НТВ плюс 

Нет локальные пользователи и группы. Обзор оснастки "локальные пользователи и группы"

При настройке безопасности различных видов объектов операционной системы Windows(папок, файлов, принтеров, сканеров и т.п.), возникает потребность в управлении локальными группами безопасности.

В состав таких групп могут входить локальные или доменные пользователи, другие доменные группы.

Все манипуляции с группами безопасности выполняются с помощью оснастки «Локальные пользователи и группы».

!!!Пользователи домена, которые работаю с правами «Пользователь» , не могут управлять локальными группами безопасности. Для этого им нужно обращаться к администраторам домена!

Получить доступ к оснастке можно несколькими способами:

  • Через консоль «Управление компьютером» ;
  • Через создание персональной консоли;

Доступ к оснастке «Локальные пользователи и группы» через консоль «Управление компьютером».

Для Windows XP

Нажимаем кнопку «Пуск» , на пункт меню «Мой компьютер» «Управление»

В открывшейся консоли «Управление компьютером» раскрываем оснастку «Локальные пользователи и группы» и нажимаем на пункт меню «Группы»


Для Windows 7

Нажимаем кнопку «Пуск» , на пункт меню «Компьютер» нажимаем правой клавишей мышки и выбираем пункт меню «Управление»


В открывшейся консоли «Управление компьютером» раскрываем оснастку «Локальные пользователи и группы» и нажимаем на пункт меню «Группы»

Доступ к оснастке «Локальные пользователи и группы» через создание персональной консоли.

Для Windows XP

Нажимаем кнопку «Пуск» «Выполнить» , в открывшемся окне вручную набираем mmc и нажимаем «ОК»


CTRL+M

Открывается окно с текущим списком установленных консолей, в данном случае он пуст. Затем нажимаем кнопку «Добавить»

«Локальные пользователи и группы» , выделяем и нажимаем кнопку «Добавить»

И нажимаем кнопку «Готово»

«ОК» для выхода


«Консоль» «Сохранить как…»

«Консоль ГРУППЫ»


Для Windows 7

Нажимаем кнопку «Пуск» , в строке «Найти программы и файлы» набираем mmc , нажимаем на строку с найденной строкой

Открывается окно со списком консолей, в данном случае он пуст

Добавляем оснастку через меню, либо через нажатие комбинации клавиш CTRL+M

Открывается список доступных оснасток, в котором находим нужную нам «Локальные пользователи и группы» , выделяем и нажимаем кнопку «Добавить»


Так как мы собираемся настраивать локальные группы безопасности на данном компьютере, то выбираем пункт «Локальный компьютер: (на котором запущено окно этой программы-консоли)» и нажимаем кнопку «Готово»

Опять попадаем в окно добавления, удаления оснасток, просто нажимаем «ОК» для выхода

Добавленная оснастка появляется в списке установленных оснасток

Теперь наша задача сохранить созданную нами консоль, делаем это через меню «Файл» «Сохранить как…»

Открывается стандартное окно сохранения файла, в котором необходимо указать место, где будет размещаться консоль и имя. В данном случае я назвал консоль «Консоль ГРУППЫ» и поместил ее на рабочий стол

Все, теперь доступ к оснастке «Локальные группы и пользователи» можно получить просто открыв сохраненную нами консоль

Настройка локальных групп безопасности.

Теперь, когда все инструменты под рукой, переходим к управлению локальными группами безопасности. Дальнейшие действия я буду показывать на примере окон Windows 7, так как они практически идентичны с окнами Windows XP.

Итак, открываем любым способом оснастку «Локальные пользователи и группы» , раскрываем дерево оснастки и нажимаем на «Группы» . В правом окне мы видим текущие локальные группы.

Создание новой группы.

Создать новую локальную группу безопасности можно несколькими способами:


Открывается окно создания новой группы, в котором необходимо обязательно заполнить «Имя группы:» и желательно «Описание:»

Имя локальной группы не должно совпадать с любым другим именем группы или пользователя на данном компьютере. Оно может содержать до 256 символов верхнего и нижнего регистров, за исключением следующих: » / \ : ; | = , + * ? < > @ Имя группы не может состоять только из точек (.) или пробелов.

Добавить членов группы можно прямо сейчас, а можно и отложить на потом.

Для завершения создания группы нажимаем кнопку «Создать» . При этом окно остается, но поля очищаются. Это сделано для множественного добавления групп. Просто закрываем это окно, если не будем добавлять другие группы.

Вновь созданную группу можно увидеть в списке групп

Изменение состава локальной группы безопасности.

Чтобы изменить список группы нажимаем двойным щелчком мыши на нужную группу в окне групп, или нажимаем правой клавишей мышки на нужную группу и выбираем пункты меню «Добавить в группу…» или «Свойства»

Открывается окно, в котором можно увидеть текущий состав группы

Чтобы добавить в группу пользователя или другую группу нажимаем кнопку «Добавить» . Открывается стандартное окно выбора различных объектов. Подчёркиваю, именно объектов, так как данное окно выбора абсолютно универсально, и в различных ситуациях предоставляет возможность выбора не только пользователей или групп, а также и других объектов операционной системы Windows, таких как принтеры, компьютеры и т.д..

Стандартное окно выбора позволяет вам выбрать типы объектов, из которых вы хотите сделать выбор. Нажимая кнопку «Типы объектов…» вы можете включить или выключить соответствующие типы объектов.


В данном случае можно отключить выбор из групп и учетных записей служб, а оставить только пользователей.

Вторым важным параметром в окне выбора является место выбора. Если компьютер принадлежит какому-либо домену, то в поле «В следующем месте:» изначально стоит имя домена, к которому подключен компьютер. Нажав кнопку «Размещение…» можно попасть в окно, в котором можно выбрать локальный компьютер или другие домены в лесу(домены могут объединяться в лес — древовидную структуру, на вершине которой находится начальный домен). Если искать надо сразу во всех доменах, то можно выбрать пункт «Весь каталог» . Если же ваш домен огромен и в нем очень много контейнеров Подразделений, то в качестве места поиска можно выбрать нужный контейнер Подразделение. Выделив нужное нажимаем кнопку «ОК»

Третьим полем в окне выбора является поле, в котором можно с помощью контекстного поиска сразу найти нужный объект по его имени или по начальным символам имени. Например, я хочу выбрать несколько доменных пользователей, имена которых начинаются с «Пользователь». В окне проверки имен я набираю несколько начальных символов имени и нажимаю Enter на клавиатуре, или нажимаю кнопку «Проверить имена»

В результате я увижу окно, в котором мне будут показаны все группы и пользователи, имена которых начинаются с слова «Польз»


Понять где в списке пользователь а где группа поможет иконка (группы выделены на рисунке выше).

Остается только выделить нужных пользователей или группы и нажать «ОК» CTRL+A SHIFT CTRL .

В результате выбора в поле проверки имен будут перечислены все выбранные пользователи и группы

Если вы не помните точное написание имени пользователя или группы, то можно воспользоваться кнопкой «Дополнительно» в окне выбора. При этом открывается окно поиска вот такого вида,

в котором можно установить множество различных параметров поиска, или просто нажать кнопку «Поиск» и получить ПОЛНЫЙ список всех пользователей и групп.

Обратите внимание на положение ползунка, он показывает что список очень большой, и иногда очень трудно в этом списке найти нужного пользователя или группу. Но когда другого выхода нет, тогда это единственный способ найти нужное. Для облегчения поиска можно воспользоваться несколькими полями-фильтрами: «Имя:» и «Описание:» . Но исходя из практики в этом нет никакого облегчения, так как искать проверкой имен быстрее, а при использовании сравнения «Совпадает» необходимо знать точное имя группы или пользователя.

Итак, в окне выбора в поле проверки имен нужные пользователи добавлены, нажимаем кнопку «ОК» . Если какие-либо пользователи или группы уже были в составе группы, то вы это увидите в открывшихся окнах

В результате всех добавлений список группы увеличился.

Чтобы удалить пользователя или группу из группы безопасности, нужно в списке выделить нужное и нажать «Удалить» . Как и везде в этом окне работают стандартные способы выделения: CTRL+A – выделить все, выделение от первого до последнего при нажатой клавише SHIFT , и «торшерное» выделение при нажатой клавише CTRL

В ходе данной лабораторной работы Вы познакомитесь с механизмами безопасности Windows, основанных на использовании понятий пользователя и группы. Пользователи и группы пользователей являются объектами системы безопасности Windows, для которых имеется возможность назначения прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как регистрация (вход в систему) архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с ресурсом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен. Учетная записьпользователя представляет в системе безопасности субъекта, работающего с системой. Учетная записьгруппы может объединять в себе любое количество учетных записей пользователей, а может оставаться пустой. Существуютлокальные иглобальные учетные записи, первые хранятся в базе учетных записей компьютера (рабочей станции), вторые хранятся в базе учетных записей контроллера домена.

    1. Локальные пользователи и группы

Локальные пользователи и группы создаются в базе данных локального компьютера.

Учетная запись локального пользователя может быть использована при регистрации (входе) пользователя локально. Это происходит либо в том случае, если компьютер не является членом домена, либо тогда, когда в качестве домена при входе указывается имя рабочей станции. Даже если компьютер является членом домена, регистрация с использованием учетной записи локального пользователя может быть полезна, например, когда недоступен контроллер домена, или когда настройка системы безопасности локального компьютера выполнена неправильно и не позволяет регистрироваться в домене.

Локальные группы - объекты в локальной базе данных, которые могут включать в себя локальных пользователей, глобальных пользователей, а так же глобальные группы. Принадлежность пользователя к той или иной локальной группе дает ему возможность выполнять на компьютере те или иные задачи.

Встроенные локальные пользователи

В системе безопасности Windows существуют две встроенных учетных записи пользователя. Эти учетные записи могут быть переименованы, но не могут быть удалены.

Учетная запись администратора

Учетная запись пользователя с именем «Администратор» используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетная запись администратора является членом встроенной локальной группы «Администраторы» на рабочей станции или рядовом сервере.

Учетную запись «Администратор» нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя «Администратор» от остальных членов локальной группы «Администраторы».

Учетная запись гостя

Учетная запись гостя используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью «Гость». Учетная запись гостя не требует пароля. Учетная запись гостя по умолчанию отключена.

Учетной записи пользователя «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. Учетная запись «Гость» по умолчанию входит во встроенную группу «Гости», что позволяет пользователю войти в систему с рабочей станции или рядового сервера. Дополнительные права, как любые разрешения, могут быть присвоены группе «Гости» членом группы администраторов.

Оснастка расположена в компоненте «Управление компьютером» , представляющем собой набор средств администрирования, с помощью которых можно управлять одним компьютером, локальным или удаленным. Оснастка «Локальные пользователи и группы» служит для защиты и управления учетными записями пользователей и групп, размещенных локально на компьютере. Можно назначать разрешения и права для учетной записи локального пользователя или группы на определенном компьютере (и только на этом компьютере).

Использование оснастки «Локальные пользователи и группы» позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (обычно с файлом, папкой или принтером), которое определяет, каким пользователям, и какой доступ к объекту разрешен.

Для того чтобы создать локальную учетную запись пользователя при помощи оснастки «Локальные пользователи и группы» , нужно сделать следующее:

1. Откройте оснастку «Локальные пользователи и группы» одним из следующих способов:

o Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления» и из списка компонентов панели управления выберите«Администрирование» , затем откройте компонент «Управление компьютером» . В «Управлении компьютером» откройте «Локальные пользователи и группы» ;

o Открыть «Консоль управления MMC» . Для этого нажмите на кнопку «Пуск» , в поле поиска введите mmc , а затем нажмите на кнопку «Enter» . Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге«Добавление и удаление оснасток» выберите оснастку «Локальные пользователи и группы» и нажмите на кнопку «Добавить» . Затем нажмите на кнопку «Готово» , а после этого - кнопку «ОК» . В дереве консоли откройте узел «Локальные пользователи и группы (локально)» ;

o Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить» . В диалоговом окне «Выполнить» , в поле «Открыть» введите lusrmgr.msc и нажмите на кнопку «ОК» ;

2. Откройте узел «Пользователи» и либо в меню «Действие» , либо из контекстного меню выбрать команду «Новый пользователь» ;

3. В диалоговом окне «Новый пользователь» введите соответствующие сведения. Помимо указанных данных, можно воспользоваться следующими флажками: Требовать смену пароля при следующем входе в систему , Запретить смену пароля пользователем , Срок действия пароля не ограничен , Отключить учетную запись и нажать на кнопку «Создать» , а затем «Закрыть» .


Для того чтобы добавить пользователя в группу, дважды щелкните имя пользователя для получения доступа к странице свойств пользователя. На вкладке «Членство в группах» нажмите на кнопку «Добавить» .

В диалоге «Выбор группы» можно выбрать группу для пользователя двумя способами:

1. В поле «Введите имена выбираемых объектов» введите имя группы и нажмите на кнопку «Проверить имена» , как показано на следующем скриншоте:

2. В диалоге «Выбор группы» нажмите на кнопку «Дополнительно» , чтобы открыть диалоговое окно «Выбор группы» . В этом окне нажмите на кнопку «Поиск» , чтобы отобразить список всех доступных групп, выберите подходящую группу и нажмите два раза на кнопку «ОК» .

Как вы знаете, при установке Windows 10, система просит создать учетную запись пользователя и предоставляет этой учетной записи права локального администратора. Однако, в процессе установки создается еще один скрытый аккаунт администратора , который по соображениям безопасности отключен. В этой статье мы поговорим о встроенной записи администратора Windows 10, для чего она нужна, как ее включить и заблокировать.

Еще в Windows XP учетная запись администратора скрывалась с экрана входа в систему, а начиная с Windows Vista и до Windows 10 включительно, она еще и блокируется. Учётная запись встроенного администратора имеет полные, не ограниченные права на компьютере, на эту учету не распространяется действие UAC (User Account Control), а все программы выполняются без запроса UAC (в этом ее главное отличие от пользовательских учетных записей с правами администратора).

Важно . Включать учетную запись «Администратор» нужно только в случае крайней необходимости для выполнения конкретной задачи или траблшутинга. Не рекомендует все время держать эту учетную запись активной, а тем более постоянно работать из-под нее.

Мы рассмотрим несколько способов включения встроенной учетной записи администраторе в Windows 10.

Совет . По-умолчанию пароль Администратора не задан (пустой).

Командная строка

Быстрее и проще всего включить учетную запись администраторе из командной строки, запущенной с повышенными привилегиями.

Для этого, выполните команду:

net user administrator /active:yes

Совет . Если команда возвращает, что имя не найдено, вероятно, учетная запись администратора у вас переименована. Вывести список всех учетных записей можно командой:

В нашем случае (русская версия Windows 10) учетка называется «Администратор». Активируем ее командой:

По-умолчанию для этой учетной записи не задан пароль (пустой пароль), поэтому настоятельно рекомендуем изменить его на что-то достаточно сложное. Задается пароль командой (пароль нужно будет указать дважды).

net user Администратор *

Примечание . Рассмотренный способ активации встроенного администратора из командной строки будет работать во всех версиях Windows 10. Тогда как рассмотренные ниже методики не применимы к домашним редакциям Win 10, в которых отсутствует оснастки Управление компьютером и Локальной политикой безопасности

Оснастка Локальные пользователи и группу

Откройте MMC оснастку Local Users and Groups, набрав в строке поиска или командой строке lusrmgr. msc . В окне консоли разверните раздел Users . Найдите и дважды щелкните по учетной записи с именем Администратор и снимите чекбокс Account is Disabled (Учетная запись отключена). Сохраните изменения.

Учетная запись администратора теперь включена. В этой же консоли можно изменить его пароль, выбрав в контекстном меню Set Password .

Редактор локальной политики

Откройте (или редактор локальной политик безопасности — secpol.msc). Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options . Найдите и отредактируйте политику Accounts: Administrator account status (Учетные записи. Состояние учетной записи ‘Администратор’), переведя ее в состояние Enable .

После включения учетной записи администратора любым из рассмотренных способов, она будет доступна на экране входа в систему.

Отключается администратор в обратном порядке. Проще всего это сделать из командной строки:

net user administrator /active:no

Это инструмент, предназначенный для управления локальными пользователями и группами. Локальный пользователь или группа — это учетная запись, которой могут быть предоставлены разрешения и права на вашем компьютере.

Оснастка "Локальные пользователи и группы" является важным средством безопасности, поскольку позволяет ограничить возможные действия пользователей и групп путем назначения им прав и разрешений. Одна учетная запись пользователя может входить в несколько групп.

Доступ к этой оснастке можно получить, набрав в командной строке lusrmgr.msc . В левой части открывшегося окна можно видеть две папки - Пользователи и Группы.

Папка Пользователи отображает две встроенные учетные записи пользователей - Администратор и Гость, которые создаются автоматически при установке Windows XP, а также все созданные учетные записи пользователей.

Учетная запись Администратор используется при первой установке операционной системы. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Учетную запись "Администратор" нельзя удалить, отключить или вывести из локальной группы Администраторы, благодаря чему исключается возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает учетную запись "Администратор" от остальных членов локальной группы "Администраторы".

Учетная запись Гость используется теми, кто не имеет реальной учетной записи на компьютере. Если учетная запись пользователя отключена (но не удалена), он также может воспользоваться учетной записью "Гость". Учетная запись гостя не требует пароля. По умолчанию она отключена, но ее можно включить.

Чтобы добавить учетную запись нового пользователя, щелкните правой кнопкой мыши на папке Пользователи и выберите из выпадающего меню команду Новый пользователь... В открывшемся окне введите данные для создания новой учетной записи. Чтобы удалить учетную запись пользователя, щелкните правой кнопкой мыши на названии учетной записи в правом окне программы и выберите из выпадающего меню Удалить.

Также для конкретной учетной записи можно назначить путь к профилю и сценарию входа (подробнее смотрите в справке).

В папке Группы отображаются все встроенные группы и группы, созданные пользователем. Встроенные группы создаются автоматически при установке Windows XP. Принадлежность к группе предоставляет пользователю права и возможности для выполнения различных задач на компьютере. Далее рассмотрены свойства некоторых встроенных групп:


Администраторы

Членство в этой группе по умолчанию предоставляет самый широкий набор разрешений и возможность изменять собственные разрешения. Администраторы имеют полные, ничем неограниченные права доступа к компьютеру или домену. Работа в Windows XP в качестве администратора делает систему уязвимой для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.

  • установки операционной системы и ее компонентов (например, драйверов устройств, системных служб и так далее);
  • установки пакетов обновления;
  • обновления операционной системы;
  • восстановления операционной системы;
  • настройки важнейших параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
  • вступления во владение файлами, ставшими недоступными;
  • управления журналами безопасности и аудита;
  • архивирования и восстановления системы.

На практике учетные записи администраторов часто должны использоваться для установки и запуска программ, написанных для предыдущих версий Windows.


Опытные пользователи

Эта группа поддерживается, в основном, для совместимости с предыдущими версиями для выполнения несертифицированных приложений. Разрешения по умолчанию, предоставленные этой группе, позволяют членам группы изменять параметры компьютера. Если необходима поддержка несертифицированных приложений, конечные пользователи должны быть членами группы "Опытные пользователи".

Члены группы "Опытные пользователи" имеют больше разрешений, чем члены группы "Пользователи", и меньше, чем члены группы "Администраторы". Опытные пользователи могут выполнять любые задачи с операционной системой, кроме задач, зарезервированных для группы "Администраторы".

Опытные пользователи могут:

  • выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
  • устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
  • настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
  • создавать и управлять локальными учетными записями пользователей и групп;
  • останавливать и запускать системные службы, не запущенные по умолчанию.

Опытные пользователи не могут добавлять себя в группу "Администраторы". Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.


Пользователи

Члены этой группы не могут организовывать общий доступ к каталогам или создавать локальные принтеры. Группа "Пользователи" предоставляет самую безопасную среду для выполнения программ. На томе с файловой системой NTFS параметры безопасности по умолчанию только что установленной (не обновленной) системы разработаны, чтобы предотвратить нарушение целостности операционной системы и установленных программ членами этой группы. Пользователи не могут изменять параметры реестра на уровне системы, файлы операционной системы или программы. Пользователи могут выключать рабочие станции, но не серверы. Пользователи могут создавать локальные группы, но управлять могут только теми, которые они создали. Пользователи имеют полный доступ к своим файлам данных и своей части реестра (HKEY_CURRENT_USER). Однако разрешения на уровне пользователя часто не допускают выполнение пользователем устаревших приложений. Участники группы «Пользователи» гарантированно могут запускать только сертифицированные для Windows приложения.


Операторы архива

Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Они могут также входить в систему и завершать работу компьютера, но не могут изменять параметры безопасности. Для архивирования и восстановления файлов данных и системных файлов требуются разрешения на чтение и запись. Разрешения по умолчанию для операторов архива, позволяющие им архивировать и восстанавливать файлы, делают для них возможным использование разрешений группы для других целей, например для чтения файлов других пользователей и установки программ с троянскими вирусами.


Гости

Члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи "Гость", еще более ограниченной в правах.


Операторы настройки сети

Члены этой группы могут иметь некоторые административные права для управления настройкой сетевых параметров.


Пользователи удаленного рабочего стола

Члены этой группы имеют право на выполнение удаленного входа в систему.

Для того, чтобы добавить учетную запись пользователя в ту или иную группу, щелкните правой кнопкой мыши на названии группы и из выпадающего меню выберите Добавить в группу. Более подробную справку по выполнению этих и других задач, связанных с учетными записями пользователей и групп, а также более полное описание учетных записей пользователей и групп читайте в справке оснастки "Локальные пользователи и группы".