими версиями
- Пользователи системного монитора. Есть чудесная вещь под названием Системный монитор(perfmon.msc), с помощью которого можно отследить использование различных ресурсов компьютером. А группа дает доступ к данному инструменту.
- Операторы настройки сети. Члены группы могут изменять параметры TCP/IP.
- Пользователи удаленного рабочего стола. Пользователи этой группы смогут входить в систему через удаленный рабочий стол.
- Пользователи журналов производительности. 4-ая группа дает только поверхностный доступ к Системному монитору. Данная группа дает более полные права.
- Пользователи DCOM. Пользователи группы могут манипулировать объектами распределенной модели DCOM.
- Криптографические операторы. Члены данной группы могут выполнять криптографические операции.
- Читатели журнала событий. Думаю объяснять нету смысла, все предельно ясно.
Данный список может быть намного шире. Тут приведены только основные группы пользователей Windows, которые встречаются практически на всех машинах под управлением операционной системы от Microsoft.
Источник
Содержание
- 1 Управление учетными записями в Windows 10
- 2 Что делать, если отображается два одинаковых пользователя при входе?
- 3 Как убрать имя пользователя с экрана приветствия Windows?
- 4 Как показать всех локальных пользователей на экране входа в Windows 10?
- 5 Отобразить список активных доменных пользователей на экране входа в Windows
- 6 Как скрыть определенного пользователя на экране приветствия Windows?
- 7 Настройка автоматического входа в Windows 10
<index>
Некоторые пользователи Windows 10 сталкиваются с неудобством выбора учетной записи каждый раз при включении своего компьютера или ноутбука. При этом одна из этих записей лишняя и совершенно не нужна. Чтобы упростить и ускорить запуск системы можно лишнюю учетную запись убрать. Как это сделать мы расскажем в данной статье.
Управление учетными записями в Windows 10
Для того, чтобы удалить одну из учетных записей, сперва нужно зайти в параметры системы. Для этого откройте «Пуск» и нажмите на значок шестеренки, который называется «Параметры».
Вход в параметры Windows 10
В открывшемся окне параметров выбираем «Учетные записи».
Управление учетными записями в Windows 10
Далее в меню слева нажимаем «Семья и другие люди».
Перечень всех пользователей компьютера
В разделе «Другие люди» будут отображены все дополнительно созданные пользователи, которых можно удалить.
Удаление лишнего пользователя в Windows 10
Для удаления достаточно кликнуть по учетной записи и нажать кнопку «Удалить». Далее останется лишь подтвердить удаление.
Следует отметить, что все выше и ниже описанные действия можно выполнять только под учетной записью с правами администратора!
Второй способ описан ниже.
Что делать, если отображается два одинаковых пользователя при входе?
Данная ситуация возможна после обновления системы. Windows 10 каким — то образом начинает думать, что в системе появился еще один пользователь с таким же именем, хотя по факту пользователь один.
Для решения данной проблемы нужно запустить окно «Выполнить». Для этого нажмите комбинацию кнопок на клавиатуре «WIN» + «R».
Комбинация клавиш Win+R на клавиатуре
В появившемся окне наберите команду netplwiz и нажмите «Enter».
Команда открытия окна учетных записей пользователей
Отобразятся все учетные записи пользователей, имеющиеся на вашем компьютере. (Отсюда можно провести удаление ненужной учетки).
Установка параметров пользователя
Выделяем кликом мышкой ту запись, которая дублируется на экране ввода, и устанавливаем для нее вверху галочку «Требовать ввод имени пользователя и пароля».
После этого нажмите «Ок» и перезагрузите компьютер. Проблема будет решена. А запрос пароля можно будет снова отключить.
</index>
В Windows 10/8.1 и Windows Server 2016/2012R2 на экране входа в систему (экране приветствия) по-умолчанию отображается учетная запись последнего пользователя, который авторизовался на компьютере (если у пользователя не задан пароль, будет выполнен автоматический вход систему под этим пользователем, даже если не задана функция автологона). Вы можете настроить различное поведение этой функции на экране приветствия (logon screen): можно показать имя пользователя, скрыть его или даже вывести список всех локальных или активных доменных пользователей компьютера (сервера).
Содержание:
Как убрать имя пользователя с экрана приветствия Windows?
Отображение имени учетной записи на экране входа в Windows удобно конечным пользователям, но снижает безопасность компьютера. Ведь злоумышленнику, получившему доступ к компьютеру, остается только подобрать пароль (для этого есть различные способы социальной инженерии, брутфорса или банального приклееного листочка с паролем на мониторе).
Вы можете отключить отображение имени последнего пользователя через GPO. Откройте редактор доменных (gpmc.msc) или локальных политик (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options). Включите политику “Интерактивный вход в систему: Не отображать учетные данные последнего пользователя” (Interactive logon: Do not display last user name). По умолчанию эта политика отключена.
Вы можете скрыть имя пользователя на экране входа через реестр. Для этого в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem создайте параметр dontdisplaylastusername типа DWORD и значением 1.
Дополнительно вы можете скрыть имя пользователя на заблокированном компьютере. Для этого в этом же разделе нужно включить политику “Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован” (Interactive logon: Display user information when the session is locked) и выбрать значение “Не отображать сведения о пользователе” (Do not display user information).
Этой политике соответствует ключ реестра в той же ветке DontDisplayLockedUserId со значением 3.
Теперь на экране входа в компьютер и на экране блокировки Windows отображаются пустые поля для ввода имени пользователя и пароля.
Как показать всех локальных пользователей на экране входа в Windows 10?
В Windows 10/8.1 вы можете вывести список имеющихся локальных учетных записей на экране приветствия системы. Чтобы авторизоваться на компьютере, пользователю достаточно лишь щелкнуть по нужной учетной записи и указать ее пароль.
Чтобы Windows отображала всех локальных пользователей на экране входа, нужно в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAuthenticationLogonUIUserSwitch изменить значение параметра Enabled на 1. Вы можете изменить этот параметр через графический интерфейс редактора Regedit, с помощью консольной команды“Reg Add” или командлетом PowerShell Set-ItemProperty.
Reg Add HKLMSOFTWAREMicrosoftWindowsCurrentVersionAuthenticationLogonUIUserSwitch /v Enabled /t REG_DWORD /d 1 /fилиSet-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionAuthenticationLogonUIUserSwitch' -Name Enabled -Value 1
Однако Windows при каждой входе пользователя автоматически сбрасывает значение параметра Enabled на 0. Чтобы значение ключа всегда менялось на 1, проще всего создать новое задание планировщика, которое будет отрабатывать при входе пользователя в систему.
Задание планировщика должно запускать одну из указанных выше команд. Такое задание можно создать вручную с помощью графической консоли taskschd.msc. Но мне кажется, что гораздо проще создать задание планировщика с помощью PowerShell. В нашем случае команды для создания нового задания могут выглядеть так:
$Trigger= New-ScheduledTaskTrigger -AtLogOn$User= "NT AUTHORITYSYSTEM"$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "Set-ItemProperty -Path HKLM:SOFTWAREMicrosoftWindowsCurrentVersionAuthenticationLogonUIUserSwitch -Name Enabled -Value 1"Register-ScheduledTask -TaskName "UserSwitch_Enable" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force
Убедимся, что задание появилось в планировщике Windows (taskschd.msc).
Выполните логофф и логон пользователя. Задание должно автоматически запуститься и изменить значение параметра реестра Enabled на 1. Проверьте текущее значение параметра. Как вы видите оно равно единице:
get-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionAuthenticationLogonUIUserSwitch' -Name Enabled
После следующей перезагрузки системы на экране приветствия Windows 10 и 8.1 будут отображаться все локальные учетные записи пользователей компьютера, а не только имя последнего пользовтеля.
Совет. Вместо стандартных иконок пользователей можно показывать их фотографии-аватары из Active Directory.Совет. Если задание успешно отрабатывает, но список пользователей не отображается, проверьте, не включена ли политика Interactive Logon: Do not display last username (в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options).
Есть отдельная политика, позволяющая гораздо проще вывести список локальных пользователей на доменных компьютерах. Перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Logon (Конфигурация компьютера -> Администартиыне шаблоны -> Вход в систему) и включите политику «Enumerate local users on domain-joined computers» (Перечислить локальных пользователей на компьютерах, подключенных к домену).
Отобразить список активных доменных пользователей на экране входа в Windows
Если одним компьютером пользуется несколько пользователей, вы можете отобразить на экране приветствия список пользователей, у которых есть неотключение сессии (пользователи будут отображаться только в том случае, если они залогинены, например при использования общежоступных компьютеров, касс, киосков, RDS сервера или его аналога на Windows 10).
Для этого проверьте, что в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options отключены политики:
- Interactive logon: Don’t display last signed-in: Disabled
- Interactive logon: Don’t display username at sign in: Disabled
Затем отключите политики в разделе Computer Configuration -> Administrative Templates -> System -> Logon:
- Block user from showing account details on sign-in: Disabled
- Do not enumerate connected users on domain-joined computer: Disabled
После этого на экране приветствия будет отображаться список учетных записей с активными сессиями, которые выполнили вход в систему, но были отключены. Пользователю достаточно один раз выполнить вход, а после этого просто выбирать учетную запись из списка и вводить пароль.
Как скрыть определенного пользователя на экране приветствия Windows?
На экране приветствия Windows отображаются пользователи, которые входят в одну из следующих локальных групп: Администраторы, Пользователи, Опытные пользователи, Гости.
Вы можете скрыть любого пользователя из списка на экрана приветствия Windows 10, выполнив команду:
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList" /t REG_DWORD /f /d 0 /v UserName
Вам надоело вводить пароль от своей учетной записи каждый раз, когда вы включаете свой компьютер?Хотите быстро загружать свой рабочий стол в Windows 10, пропустив экран выбора пользователя?
В Windows 10 имеется возможность настройки автоматического входа в систему. Это будет особенно полезно, если у вас на компьютере имеется несколько учетных записей. Например, учетная запись администратора, которой вы пользуетесь крайне редко и основная учетная запись пользователя, в которой вы работаете каждый день. Согласитесь, в таком случае нет смысла каждый раз, при загрузке компьютера, выбирать пользователя, если с вероятностью 95% вы будете работать под одним и тем же пользователем.
Основное преимущество настройки автоматического входа в Windows – это, то, что вам больше не придется каждый раз вводить пароль при включении компьютера или выбирать нужного пользователя, если вы все равно всегда работаете под одной и той же учетной записью. Это также означает, что ваша операционная система загрузится на несколько секунд быстрее.
Настройка автоматического входа в Windows 10
Шаг 1. Откройте команду “Выполнить”. Это можно сделать двумя способами:
- зайти в меню “Пуск” и набрать с помощью клавиатуры слово “выполнить”. Затем нажать на появившейся вариант;
- нажать сочетание клавиш “Win” + “R”.
В открывшемся окне “Выполнить” введите “netplwiz” и нажмите клавишу “Enter”.
Шаг 2. После того, как откроется окно “Учетные записи пользователей”, выберите в нём учетную запись, которая должна загружаться автоматически, а затем снимите флажок “Требовать ввод имени пользователя и пароля”. Затем, нажмите кнопку “Применить”.
Шаг 3. В открывшемся окне «Автоматический вход в систему» введите 2 раза пароль от выбранной учетной записи и нажмите кнопку «ОК».
Используемые источники:
- http://helpadmins.ru/pri-vkhode-v-vindovs-10-dve-uchetnye-zapis/
- https://winitpro.ru/index.php/2017/06/14/otobrazhenie-vsex-polzovatelej-sistemy-na-ekrane-vxoda-windows-10/
- https://food4brain.ru/kak_propustit_okno_vybora_polzovatelja_v_windows_10/