Учетная запись Windows: создание и настройка
На каждом компьютере с установленной ОС Windows можно работать нескольким пользователям, имеющим свои персональные настройки и параметры операционной системы. Такую возможность представляет очень полезная функция учетных записей Windows.
Что такое учетная запись?
Учетная запись позволяет настроить индивидуальное рабочее окружение для каждого пользователя и разграничить права на компьютере. Это в некоторой мере напоминает членов одной семьи, у каждого из них имеется своя комната, обустроенная по своему вкусу, и где он может заниматься чем хочет, но в рамках дозволенного главой семьи, у которого есть один универсальный ключ ко всем дверям комнат. Так же и в компьютере с учетными записями: каждый пользователь может настроить вид рабочего стола, вывести свои ярлыки на рабочий стол, настроить цветовую схему системы под себя, установить нужные ему программы и т.д. Но опять же в рамках дозволенного администратором (по аналогии с комнатами – главой семьи).
При такой организации совместной работы на одном компьютере, у каждого пользователя имеется пространство для хранения личных данных, защищенное паролем и недоступное другим. К тому же исключается риск по ошибке удалить чужую информацию.
Учетные записи в Windows могут быть 3 типов: администратор, стандартная и гость.
Администратор
Администратор на компьютере обладает полными правами и полномочиями, он может войти к любому пользователю на компьютере и вносить любые изменения, как в его личные настройки, так и в основные на компьютере. Администратором на компьютере должен быть опытный пользователь, во избежание внесения каких-либо фатальных ошибок в систему.
Стандартная учетная запись
Стандартная учетная запись (или обычный доступ) позволяет работать пользователю в рамках его прав, определенных администратором. По умолчанию, пользователь с обычным доступом может запускать большинство программ и вносить изменения в операционную систему, не затрагивающие других пользователей.
Учетная запись Гость
Запись с самыми минимальными правами. Используется для предоставления доступа постороннему с разрешением «только посмотреть».
На любом компьютере с операционной системой Windows есть хотя бы одна учетная запись администратора, которая была создана при установке системы.
Создание учетной записи
Для создания новой учетки щелкните по кнопке «Пуск». В открывшемся Главном меню, вверху справа щелкните по иконке учетной записи.
Откроется окно настроек, где кликните мышкой по «Управлению другой учетной записью». В следующем окне щелкните по «Создание учетной записи», где введите имя и тип учетной записи, после чего нажмите кнопку «Создание учетной записи».
Мы создали новую учетку и теперь ее можно настроить
Настройка учетной записи
Для настройки опять войдите в окно учетных записей пользователей и выберите пункт «Управление другой учетной записью», в котором щелкните по имени пользователя, учетку которого нужно настроить. В открывшемся окне выберите пункт настроек: изменение имени, создание пароля, изменение рисунка, установка родительского контроля, изменение типа учетной записи, удаление учетной записи.
Для переключения между пользователями нет необходимости перезагружать компьютер, достаточно щелкнуть по кнопке «Пуск», щелкнуть по стрелочке рядом с пунктом «Завершить работу» и выбрать в меню пункт «Сменить пользователя».
Теперь, после прочтения материала, вы можете создавать и настраивать учетные записи пользователей.
Как вызвать командную строку от имени системы (Local System)
Как вызвать командную строку от имени системы (Local System)
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов России Pyatilistnik.org. В прошлый раз мы с вами разобрали способы выключения компьютера средствами командной строки, в сегодняшней публикации мы рассмотрим задачу, как вызвать cmd от имени системной учетной записи Local System, рассмотрим варианты применения данной задачи. Думаю, что многим коллегам данная статья будет весьма познавательна и каждый найдет применение данному лайвхаку.
Какого назначение системной учетной записи Local System
Системная учетная запись (Local System) – это специальная встроенная, локальная учетная запись, созданная Windows в момент установки, для использования в системе и запуска из под нее различных служб Windows. В Windows огромное количество служб и процессов для своего запуска и работы используют именно системную запись. Посмотреть это можно в оснастке «Службы», которую можно открыть из окна «Выполнить» введя в нем services.msc.
Учетная запись Ststem не отображается среди других учетных записей в диспетчере пользователей, но зато вы ее легко можете увидеть на вкладке «Безопасность» у любого системного диска, файла. куста реестра или папки. По умолчанию для учетной записи «Система (System)» предоставлены права полного доступа.
Служба, которая запускается в контексте учетной записи LocalSystem, наследует контекст обеспечения безопасности Диспетчера управления службами (SCM). Пользовательский идентификатор безопасности (SID) создается из значения SECURITY_LOCAL_SYSTEM_RID. Учетная запись не связывается с учетной записью любого пользователя, который начал работу. Она имеет несколько значений:
- Ключ реестра HKEY_CURRENT_USER связан с пользователем по умолчанию, а не текущим пользователем. Чтобы обратиться к профилю другого пользователя, имитируйте этого пользователя, а затем обратитесь к HKEY_CURRENT_USER.
- Служба может открыть ключ реестра HKEY_LOCAL_MACHINE\SECURITY.
- Служба представляет мандат компьютера для удаленного сервера. Если служба открывает командное окно (на экране дисплея) и запускает командный файл, пользователь должен нажать CTRL+C, чтобы закончить работу командного файла и получить доступ к окну команды с привилегиями LocalSystem.
Привилегии LocalSystem
- SE_ASSIGNPRIMARYTOKEN_NAME
- SE_AUDIT_NAME
- SE_BACKUP_NAME
- SE_CHANGE_NOTIFY_NAME
- SE_CREATE_PAGEFILE_NAME
- SE_CREATE_PERMANENT_NAME
- SE_CREATE_TOKEN_NAME
- SE_DEBUG_NAME
- SE_INC_BASE_PRIORITY_NAME
- SE_INCREASE_QUOTA_NAME
- SE_LOAD_DRIVER_NAME
- SE_LOCK_MEMORY_NAME
- SE_PROF_SINGLE_PROCESS_NAME
- SE_RESTORE_NAME
- SE_SECURITY_NAME
- SE_SHUTDOWN_NAME
- SE_SYSTEM_ENVIRONMENT_NAME
- SE_SYSTEM_PROFILE_NAME
- SE_SYSTEMTIME_NAME
- SE_TAKE_OWNERSHIP_NAME
- SE_TCB_NAME
- SE_UNDOCK_NAME
Сценарии вызова командной строки из под System
Давайте приведу интересную задачку по нашей теме. Предположим у вас есть доменная среда Active Directory. Вы с помощью инструмента групповой политики или SCCM развернули специализированное ПО, под названием StaffCop, или что-то другое. В момент развертывания или последующей настройки вы задали так, что пользователь даже при наличии прав локального администратора в своей системе не может останавливать службу и менять ее тип запуска, вопрос может ли локальный администратор это поправить и выключить службу?
Способы вызвать командную строку от имени системы
Я очень давно занимаюсь системным администрированием и уяснил давно принцип, если у вас есть права локального администратора, то вы можете все. Обойти любые ограничения и политики. Напоминаю. что я для тестирования развернул агента StaffCop, это такая программа для слежки, которую используют всякие шарашкины конторы. Агент по умолчанию запрещает выключение службы и изменение ее типа. Выглядит, это вот таким образом. Служба работает, имеет имя StaffCop Scheduler, но вот сделать с ней ничего не получается, все не активно.
Для того, чтобы вызвать cmd от имени системы, вам необходимо скачать замечательный набор утилит PSTools, а конкретно нам будет нужна утилита PsExec.exe или PsExec64.exe. Если вы мой постоянный читатель, то вы помните, что я их использовал, чтобы удаленно включить RDP доступ на сервере. Скачать сборник PSTools можно с официального сайта по ссылке ниже, или же у меня с сайта.
Далее вам необходимо распаковать zip архив, в результате чего будет вот такой список утилит.
Теперь когда подготовительный этап готов, то можно продолжать. Откройте обязательно командную строку от имени администратора и введите команду:
Мой пример: cd C:\Дистрибутивы\PSTools
Командой dir я проверил, что это та папка и я вижу нужные мне утилиты PsExec.exe или PsExec64.exe.
Последним шагом мы текущее окно командной строки из под текущего пользователя перезапустим от имени Local System. Пишем:
В итоге я вижу, что у меня открылось новое окно командной строки и оно уже работает в контексте «C:\Windows\system32>«, это и означает учетную запись Local System (Системная учетная запись)
Теперь давайте из под нее попробуем остановить нашу службу StaffCop Scheduler. Для этого есть ряд команд:
Далее вам необходимо изменить тип запуска и поменять с автоматического на отключена. Для этого пишем команду:
Как видим все успешно отработало. Если посмотреть оснастку «Службы», то видим вот такую картину.
Так, что имея права локального администратора и утилиту PsExec.exe, можно делать что угодно. Надеюсь, что вы теперь будите чаще вызывать окно командной строки от имени учетной записи системы. Давайте с вами напишем небольшой батник, который будет из ярлыка вызывать cmd от имени Local System. Создадим тестовый файл, поменяем ему сразу расширение с txt на cmd и откроем его текстовым редактором. Пропишем код:
Щелкаем по файлу правым кликом и выбираем пункт «Запуск от имени администратора». В результате чего у вас сразу будет запущено окно cmd с правами учетной записи SYSTEM. Проверить, это можно введя команду whoami. Ответ NT AUTORITY\СИСТЕМА.
Если нужно запустить удаленно командную строку от имени NT AUTORITY\СИСТЕМА, то выполните такую конструкцию
Системная учетная запись windows
| Локальная системная учетная запись Windows (Computer$) в Configuration Manager |
| См. также |
Локальная системная учетная запись является мощной учетной записью с полным доступом к компьютеру. Она используется в Microsoft System Center Configuration Manager 2007 для запуска служб и предоставления им контекста безопасности, а также для выполнения многих операций Configuration Manager 2007 на сервере сайта, системах сайта и клиентских компьютерах.
Фактическое имя этой учетной записи: NT AUTHORITY\System.
Локальная системная учетная запись не имеет прав доступа к сети. При необходимости наличия доступа к сети, локальная системная учетная запись использует учетную запись Домен\имя_компьютера$.
С выпуском Windows Server 2003 добавлены два новых встроенных типа учетных записей, сходных с локальной системной учетной записью: учетная запись сетевой службы и учетная запись локальной службы. Дополнительные сведения о том, как Configuration Manager 2007 использует эти записи, см. в разделах О локальной учетной записи в Configuration Manager и Об учетной записи сетевой службы в Configuration Manager. Дополнительные сведения об этих учетных записях см. по адресу http://go.microsoft.com/fwlink/?LinkId=93067.
Функции локальной системной учетной записи
Локальная системная учетная запись по своему существу имеет все необходимые права и разрешения на локальном компьютере. Удаление любого из этих прав или разрешений может привести к прекращению работы Configuration Manager 2007 или операционной системы.
Следующие службы Configuration Manager 2007, если они используются, настроены для входа под локальной системной учетной записью:
Агент последовательности задач SMS
 Важно! |
|---|
| Изменение параметров по умолчанию службы может помешать правильной работе основных служб. Не поддерживается изменение параметров Тип запуска и Войти в систему как для служб Configuration Manager 2007. |
В дополнение к предоставлению контекста безопасности для служб Configuration Manager 2007, локальная системная учетная запись выполняет следующие функции:
- создание файлов, каталогов и служб в системах сайта;
предоставление учетной записи безопасности для пула приложений, необходимой системам сайта, использующим IIS.
Функции компьютера сервера сайта (имя_компьютера$)
Доступ к контейнерам доменных служб Active Directory во время любого типа обнаружения Active Directory
Доступ на чтение к контейнерам, указанным для обнаружения. Если учетная запись компьютера используется в доменах, отличных от доменов, в которых расположен сервер сайта, эта учетная запись должна иметь права пользователя в этих доменах.
Учетная запись должна быть членом по меньшей мере одной группы пользователей домена или локальной группы пользователей в этих доменах.
Доступ к DHCP-серверу для обнаружения сети DHCP
Необходимо быть членом группы пользователей DHCP на DHCP-сервере.
Создание и заполнение контейнера System Management в Active Directory.
Если расширить схему, включить публикацию и предоставить учетной записи имя_компьютера$ полный доступ к контейнеру системы и всем дочерним объектам, в нем может быть автоматически создан контейнер System Management.
Чтобы следовать принципу наименьших прав, вручную создайте контейнер System Management в контейнере системы, вместо того, чтобы разрешать Configuration Manager создавать его. Затем предоставьте учетной записи компьютера сервера сайта полные права для контейнера System Management и всех дочерних объектов.
Доступ к исходным файлам при создании пакетов для распространения программного обеспечения.
Разрешения на чтение и просмотр содержимого папки для всех исходных файлов и каталогов
Обмен данными с родительским и дочерним сайтами.
Разрешения на чтение, запись, выполнение и удаление для папки SMS\Inboxes\Despoolr.box\Receive на сервере сайта назначения
Добавьте учетную запись адреса сайта в группу подключения сайта к сайту на сервере сайта назначения, имеющем соответствующие разрешения для общей папки SMS_Site.
Можно создать и использовать учетную запись адреса сайта, но тогда потребуется вести учетную запись и пароль.
Установка дополнительных сайтов, если создание сайта инициировано с консоли Configuration Manager.
Локальные права администратора на сервере дополнительного сайта
Если на сервере дополнительного сайта запущена программа установки, локальные права администратора для этой учетной записи на сервере дополнительного сайта не требуются.
Установка удаленных систем сайтов
Локальные права администратора на удаленной системе сайта
Если системы сайтов настраиваются в удаленных не доверенных лесах, необходимо использовать учетную запись установки системы сайтов. Дополнительные сведения см. в разделе «Учетная запись установки системы».
Извлечение данных из систем сайтов (если настроено)
Локальные права администратора на удаленной системе сайта
При установке на вкладке Общие параметра Разрешить только инициированные сервером сайта передачи данных из этой системы сайта Configuration Manager извлекает данные из системы сайта, вместо того, чтобы ожидать, когда система сайта принудительно отправит эти данные. Вместо этого, если настроена учетная запись установки системы сайтов, Configuration Manager использует эту учетную запись.
Создание и настройка базы данных сайта
Членство в группе Sysadmins на сервере SQL Server, если база данных сайта находится на удаленном компьютере.
Необходимо создать имя входа на сервер SQL Server для учетной записи компьютера сервера сайта и добавить его к роли Sysadmins.
Функции компьютера системы сайта (компьютер$)
Предоставление доступа к базе данных сайта для следующих ролей сайта:
- Точки управления (в том числе точка управления устройством);
точки формирования отчетов;
точки обнаружения серверов;
точки обслуживания PXE;
точки миграции состояния.
Учетная запись компьютера системы сайта автоматически добавляется к соответствующей роли базы данных. Роль базы данных имеет все необходимые права и разрешения.
Можно настроить точку управления, точку обслуживания PXE и точку обнаружения серверов для использования учетной записи подключения базы данных вместо локальной системной учетной записи. Дополнительные сведения см. разделе Об учетной записи подключения базы данных точки управления, Об учетной записи подключения базы данных точки обнаружения серверов или Об учетной записи подключения базы данных точки обслуживания PXE.
Следующие роли сайтов используют учетную запись компьютера$ системы сайта для передачи данных обратно на сервер сайта:
Точки управления устройством;
точки обслуживания PXE;
точки миграции состояния;
Точки средства проверки работоспособности системы;
Точки обновления программного обеспечения;
точка восстановления состояния.
Членство в группе подключения системы сайта к серверу сайта
При настройке систем сайтов в удаленных не доверенных лесах нельзя добавить учетную запись компьютера$ системы сайта в группу подключения системы сайта к серверу сайта, поэтому на вкладке Общие системы сайта необходимо установить Разрешить только инициированные сервером сайта передачи данных из этой системы сайта.
Создание и пароль
Учетная запись создается автоматически, а паролем управляет операционная система.
Расположение учетной записи
Локальная системная учетная запись является локальной учетной записью. Если компьютер является членом домена, учетная запись компьютера$ создается в домене, которому принадлежит компьютер.
Обслуживание учетной записи
Операционная система обслуживает свои собственные учетные записи и пароли. Однако пароль учетной записи компьютера$ может не синхронизироваться с контроллером домена, вследствие чего потребуется восстановить безопасный коммуникационный канал между компьютером-членом и контроллером домена. Дополнительные сведения о сбросе учетных записей компьютера см. в базе знаний Майкрософт по адресу http://go.microsoft.com/fwlink/?LinkId=93062.
Рекомендации по безопасности
Для Configuration Manager 2007 не требуется, чтобы учетная запись каждого компьютера добавлялась в группу администраторов домена. Если учетной записи компьютера требуются права администратора, например, на удаленном сервере сайта, добавьте эту учетную запись в соответствующую локальную группу.
Не удаляйте права и разрешения локальной системной учетной записи. Изменение значений по умолчанию для прав и разрешений может повредить работе операционной системы и приложений.
Минимизируйте использование локальной системной учетной записи на серверах и системах сайтов, не устанавливая другие службы, использующие локальную системную учетную запись. Это гарантирует, что другие процессы не смогут воспользоваться преимуществом расширенных привилегий учетной записи компьютера системы, обращаясь к файлам и данным Configuration Manager 2007 через другие системы.
Настройте сервер SQL Server для запуска с учетной записью пользователя домена вместо локальной системной учетной записи.