Как добавить группу все в безопасность windows 10

Содержание

• Запуск «Локальных пользователей и групп»
• «Пользователи»
• «Группы»
• Добавление нового пользователя
• Присоединение пользователя к группе
• Вопросы и ответы

В системных оснастках Windows 10 присутствует средство для управления учётными записями, сохранёнными на текущем компьютере, которая называется «Локальные пользователи и группы». Давайте разберёмся, что это за инструмент.

Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!

Запуск «Локальных пользователей и групп»

Доступ к рассматриваемому элементу можно получить следующим образом:

1. Вызовите инструмент «Выполнить» сочетанием клавиш Win+R, введите в нём запрос lusrmgr.msc и щёлкните «ОК».



2. Запустится нужный инструмент.



Теперь взглянем подробнее на особенности приложения.

«Пользователи»

В данном каталоге присутствуют такие категории:

• «Администратор» – встроенный аккаунт, который используется в процессе инсталляции ОС перед тем, как юзер создаст свой собственный. Полномочия данной учётки весьма обширны, плюс её нельзя никаким образом удалить. Она пригодится в случае, когда в систему необходимо внести серьёзные изменения, но обычного пользователя-администратора для этой цели недостаточно.
  

  Читайте также: Использование встроенной учётной записи администратора Windows 10

• «Гость» — второй аккаунт по умолчанию, присутствующий в указанном каталоге. Из названия элемента ясно, каково его предназначение – это гостевая учётка, ограниченная в правах. Данный аккаунт задействуется для разового использования, и по умолчанию отключен из-за возможной угрозы безопасности.
• «WDAGUtilityAccount» — это запись, используемая Защитником Windows при открытии небезопасных сайтов или приложений, чтобы не подвергать опасности основное пространство. Если вы не совершали никаких манипуляций со встроенным в «десятку» антивирусом, WDAGUtilityAccount активен и задействуется.
  

  Читайте также: Отключение Защитника в Windows 10

• «Пользователь» — учётка, созданная при первичной настройке системы.
• «HelpAssistant» — временная запись, которая используется для создания сеанса удаленной помощи. Ею управляет служба Remote Desktop Help Session Manager.

«Группы»

В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:

• «Администраторы» – основная группа, члены которой имеют полный доступ к управлению операционной системой, соответственно, добавлять к ней новые учётки стоит с осторожностью.
• «Администраторы Hyper-V» – здесь находятся записи, которым разрешен доступ к виртуальной машине Hyper-V.

  Читайте также: Виртуальная машина в Windows 10

• «Владельцы устройства» – аккаунты из этой категории по своим полномочиям дублируют вариант «Администраторы».
• «Гости» – название говорит само за себя: сюда входят гостевые учётные записи.
• «Криптографические операторы» – пользовательские аккаунты из этого раздела способны выполнять связанные с криптографией действия, например, с цифровыми подписями.
• «Операторы архива» – интересная категория, поскольку записи, которые в неё входят, способны обходить системные ограничения доступа, но только в целях создания точек восстановления или резервного копирования.
  

  Читайте также: Создание точек восстановления Windows 10

• «Операторы настройки сети» – записям из этой категории разрешено управлять подключениями к сетям.
• «Опытные пользователи» – специфичный вариант, который существует для обеспечения совместимости. Дело в том, что эта категория в предыдущих версиях Виндовс обладала ограниченными административными правами для работы с некоторыми приложениями. В десятой редакции, в целях безопасности, редактирование этой группы запрещено, однако учётки в неё помещаются автоматически, если используется одно из тех самых специфичных приложений.
• «Пользователи» – самый большой раздел, в который входят все пользовательские учётные записи.

Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.

Добавление нового пользователя

Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.

Подробнее: Добавление нового пользователя в Windows 10

Присоединение пользователя к группе

Редактирование группы происходит по похожему алгоритму:

1. Выделите одиночным кликом ЛКМ категорию, после чего воспользуйтесь вариантами «Действие» – «Добавить пользователя в группу».





2. В окне свойств группы кликните по кнопке «Добавить».



3. Укажите имя аккаунта в блоке «Введите имена выбираемых объектов», после чего щёлкните «Проверить имена».
   

   Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.



4. По возвращении в окно свойств вы увидите имя добавленной учётки.



Как видим, действительно ничего сложного.

Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.

Еще статьи по данной теме:

Помогла ли Вам статья?

kaktusenok

четверг, 16 августа 2012 г.

Специальные группы Windows и их перевод на русский язык

Вот уж не думал, что будет непросто найти перевод группы «Authenticated Users». Но всё-таки получилось! Ниже приведены названия специальных групп (не всех) и их перевод на русский язык (найденные экспериментально).

ВНИМАНИЕ! При поиске по фрагменту названия очень важно соблюдать регистр! Введя «СЕ» найдём группу «СЕТЬ», а вот введя «Сеть» — уже нет. Поэтому данные (по крайней мере по русскому переводу и по возможности на английском языке) приведены в соответствующем регистре.

Знаком * отмечены встроенные группы и идентификаторы. Некоторые группы не стали переводить, а оставили в английском варианте, например, LOCAL SERVICE.

* SYSTEM
* система (Windows 7)
* SYSTEM (Windows Server 2008)

* LOCAL SERVICE
* LOCAL SERVICE (именно так!)

* NETWORK SERVICE
* NETWORK SERVICE (именно так!)

* BATCH
* ПАКЕТНЫЕ ФАЙЛЫ

* REMOTE INTERACTIVE LOGON
* REMOTE INTERACTIVE LOGON (именно так!)

* DIALUP
* УДАЛЕННЫЙ ДОСТУП

* ANONYMOUS LOGON
* АНОНИМНЫЙ ВХОД

* authenticated users
* Прошедшие проверку

* IUSR
* IUSR (именно так!)

* OWNER RIGHTS
* ПРАВА ВЛАДЕЛЬЦА

* CREATOR OWNER
* СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

* CREATOR GROUP
* ГРУППА-СОЗДАТЕЛЬ

DOMAIN ADMINS
Администраторы домена

DOMAIN USERS
Пользователи домена

DOMAIN GUESTS
Гости домена

Конечно, это не полный список. Полный список будет зависеть от операционной системы, языка, включения в домен и других параметров/условий. Например, сюда не вошли:

* SELF
* Дайджест проверка подлинности
* Данная организация
* Другая организация
* КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ
* ОГРАНИЧЕННЫЕ
* ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ
* Проверка подлинности NTLM
* Проверка подлинности SChannel
? PROXY
ACCOUNT OPERATORS
BACKUP OPERATORS
DnsAdmins
DnsUpdateProxy
HelpServicesGroup
PRINT OPERATORS
REPLICATOR
SERVER OPERATORS
TelnetClients
Администраторы DHCP
Администраторы SQL
Администраторы WSUS
Администраторы предприятия
Администраторы схемы
Владельцы-создатели групповой политики
Доступ DCOM службы сертификации
Издатели сертификатов
Компьютеры домена
Компьютеры сервера терминалов
Контроллеры домена
Контроллеры домена — только чтение
Контроллеры домена предприятия — только чтение
Криптографические операторы
Операторы архива
Операторы настройки сети
Операторы печати
Операторы сервера
Операторы учета
Пользователи
Пользователи DCOM
Пользователи DHCP
Пользователи домена
Пользователи журналов производительности
Пользователи системного монитора
Пользователи удаленного рабочего стола
Пред-Windows 2000 доступ
Репликатор
Серверы RAS и IAS
Серверы лицензий сервера терминалов
Сертификат этой организации
Создатели отчетов WSUS

Источник

В чем разница между группами Everyone и Authenticated Users?

В целях поддержания надлежащего уровня контроля доступа, важно однозначно понимать, что каждый объект в списке управления доступом (ACL) представляет, в том числе встроенные в ОС Windows.

Существует множество встроенных учетных записей с малопонятными именами и неопределенными описаниями, что может привести к путанице в понимании разницы между ними. Очень частый вопрос: «В чем разница между группами Everyone и Authenticated Users?»

Самое важное

Группа Authenticated Users охватывает всех пользователей, вошедших в систему, используя учетную запись и пароль. Группа Everyone охватывает всех пользователей, вошедших в систему с учетной записью и паролем, а также встроенные, незащищённые паролем учетные записи, такие как Guest и LOCAL_SERVICE.

Если описанное выше показалась вам упрощённым, то дальше чуть больше деталей.

Группа Authenticated Users включает в себя всех пользователей, чья подлинность была подтверждена при входе в систему, в них входят как локальные учетные записи, так и учетные записи доверенных доменов.

Группа же Everyone включает всех членов группы Authenticated Users, а также гостевую учетную запись Guest и некоторые другие встроенные учетные записи, такие как likeSERVICE, LOCAL_SERVICE, NETWORK_SERVICE и др. Гостевая учётная запись Guest по умолчанию отключена, однако если она активна, то она дает возможность попасть в систему без ввода пароля.

Вопреки распространенному мнению, любой, кто вошел в систему анонимно, т.е. не прошедшие процедуру подтверждения подлинности, не будут включены в группу Everyone. Это имело место ранее, но изменено начиная с Windows 2003 и Windows XP (SP2).

Когда дело доходит до распределения разрешений, существует один важный вопрос, на который мы должны быть в состоянии ответить: какие конкретные люди имеют доступ к данному ресурсу?

Большую часть разрешений, которые мы видим, даны не конкретным людям, а группам безопасности (и это — правильно), роль которых не всегда очевидна. В результате приходится тратить много времени для выяснения ответа на вопрос выше.

Решение есть. Когда ваш CEO спросит: «Кто имеет доступ к «Зарплатная ведомость.doc»?» вы сможете быстро, уверенно и абсолютно точно дать ответ, вместо предположений после недельных расследований.

Источник

Права и группы пользователей в Windows

Группы пользователей Windows и их права

Мы уже обсуждали возможности Windows по настройке прав доступа пользователей к определенным объектам. Данными объектами выступали папки или файлы. Соответственно, мы могли дать некоторым пользователям доступ к выбранным объектам, а некоторым запретить. Права доступа к файлам это одно, а вот как настроить права доступа к определенным компонентам и возможностям операционной системы Windows? Как одному пользователю разрешить пользоваться удаленным рабочим столом, а второму запретить изменять настройки сети или времени? Тут уже обычными правами доступа NTFS не обойтись.

Для решения данной проблемы в Windows есть специальные группы пользователей с определенными правами доступа. Самые известные и наиболее используемые группы пользователей Windows — это группы Администраторы, Пользователи и Гости. Права пользователей входящих в данные группы приблизительно понятны, но сегодня я познакомлю Вас с ними поближе. Кроме этого не стоит забывать, что количество групп пользователей колеблется от 10 до 20-25, поэтому Вам будет интересно узнать про основные из них.

Как изменить права доступа пользователя?

В Windows имеется два инструмента, которые позволяют манипулировать содержимым групп пользователей операционной системы Windows. Другими словами, добавить пользователя в определенную группу или, наоборот, выкинуть его оттуда под силу сразу двум инструментам Windows:

1. Консоль Управление компьютером.
2. Редактор локальной групповой политики.

Рассмотрим оба варианта.

Настройка групп пользователей Windows через консоль Управление компьютером

Как добавить пользователя в группу пользователей Windows:

1. Выполните клик правой кнопкой компьютерной мышки по пункту Мой компьютер.
2. В контекстном меню выберите пункт Управление.
3. В открывшемся окне раскройте узел Локальные пользователи и группы.
4. Выберите узел Группы.
5. В центральном окне выберите необходимую группу и откройте ее.
6. В открывшемся окне выберите пункт Добавить.
7. В следующем окне введите имя пользователя Windows, которого Вы хотите добавить в данную группу. При необходимости воспользуйтесь кнопкой Проверить имена.
8. После выбора пользователя или сразу нескольких пользователей, жмите кнопку ОК.

Как удалить пользователя из группы:

1. Проделайте первые 5 пунктов описанные выше.
2. В открывшемся окне выберите нужного пользователя и нажмите кнопку Удалить.
3. Нажмите ОК.

Работа с группами пользователей Windows в Редакторе локальной групповой политики

Как добавить/удалить пользователя в/из группу/группы пользователей WIndows:

1. Через меню Выполнить откройте Редактор локальной групповой политики. Вызываемый файл носит имя gpedit.msc.
2. Перейдите в узел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Назначение прав пользователей.
3. Выберите необходимую политику(каждая политика подразумевает в себе определенные права доступа).
4. Далее необходимо действовать по аналогии — для добавления пользователя проделайте пункты 6-8, а для удаления 2-3 из соответствующих пунктов настройки через консоль Управление компьютером.

Разница политик от консоли Управление компьютера в том, что они позволяют настроить права доступа по винтикам. Если группы пользователей Windows в Управлении компьютером имеют довольно обширные права и запреты, то политики позволяют настроить права пользователей Windows до такой мелочи, как возможность изменения времени или часового пояса.

Группы пользователей в Windows и их права доступа

А вот и долгожданный список основных групп пользователей Windows:

• Администраторы. Неограниченный доступ.
• Операторы архива. Члены данной группы имеют права создания резервной копии даже тех объектов, к которым не имеют доступа.
• Опытные пользователи. Толку от них немного, так как группа включена только для совместимости с предыдущими версиями
• Пользователи системного монитора. Есть чудесная вещь под названием Системный монитор(perfmon.msc), с помощью которого можно отследить использование различных ресурсов компьютером. А группа дает доступ к данному инструменту.
• Операторы настройки сети. Члены группы могут изменять параметры TCP/IP.
• Пользователи удаленного рабочего стола. Пользователи этой группы смогут входить в систему через удаленный рабочий стол.
• Пользователи журналов производительности. 4-ая группа дает только поверхностный доступ к Системному монитору. Данная группа дает более полные права.
• Пользователи DCOM. Пользователи группы могут манипулировать объектами распределенной модели DCOM.
• Криптографические операторы. Члены данной группы могут выполнять криптографические операции.
• Читатели журнала событий. Думаю объяснять нету смысла, все предельно ясно.

Данный список может быть намного шире. Тут приведены только основные группы пользователей Windows, которые встречаются практически на всех машинах под управлением операционной системы от Microsoft.

Источник

Создание группы безопасности пользователей в системе Windows

Учетная запись пользователя Windows может входить в несколько групп. Наиболее распространенные группы пользователей – это стандартная группа и группа администраторов, существуют и другие.

Для обозначения учетной записи часто используется название группы пользователей, в которую он входит. Например, учетная запись входит в стандартную группы пользователей, называется стандартной учетной записью.

С помощью учетной записи администратора можно создать собственные группы пользователей, переместить учетные записи из одной группы в другую, а также добавить или удалить учетные записи, которые входят в разные группы.

Создав собственную группу пользователей, можно определять, какие права ей назначить.

Создание группы пользователей

Эти шаги нельзя выполнить в версиях Windows 7 Starter, Windows 7 Home Basic и Windows 7 Home Premium.

1. Откройте консоль управления MMC.
2. В левой области выберите пункт Локальные пользователи и группы.

Если оснастка Локальные пользователи и группы не отображается, возможно, эту оснастку не включили в консоли управления ММС.

Чтобы добавить её, выполните следующие действия:

1. В окне консоли управления MМС меню Файл выберите команду Добавить / удалить оснастку.
2. Выберите Локальные пользователи и группы и нажмите кнопку Добавить .
3. Щелкните Локальный компьютер и нажмите кнопку Готово .
4. Нажмите кнопку ОК .

Нажмите кнопку Добавить и введите имя учетной записи пользователя.

Нажмите кнопку Проверить имена и нажмите кнопку ОК .

Нажмите кнопку Создать .

Сведения о добавлении учетной записи к определенной группе, см. Добавление учетной записи в группу.

«Локальные пользователи и группы» в Windows 10

Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!

Запуск «Локальных пользователей и групп»

Доступ к рассматриваемому элементу можно получить следующим образом:

Вызовите инструмент «Выполнить» сочетанием клавиш Win+R, введите в нём запрос lusrmgr.msc и щёлкните «ОК».

Запустится нужный инструмент.

Теперь взглянем подробнее на особенности приложения.

«Пользователи»

В данном каталоге присутствуют такие категории:

«Администратор» – встроенный аккаунт, который используется в процессе инсталляции ОС перед тем, как юзер создаст свой собственный. Полномочия данной учётки весьма обширны, плюс её нельзя никаким образом удалить. Она пригодится в случае, когда в систему необходимо внести серьёзные изменения, но обычного пользователя-администратора для этой цели недостаточно.

Читайте также: Использование встроенной учётной записи администратора Windows 10

«Гость» — второй аккаунт по умолчанию, присутствующий в указанном каталоге. Из названия элемента ясно, каково его предназначение – это гостевая учётка, ограниченная в правах. Данный аккаунт задействуется для разового использования, и по умолчанию отключен из-за возможной угрозы безопасности.

«WDAGUtilityAccount» — это запись, используемая Защитником Windows при открытии небезопасных сайтов или приложений, чтобы не подвергать опасности основное пространство. Если вы не совершали никаких манипуляций со встроенным в «десятку» антивирусом, WDAGUtilityAccount активен и задействуется.

Читайте также: Отключение Защитника в Windows 10

«Пользователь» — учётка, созданная при первичной настройке системы.

«HelpAssistant» — временная запись, которая используется для создания сеанса удаленной помощи. Ею управляет служба Remote Desktop Help Session Manager.

«Группы»

В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:

• «Администраторы» – основная группа, члены которой имеют полный доступ к управлению операционной системой, соответственно, добавлять к ней новые учётки стоит с осторожностью.
• «Администраторы Hyper-V» – здесь находятся записи, которым разрешен доступ к виртуальной машине Hyper-V.

Читайте также: Виртуальная машина в Windows 10

«Владельцы устройства» – аккаунты из этой категории по своим полномочиям дублируют вариант «Администраторы».

«Гости» – название говорит само за себя: сюда входят гостевые учётные записи.

«Криптографические операторы» – пользовательские аккаунты из этого раздела способны выполнять связанные с криптографией действия, например, с цифровыми подписями.

«Операторы архива» – интересная категория, поскольку записи, которые в неё входят, способны обходить системные ограничения доступа, но только в целях создания точек восстановления или резервного копирования.

Читайте также: Создание точек восстановления Windows 10

«Операторы настройки сети» – записям из этой категории разрешено управлять подключениями к сетям.

«Опытные пользователи» – специфичный вариант, который существует для обеспечения совместимости. Дело в том, что эта категория в предыдущих версиях Виндовс обладала ограниченными административными правами для работы с некоторыми приложениями. В десятой редакции, в целях безопасности, редактирование этой группы запрещено, однако учётки в неё помещаются автоматически, если используется одно из тех самых специфичных приложений.

«Пользователи» – самый большой раздел, в который входят все пользовательские учётные записи.

Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.

Добавление нового пользователя

Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.

Присоединение пользователя к группе

Редактирование группы происходит по похожему алгоритму:

Выделите одиночным кликом ЛКМ категорию, после чего воспользуйтесь вариантами «Действие» – «Добавить пользователя в группу».

В окне свойств группы кликните по кнопке «Добавить».

Укажите имя аккаунта в блоке «Введите имена выбираемых объектов», после чего щёлкните «Проверить имена».

Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.

По возвращении в окно свойств вы увидите имя добавленной учётки.

Как видим, действительно ничего сложного.

Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.

Как добавлять или удалять пользователей из групп в Windows 10

В этой статье рассмотрим как добавлять или удалять пользователей из групп, чтобы ограничить или добавить возможности им выполнять определенные действия в Windows 10.

В каждой версии Windows есть различные группы пользователей, в зависимости от того в какой группе состоит учетная запись, у нее есть определенные права на выполнения различных операций в системе. По умолчанию в Windows есть группы: Администраторы; Гости; Администраторы Hyper; Криптографические операторы; Операторы архива; Операторы настройки сети; Операторы помощи по контролю учетных записей; Опытные пользователи; Пользователи; Пользователи DCOM; Пользователи журналов производительности; Пользователи системного монитора; Пользователи удаленного рабочего стола; Пользователи удаленного управления: Репликатор; Управляемая системой группа учетных записей; Читатели журнала событий. Обычные пользователи зачастую используют только группы “Администраторы”,”Опытные пользователи” и “Пользователи”. Описание всех групп можно найти открыв “Локальные пользователи и группы” и зайдя в “Группы”, ниже мы опишем как это сделать.

Добавить или удалить пользователя из группы в “Локальные пользователи и группы”

Инструмент “Локальные пользователи и группы” доступен только в Windows 10 Pro , Enterprise и Education. Если у вас Windows 10 Home – переходите к следующему способу.

1.В строке поиска или в меню выполнить (выполнить вызывается клавишами Win+r) напишите lusrmgr.msc и нажмите Enter.

2. Зайдите в “Пользователи” => нажмите правой клавишей мыши на пользователя, которого нужно добавить в какую-то группу и выберите “Свойства”.

3. Перейдите во вкладку “Членство в группах”. В колонке “Член групп” вы можете выбрать любую из перечисленных групп и нажать на “Удалить”, чтобы выбранный пользователь перестал быть участником этой группы. После нажатия на “Удалить” нажмите на “ОК”, чтобы изменения вступили в силу.

Чтобы добавить пользователя в группу – нужно после второго пункта перейти во вкладку “Членства в группах” и нажать “Добавить”.

В следующем окне нажмите на “Дополнительно”.

Нажмите на “Поиск” и выберите в появившемся списке группу, в которую нужно добавить пользователя (если таких групп несколько во время их выбора удерживайте нажатой клавишу Ctrl) => нажмите на “ОК” в следующих трех окнах.

Есть второй способ добавлять пользователя или пользователей в определенную группу: в окне “Локальные пользователи и группы” вместо “Пользователи” выберите “Группы” => на группу в которую нужно добавить (или с которой нужно удалить) пользователей нажмите правой клавишей мыши и выберите “Свойства”.

Если нужно удалить пользователя с группы – выберите его и нажмите на “Удалить”, после этого нажмите на “ОК”.

Если нужно добавить пользователя – нажмите на “Добавить”.

Нажмите на “Поиск” => выберите пользователя (если нужно выбрать несколько пользователей нажимайте на каждого удерживая нажатой клавишу Ctrl) и нажмите “ОК” во всех окнах.

Добавить пользователя в группу в командной строке

1.Откройте командную строку от имени администратора: один из способов — нажать на меню «Пуск» правой клавишей мыши и выбрать «Командная строка (администратор) из открывшегося меню.

2. Введите команду предварительно заменив выделенное красным net localgroup “ Группа ” “ Пользователь ” /add и нажмите клавишу Enter. “Группа” замените на группу в которую нужно добавить пользователя, “Пользователь” замените на пользователя которого нужно добавить в группу. К примеру пользователя “Sa” нужно добавить в группу “Администраторы”, команда будет выглядеть так: net localgroup “Администраторы” “Sa” /add

Удалить пользователя из группы в командной строке

1.Откройте командную строку от имени администратора: один из способов — нажать на меню «Пуск» правой клавишей мыши и выбрать “Командная строка (администратор)” из открывшегося меню.

2. Введите команду предварительно заменив выделенное красным net localgroup “ Группа ” “ Пользователь ” /delete и нажмите клавишу Enter. “Группа” замените на группу из которой нужно удалить пользователя, “Пользователь” замените на пользователя которого нужно удалить из группы. К примеру пользователя “Sa” нужно удалить из группы “Администраторы”, команда будет выглядеть так: net localgroup “Администраторы” “Sa” /delete

На сегодня все, если вы знаете другие способы или у вас есть дополнения – пишите комментарии! Удачи Вам 🙂

«Локальные пользователи и группы» в Windows 10

Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!

Запуск «Локальных пользователей и групп»

Доступ к рассматриваемому элементу можно получить следующим образом:

Теперь взглянем подробнее на особенности приложения.

«Пользователи»

В данном каталоге присутствуют такие категории:

«Группы»

В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:

Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.

Добавление нового пользователя

Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.

Присоединение пользователя к группе

Редактирование группы происходит по похожему алгоритму:

Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.

Как видим, действительно ничего сложного.

Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.

Помимо этой статьи, на сайте еще 12357 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источник

[конспект админа] Меньше администраторов всем

Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.

Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.

Ограниченные группы

В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).

Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.

Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.

Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.

Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.

Расположение политик Restricted groups.

Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:

Добавляем группу «Администраторы», в которую добавляем группу helpdesk.

И получаем локальную группу «Администраторы» без Domain admins.

Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:

При такой настройке локальная группа «Администраторы» не будет зачищена.

Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.

Настройка группы безопасности через GPP.

Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.

Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.

Использование встроенных групп безопасности

Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.

Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.

Группа	Описание
Администраторы	Полные права на систему.
Пользователи	Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля.
Операторы архива	Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования.
Опытные пользователи	Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки).
Пользователи удаленного рабочего стола	Членство дает возможность подключаться к компьютеру по RDP
Операторы печати	Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати.
Операторы настройки сети	Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу.
Операторы учета	Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу.

Познакомиться со всеми группами и более полным описанием можно в официальной документации.

Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.

Настройка прав доступа через групповые политики.

Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.

Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!

Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.

Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 102016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.

Достаточно администрирования

Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.

Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.

Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.

Проверка версии и разрешение удаленных подключений при помощи PS.

Создадим группу безопасности и специального пользователя:

Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:

А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:

Теперь необходимо подготовить файл сессии PowerShell:

Зарегистрируем файл сессии:

Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:

Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.

Доступ к серверу ограничен управлением одной виртуальной машиной.

Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.

Интерфейс JEA Toolkit Helper.

При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.

Журнал выполнения PowerShell.

Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.

Файловый журнал JEA.

С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».

Источник

Как открыть локальных пользователей и группы в Windows 10

Помимо того, что вы видите на экране входа в систему, Windows 10 имеет тенденцию создавать несколько пользователей и групп в фоновом режиме для выполнения нескольких задач на компьютере. Однако они не видны обычному пользователю, входят в систему в фоновом режиме и играют важную роль в структурировании разрешений. Давайте узнаем, как просматривать и управлять локальными пользователями и группами в Windows 10/8/7 на компьютере.

Откройте локальные пользователи и группы в Windows 10

Следующие методы помогут вам открывать и просматривать локальные пользователи и группы в Windows 10:

Разберем процедуру подробно. Мы также рассмотрим, как добавлять или удалять пользователей из группы.

1]Использование утилиты управления компьютером

Откройте меню WinX и выберите «Управление компьютером».

На левой панели навигации выберите Локальные пользователи и группы под расширенным списком Управление компьютером (локальное).

Здесь вы увидите две папки:

Раскрытие каждого из них даст вам необходимые сведения.

2]Непосредственно с помощью lusrmgr.msc

Чтобы открыть окно «Локальные пользователи и группы», вы должны вызвать его процесс, который называется lusrmgr.msc, и вы можете сделать это следующими четырьмя способами.

Использование поля «Выполнить»

Ударь Клавиша Windows + R комбинация кнопок на клавиатуре.

Печатать lusrmgr.msc и ударил Войти.

Откроется окно «Локальные пользователи и группы».

Использование окна поиска Windows

Ударь Клавиша Windows + S комбинация кнопок на клавиатуре. Откроется окно поиска Windows.

Ищи lusrmgr.msc и ударил Войти.

Откроется окно «Локальные пользователи и группа».

Использование командной строки Windows 10

Откройте командную строку Windows и выполните следующую команду:

Вы попадете в окно пункта назначения.

Использование командной строки Windows PowerShell

Откройте Windows PowerShell и выполните следующую команду:

Он откроется в окне назначения.

Добавить или удалить пользователей из группы

Чтобы добавить или удалить пользователей из группы:

Чтобы добавить пользователя, нажмите кнопку «Добавить» и следуйте инструкциям.

Добавить пользователя в группу с помощью командной строки

Вам необходимо выполнить следующую команду:

Замените ГРУППУ и ​​ПОЛЬЗОВАТЕЛЬ настоящими именами.

Удаление пользователя из группы с помощью командной строки

Вам необходимо выполнить следующую команду:

Замените GROUP и USER настоящими именами.

Добавить пользователя в группу с помощью PowerShell

Вам необходимо выполнить следующую команду:

Замените GROUP и USER настоящими именами.

Удаление пользователя из группы с помощью PowerShell

Вам необходимо выполнить следующую команду:

Замените ГРУППУ и ​​ПОЛЬЗОВАТЕЛЬ настоящими именами.

Надеюсь, это поможет.

Пользователь Windows 10 Home? Эти ссылки могут вас заинтересовать:

Источник

Введение

Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Это имя пользователя и пароль (или другое аналогичное средство аутентификации — например, биометрические характеристики). Пароль или его аналог, как правило, хранится в зашифрованном или хэшированном виде (в целях его безопасности).

Для повышения надёжности могут быть, наряду с паролем, предусмотрены альтернативные средства аутентификации — например, специальный секретный вопрос (или несколько вопросов) такого содержания, что ответ может быть известен только пользователю. Такие вопросы и ответы также хранятся в учётной записи.

Учётная запись может содержать следующие дополнительные анкетные данные о пользователе:

Конкретные категории данных, которые могут быть внесены в такую анкету, определяются администраторами системы.

Учётная запись может также содержать одну или несколько фотографий или аватар пользователя. Учётная запись пользователя также может учитывать различные статистические характеристики поведения пользователя в системе: давность последнего входа в систему, продолжительность последнего пребывания в системе, адрес использованного при подключении компьютера, интенсивность использования системы, суммарное и (или) удельное количество определённых операций, произведённых в системе, и так далее.

Создание учетных записей пользователей

В операционной системе Windows 7 можно создавать несколькими способами как учетные записи пользователей для компьютеров, состоящих в рабочих группах, так и учетные записи пользователей для компьютеров, которые входят в состав домена. Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами.

Рабочая группа – это группа компьютеров, подключенных к сети, которые совместно используют ресурсы. При настройке сети операционная система Windows автоматически создает рабочую группу и присваивает ей имя по умолчанию.

Домен — это группа компьютеров одной сети, имеющих единый центр, использующий единую базу пользователей, единую групповую и локальную политики, единые параметры безопасности, ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров.

Создание учетных записей пользователей для компьютеров, состоящих в рабочей группе

В операционной системе Windows 7 для компьютеров, которые состоят в рабочей или домашней группе, учетные записи можно создавать следующими способами:

Создание учетной записи при помощи диалога «Управление учетными записями пользователей»

Для того чтобы создать учетную запись при помощи диалога «Учетные записи пользователей», нужно сделать следующее:

В этом диалоге, можно выбрать одну из двух типов учетных записей: «обычные учетные записи пользователей», которые предназначены для повседневной работы или «учетные записи администратора», которые предоставляют полный контроль над компьютером и применяются только в необходимых случаях.

Создание учетной записи при помощи диалога «Учетные записи пользователей»

Доступный через панель управления диалог «Управление учетными записями пользователей» имеет очень серьезное ограничение: оно предлагает на выбор только учетные записи типа Обычный доступ или Администратор. Для того чтобы при создании нового пользователя его можно было поместить в какую-либо определенную группу, нужно сделать следующее:

В следующем списке перечислены 15 встроенных групп операционной системы Windows 7. Эти права назначаются в рамках локальных политик безопасности:

Создание учетной записи при помощи оснастки «Локальные пользователи и группы»

Оснастка «Локальные пользователи и группы» расположена в компоненте «Управление компьютером», представляющем собой набор средств администрирования, с помощью которых можно управлять одним компьютером, локальным или удаленным. Оснастка «Локальные пользователи и группы» служит для защиты и управления учетными записями пользователей и групп, размещенных локально на компьютере. Можно назначать разрешения и права для учетной записи локального пользователя или группы на определенном компьютере (и только на этом компьютере).

Использование оснастки «Локальные пользователи и группы» позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (обычно с файлом, папкой или принтером), которое определяет, каким пользователям, и какой доступ к объекту разрешен.

Для того чтобы создать локальную учетную запись пользователя при помощи оснастки «Локальные пользователи и группы», нужно сделать следующее:

Для того чтобы добавить пользователя в группу, дважды щелкните имя пользователя для получения доступа к странице свойств пользователя. На вкладке «Членство в группах» нажмите на кнопку «Добавить».

В диалоге «Выбор группы» можно выбрать группу для пользователя двумя способами:

Создание учетной записи при помощи командной строки

Помимо вышеперечисленных способов, учетные записи пользователей можно создавать, изменять и удалять при помощи командной строки. Для этого нужно выполнить следующие действия:

Команда net user используется для добавления пользователей, установки паролей, отключения учетных записей, установки параметров и удаления учетных записей. При выполнении команды без параметров командной строки отображается список учетных записей пользователей, присутствующих на компьютере. Информация об учетных записях пользователей хранится в базе данных учетных записей пользователей.

/add – этот параметр указывает, что необходимо создать новую учетную запись;

/passwordreq – этот параметр отвечает за то, чтобы при первом входе в систему пользователь сменил свой пароль;

/times – этот параметр определяет, сколько раз пользователю разрешено входить в систему. Здесь можно указывать как единичные дни, так и целые диапазоны (например Sa или M-F). Для указания времени допускается как 24-часовый формат, так и 12-часовый формат;

/fullname – этот параметр идентичен полю «Полное имя» при создании пользователя предыдущими способами.

Создание учетных записей пользователей для компьютеров, состоящих в домене

В серверной операционной системе Windows Server 2008 или Windows Server 2008 R2 в домене Active Directory учетные записи пользователей можно создавать шестью способами. Рассмотрим подробно каждый из них:

Создание пользователей при помощи оснастки «Active Directory – пользователи и компьютеры»

Для создания нового пользователя в домене при помощи оснастки «Active Directory – пользователи и компьютеры» нужно сделать следующее:

Создание пользователей с помощью командной строки

Для автоматизации создания любых объектов в домене Active Directory можно использовать команду DSADD USER UserDN, при помощи которой можно создавать объекты пользователей и принимать параметры, указывающие его свойства. Нового пользователя при помощи командной строки можно создать следующим образом:

Определение используемых параметров:

Samid – указывает имя входа пользователя;

Pwd – этот параметр определяет пароль для учетной записи пользователя. Если указывать символ *, то будет предложено ввести пароль пользователя;

Mustchpwd – указывает, что пользователь должен изменить свой пароль при следующем входе в систему;

Profile – указывает путь к профилю учетной записи пользователя;

Fn – указывает имя пользователя;

Ln – указывает фамилию пользователя;

Display – указывает отображаемое имя пользователя;

Upn – указывает имя входа пользователя (пред-Windows 2000).

Импорт пользователей с помощью команды CSVDE

Параметр i указывает режим импорта, а параметр k используется для игнорирования ошибок.

CSV файл должен выглядеть следующим образом:

Импортировать пароли при помощи команды CSVDE нельзя.

Импорт пользователей с помощью команды LDIFDE

При помощи команды LDIFDE также можно импортировать и экспортировать объекты Active Directory. В данном случае используется стандарт файлового формата LDIF (Lightweight Directory Access Protocol Data Interchange Format). Этот файловый формат состоит из блока строк, которые вместе образуют одну операцию. Разные операции разделяются пустой строкой. Каждая строка содержит имя атрибута, а после него должно стоять двоеточие со значением атрибута. Далее можно увидеть листинг LDIF файла:

Файл можно создавать в такой программе как Блокнот, но сохранять его нужно с расширением *.ldf. в командной строке введите следующее:

Создание пользователей с помощью Windows PowerShell

При помощи Windows PowerShell для создания пользователя в Active Directory пользователя можно создать следующим образом:

Можно вводить все строки вручную, а можно использовать *.ps1-файлы для автоматизации создания новых пользователей. Для того, чтобы разрешить Windows PowerShell открывать скрипты, введите следующую команду:

Set-ExecutionPolicy RemoteSigned

Политика выполнения указывает сценарии, которые можно запускать. После назначения политики выполнения можно запустить сценарий, но если указывать для запуска только имя сценария, то может возникнуть ошибка. Чаще всего нужно будет указывать еще и путь к самому сценарию.

Создание пользователей с помощью VBScript

В связи с тем, что VBScript также как и Windows PowerShell использует интерфейс ADSI для манипулирования объектами в Active Directory, процесс создания пользователя в VBScript идентичен созданию пользователя в Windows PowerShell. Прежде всего, сценарий подключается к контейнеру OU, в котором будет создан пользователь. После чего сценарий применит к объекту ADSI инструкцию GetObject. При присвоении объекта переменной, для создания объектной ссылки используется инструкция Set.

После этого активизируется метод Create для создания объекта конкретного класса так же, как и в PowerShell. Далее используется метод Put, но аргументы заключаются в круглые скобки. Последняя строка – идентична Windows PowerShell. Пример скрипта:

Заключение

В этой части статьи рассказывается об учетных записях пользователя. Учётная запись пользователя – это запись, которая содержит сведения, необходимые для идентификации пользователя при подключении к системе, а также информацию для авторизации и учёта. Были рассмотрены методы создания локальных учетных записей пользователей и пользователей домена. В следующей части статьи будут рассмотрены методы управления учетными записями пользователей, а также управления учетными данными для автоматического входа при помощи компонента «Диспетчер учетных данных».

Источник

Внутренние настройки операционной системы предполагают отдельный блок для работы с определенной группой профайлов. Раздел в Windows 10 называется «Локальные группы и пользователи». Инструмент позволяет регулировать деятельность и количество возможностей участников, добавлять или убирать функции, распределять права. Существует несколько ключевых особенностей, которые важно учитывать при настройке.

Запуск «Локальных пользователей и групп»

Функциональный комплекс, связывающий внутренние профили персонального компьютера, запускается быстро. Специальных навыков и знаний не потребуется. Этапы действий:

• кликнуть одновременно сочетание горячих кнопок «Windows» и «R» (русская раскладка – «Win» и «К»);
• в открывшемся поле «Выполнить» напечатать lusrmgr.msc;

• подтвердить запрос клавишей «Enter» на клавиатуре или «ОК» в поле окна;
• откроется дополнительный интерфейс – группы и пользователи операционной системы в локальном обозначении.

Открытое поле разделено на несколько активных блоков. В верхней части – возможные действия и настройки (стандартные – файл, справка, вид и другие). В основной части – требуемые разделы и профайлы.

Каталог «Пользователи»

В левой части интерфейса отображается название подгрупп – пользователи и, непосредственно, группы из них. В первом блоке отображаются следующие наименования профилей:

• Администратор – профиль, который устанавливается разработчиком, по умолчанию является неактивным (дополнительный пункт безопасности операционки), особенности аккаунта: невозможно удалить или перепрошить, имеет расширенный функционал и доступ к системным файлам (настройкам) персонального устройства;
• Гость – дополнительный акк, также сформированный разработчиками компании Microsoft, второй после административного профиля, права ограничены (основное – просмотр, использование стандартных групп программ). Внимание! Профиль типа «Гость» используется разово. Ограниченное время работы и небольшой набор функций предусмотрены для защиты внутренних данных компьютера или ноутбука;
• WDAGUyilityAccount – аккаунт, возможности которого использует Защитник операционки Windows, если пользователь пытается перейти по небезопасной ссылке или открыть папки (документы, архивы, фото и иные), угрожающие безопасности ПК.

Кроме указанных, отображаются учетки с наименованием «Пользователь» (появляется во время первой активации системы) и HelpAssistent (временный аккаунт, применяется разово приложением Remote Desktop Help Session Manager).

Каталог «Группы»

Список с наименованием «Группы» включает большее количество пунктов. Пользователи разграничиваются по возможностям, набору используемых приложений. В перечень обычно входят следующие группы:

• администраторы – блок считается основным среди представленных, участники имеют право изменять внутренние показатели операционной системы Windows Внимание! Изменять состав участников данной группы нужно осторожно. Аккаунты раздела имеют доступ к системным настройкам, исправлять ошибки в которых достаточно сложно;
• админы Hyper-V – аккаунты имеют доступ к виртуальному механизму компании Microsoft (гипервизор для работы с системами на 64 бита);
• владельцы ПК – папка, по функционалу дублирующая раздел «Администраторы»;
• гости – вход для гостевых профилей персонального устройства;
• криптографические операторы – пользователи работают с криптографическими параграфами устройства (например, использование и настройка цифровых подписей);
• архивные операторы – отдельная группа пользователей, собственники аккаунтов, способны обходить некоторые системные ограничения, создавать или восстанавливать точки соединения и копии резервного типа;
• операторы сети – профили имеют доступ к подключениям сети;
• опытные юзеры – отдельный тип пользователей, используется для оптимизации внутренних процессов операционной системы персонального компьютера. Внимание! В ранних версиях операционки этот класс профилей был ограничен в некоторых наборах функций. В «десятке» предусмотрели запрет на редакцию списка и функционала пользователей данной группы.

Самый большой – раздел пользовательских профайлов, в перечень включают все учетки, которые созданы на персональном устройстве. Обычные пользователи редко сталкиваются с большей частью подгрупп, представленных в списках левой части окна.

Добавление нового пользователя и присоединение его к группе

Чтобы начать использование отдельных функций операционки, необходимо добавить новую запись учетного профиля. Существует несколько способов создания дополнительного локального аккаунта. Инструкция:

• открыть раздел «Учетные записи пользователей»;
• затем – блок «Управление учетными записями»;
• выбрать тип профиля, который нужно создать.

При создании новой учетки следует учитывать несколько ключевых нюансов. В противном случае могут возникнуть неполадки.

Причины и методы решения отсутствия локальных пользователей и групп

В некоторых ситуациях профиль может оказаться неактивным – операционка не реагирует на попытки изменить или скорректировать функционал аккаунта. Это значит, что в управлении персональным компьютером установлен строгий регламент по работе с профайлами (UAC).

Если система после активации нового акка по умолчанию запускает прежний профиль, необходимо исправить некоторые настройки. В окне «Выполнить» ввести «regedit» и «ОК». Затем переключить в пункте «UserSwitch» отдельный параметр «Enabled» (сменить значение на единицу). Затем устройство перезагружают.

Локальные группы и пользователи – это специальный функциональный раздел операционной системы, который позволяет применить дополнительные корректировки к различным профилям. С большей частью групп обычный юзер не сталкивается, поэтому просто менять параметры без специальных навыков и знаний не стоит. Лучше обратиться к мастеру.



Windows предоставляет утилиты командной строки для управления группами пользователей. В этом посте вы узнаете, как использовать команду net localgroup для добавления пользователя в группу из командной строки ‘

Добавить пользователя в группу

Выполните следующие шаги –

1. Откройте командную строку с повышенными привилегиями
2. Выполните следующую команду

    net localgroup group_name UserLoginName/ add 

   Например, чтобы добавить пользователя John в группу администраторов, мы можем выполнить следующую команду.

    net localgroup administrators John/add 

Еще несколько примеров:

Чтобы добавить пользователя домена в группу локальных пользователей:

 net localgroup users имя домена  имя пользователя /add 

Эту команду следует запускать, когда компьютер подключен к сети. В противном случае вы получите ошибку, указанную ниже.

 H: > net localgroup users domain  user/addSystem error 1789. Произошла ошибка доверия между этой рабочей станцией и  сбой основного домена. 

Чтобы добавить пользователя домена в группу локальных администраторов:

 net localgroup administrators имя домена  имя пользователя/добавить 

Чтобы добавить пользователя в группу пользователи удаленного рабочего стола :

 net localgroup "Пользователи удаленного рабочего стола" UserLoginName/add 

Чтобы добавить пользователь в группу пользователей отладчика :

 net localgroup "Пользователи отладчика" UserLoginName/add 

Чтобы добавить пользователя в группу Опытные пользователи :

 net localgroup "Опытные пользователи" UserLoginName/add 

Эта команда работает во всех выпусках ОС Windows, т.е. Windows 2000, Windows XP, Windows Server 2003, Windows Vista и Windows 7 . В Vista и Windows 7, даже если вы запустите указанную выше команду из входа администратора, вы все равно можете получить ошибку отказа в доступе, как показано ниже.

 C: > net localgroup administrators произошла ошибка techblogger/addSystem 5.  В доступе отказано. 

Решением для этого является запуск команды из учетной записи администратора с повышенными правами. См. Раздел Как открыть командную строку администратора с повышенными привилегиями

При запуске команды ‘ net localgroup’ из командной строки с повышенными привилегиями:

 C  : > net localgroup administrators techblogger/addКоманда успешно завершена. 

Чтобы вывести список пользователей, принадлежащих к определенной группе, мы можем выполнить следующую команду.

 net localgroup group_name  

Например, чтобы вывести список всех пользователей, принадлежащих к группе администраторов, нам нужно выполнить следующую команду.

 net localgroup administrators 

Похожие сообщения :

Добавить новую учетную запись пользователя
Удалить учетную запись пользователя

---

---

Добавить или удалить пользователя из группы в Windows 10

1 ответ

‘);

В Windows 10 вы можете добавить или удалить учетную запись пользователя из группа, чтобы предоставить или отозвать доступ к определенным функциям Windows, папкам файловой системы, общим объектам и т. д.. Есть несколько способов сделать это. Давайте рассмотрим их.

Реклама

Групповые учетные записи используются для управления привилегиями для нескольких пользователей. Учетные записи глобальной группы для использования в домене создаются в Active Directory – пользователи и компьютеры , в то время как учетные записи локальных групп для использования в локальной системе создаются в Локальные пользователи и группы . Как правило, групповые учетные записи создаются для облегчения управления подобными типами пользователей. Типы групп, которые могут быть созданы, включают следующие:

• Группы для отделов внутри организации: как правило, пользователи, которые работают в одной отделу нужен доступ к аналогичным ресурсам. Благодаря этому можно создавать группы, организованные по отделам, например по развитию бизнеса, продажам, маркетингу или проектированию.
• Группы для пользователей определенных приложений: Часто пользователям требуется доступ к приложению и ресурсам, связанным с приложением. Группы для конкретных приложений могут быть созданы, чтобы пользователи получали надлежащий доступ к необходимым ресурсам и файлам приложений.
• Группы для ролей в организации: группы также могут быть организована ролью пользователя в организации. Например, руководителям, вероятно, нужен доступ к другим ресурсам, чем руководителям и обычным пользователям. Таким образом, создавая группы на основе ролей внутри организации, пользователям, которым он нужен, предоставляется надлежащий доступ.

Локальная группа пользователей создается локально. Это группы, которые вы можете использовать непосредственно на компьютере с Windows 10, не добавляя компьютер в домен Active Directory. Вот список групп, обычно доступных в Windows 10.

• Администраторы
• Операторы резервного копирования
• Операторы криптографии
• Пользователи распределенного COM
• Читатели журнала событий
• Гости
• IIS_IUSRS
• Операторы конфигурации сети
• Пользователи журнала производительности
• Пользователи монитора производительности
• Опытные пользователи
• Пользователи удаленного рабочего стола
• Replicator
• Пользователи

Чтобы добавить учетную запись пользователя в локальную группу в Windows 10 вы можете использовать либо MMC, консольный инструмент net.exe , либо PowerShell. Давайте посмотрим, как это можно сделать.

Чтобы добавить пользователей в группу в Windows 10 , выполните следующие действия.

1. Нажмите сочетания клавиш Win + R на клавиатуре и введите следующее в поле выполнения:

    lusrmgr.msc 

   Откроется приложение “Локальные пользователи и группы”.

2. Нажмите “Группы” слева.
3. Дважды щелкните группу, в которую вы хотите добавить пользователей. список групп.
4. Нажмите кнопку «Добавить», чтобы добавить одного или нескольких пользователей..
5. Или же вы можете щелкнуть папку Users слева.
6. Дважды щелкните учетную запись пользователя справа.
7. Перейдите на вкладку Член и щелкните Добавить кнопку, чтобы выбрать группу, в которую вы хотите добавить учетную запись пользователя.

Примечание: Вы можете использовать оснастку «Локальные пользователи и группы», если ваша версия Windows поставляется с этим приложением. В противном случае вы можете использовать один из методов, описанных ниже.

Добавить пользователей в группу с помощью инструмента NET

1. Откройте командную строку с повышенными привилегиями.
2. Введите следующую команду:

    net localgroup "Group" "User"/add 

   Замените часть группы фактическим именем группы. Укажите желаемую учетную запись пользователя вместо части «Пользователь». Например,

3. Чтобы удалить пользователя из группы, выполните следующую команду:

    net localgroup "Group" "User"/delete 

   См. следующий снимок экрана:
   

Добавьте пользователей в группу с помощью PowerShell

1. Откройте PowerShell от имени администратора. Совет: вы можете добавить контекстное меню «Открыть PowerShell от имени администратора».
2. Введите или скопируйте и вставьте следующую команду:

    Add-LocalGroupMember -Group "Group" -Member "User"  

   Замените часть «Группа» фактическим именем группы. Укажите желаемую учетную запись пользователя вместо части «Пользователь».

3. Чтобы удалить учетной записи пользователя из группы, используйте командлет Remove-LocalGroupMember следующим образом:

    Remove-LocalGroupMember -Group "Group" -Member "User" 

   

Командлет Add-LocalGroupMember добавляет пользователей или группы в местная группа безопасности. Все права и разрешения, назначенные группе, назначаются всем членам этой группы.

Командлет Remove-LocalGroupMember удаляет участников из локальной группы.

Вот и все.

Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.

Зачем в Windows нужна локальная политика безопасности

Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

Какая версия Windows 10 подходит для настроек групповой политики

Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.

Почему в Windows Home/Starter нет инструмента GPEdit

В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

Где находится и как работает локальная политика безопасности

Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

Запуск редактора локальной политики безопасности Windows 10

Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.

Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.

Функционал редактора групповой политики

Настройка сервиса ГПБ включает в себя:

• конфигурацию программ — управляет сторонними приложениями;
• конфигурацию «десятки» — управляет настройками безопасности системы;
• административные шаблоны — фактически это замена утомительного редактирования настроек из реестра.

  

  Основное окно редактора показывает все настройки групповой политики

Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:

1. Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
2. Перейдите в директорию HKLMSYSTEMCurrentControlSetServicesgpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
3. Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».

   

   В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»

4. Выберите другого владельца, зайдя в дополнительные параметры безопасности.

   

   Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc

5. Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.

   

   Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»

6. Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).

   

   В папке gpsvc измените ключ Start, введя значение 4, и система отключится

7. Закройте все окна, нажав OK, перезапустите компьютер.

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

Чтобы его убрать, сделайте следующее:

1. Запустите уже знакомый редактор реестра.
2. Удалите из него папку HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient.

   

   Запустите редактор реестра и удалите из него папку GPClient

Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.

Локальная политика безопасности Windows 10 не включается

Причины, по которым не включается служба, следующие:

• вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem] «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
• вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
• недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».

Видео: как установить редактор групповой политики в Windows

Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.

Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.

Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.

По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.

Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.

Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;

Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;

Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;

Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;

Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;

Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;

Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;

Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;

Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;

Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;

Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;

IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.

Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.

Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.

Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.

Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.

Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.

Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.

Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).

Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.

Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.

Как видите, наша группа появилась в перечне групп.

Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.

Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.

Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.

Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.

Нажмите кнопку Добавить.

Сперва нужно выбрать субъект, на который будут распространяться новые права.

Впишите название группы и нажмите кнопку Проверить имена.

Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.

Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.

Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.