Вход под локальной учетной записью windows 10

Творимы (SID/RID) Well-Known SID/RID

S-1-5- -13 (пользователь Terminal Server), S-1-5- -14 (удаленный интерактивный вход) S-1-5- -13 (Terminal Server User), S-1-5- -14 (Remote Interactive Logon)

Контейнер по умолчанию Default container

CN=Пользователи, DC= домен, DC= CN=Users, DC= , DC=

Участники по умолчанию Default members

Участник по умолчанию Default member of

Domain Guests Domain Guests

Защищен АДМИНИСТРАТОРОМ? Protected by ADMINSDHOLDER?

Безопаснее перемещаться из контейнера, используемого по умолчанию? Safe to move out of default container?

Можно переместить, но не рекомендуется. Can be moved out, but we do not recommend it.

Пользуетесь правами администраторов, которые не являются обслуживанием? Safe to delegate management of this group to non-Service admins?

DefaultAccount DefaultAccount

DefaultAccount, также называемая system Managed Account (System Managed Account), — это встроенная учетная запись, встроенная в Windows 10 версии 1607 и Windows Server 2016. The DefaultAccount, also known as the Default System Managed Account (DSMA), is a built-in account introduced in Windows 10 version 1607 and Windows Server 2016. DSMA — это хорошо известный тип учетной записи. The DSMA is a well-known user account type. Она ней может использоваться для выполнения процессов, которые являются знаниями, знающими о многопользовательских, так и агентствах пользователей. It is a user neutral account that can be used to run processes that are either multi-user aware or user-agnostic. DSMA по умолчанию отключается на SKU классических версий (полный SKU) и WS 2016 с рабочим столом. The DSMA is disabled by default on the desktop SKUs (full windows SKUs) and WS 2016 with the Desktop.

DSMA имеет хорошо известный РИС КРЫШ КРЫШК — 503. The DSMA has a well-known RID of 503. Идентификатор безопасности (SID) dSMA имеет хорошо известный формат SID в следующем формате: S-1-5-21- -503 The security identifier (SID) of the DSMA will thus have a well-known SID in the following format: S-1-5-21- -503

DSMA — это член известной группы «Управление системой учетных записей», которая имеет хорошо известный SID SID S-5-32-581. The DSMA is a member of the well-known group System Managed Accounts Group, which has a well-known SID of S-1-5-32-581.

Псевдоним DSMA можно предоставить доступ ресурсам во время работы в автономном режиме до того, как она была создана сама учетная запись. The DSMA alias can be granted access to resources during offline staging even before the account itself has been created. Учетная запись и группа создаются во время первого запуска компьютера в диспетчере учетных записей (SAM). The account and the group are created during first boot of the machine within the Security Accounts Manager (SAM).

Использование DefaultAccount в Windows How Windows uses the DefaultAccount

С уровня разрешений по умолчанию используется стандартная учетная запись пользователя. From a permission perspective, the DefaultAccount is a standard user account. Для выполнения многопользовательских приложений (Manifested-apps) требуется по умолчанию. The DefaultAccount is needed to run multi-user-manifested-apps (MUMA apps). Приложения MUMA выполняются постоянно, а также повторяются для пользователей, входящих в систему и выхода из них. MUMA apps run all the time and react to users signing in and signing out of the devices. В отличие от классической версии Windows, где приложения работаются в контексте пользователя и завершены, когда пользователь выйдет при подписании пользователя, Приложения MUMA работаются с использованием DSMA. Unlike Windows Desktop where apps run in context of the user and get terminated when the user signs off, MUMA apps run by using the DSMA.

Приложения MUMA работают в сеансе с общих SKU, таких как Xbox. MUMA apps are functional in shared session SKUs such as Xbox. Например, командная консоль Xbox — приложение MUMA. For example, Xbox shell is a MUMA app. Сегодня Консоль Xbox автоматически входит в качестве гостевой учетной записи и все приложения, запускаемые в этом контексте. Today, Xbox automatically signs in as Guest account and all apps run in this context. Все приложения являются многопользовательскими оповещениями и ответят на события, берутся о событиях, беруковых руководителем пользователей. All the apps are multi-user-aware and respond to events fired by user manager. Приложения выполняются как гостевая учетная запись. The apps run as the Guest account.

Аналогично автоматической вход телефона в службу как учетная запись DefApps — это стандартная учетная запись пользователя в Windows, но с несколькими дополнительными правами. Similarly, Phone auto logs in as a “DefApps” account which is akin to the standard user account in Windows but with a few extra privileges. Службы и приложения работаются бролевом, некоторые службы и приложения работаются как эта учетная запись. Brokers, some services and apps run as this account.

В модели с объединенными пользователями приложения с разными пользователями, а также брокеры по нескольким пользователям, должны работать в контексте, отличном от такого от пользователей. In the converged user model, the multi-user-aware apps and multi-user-aware brokers will need to run in a context different from that of the users. В этом случае система создает DSMA. For this purpose, the system creates DSMA.

Создание параметра DefaultAccount на контроллерах домена How the DefaultAccount gets created on domain controllers

Если домен был создан с контроллерами домена, подуправлениеющим Windows Server 2016, то его учетная запись будет существовать на всех контроллерах домена в этом домене. If the domain was created with domain controllers that run Windows Server 2016, the DefaultAccount will exist on all domain controllers in the domain. Если домен был создан с контроллерами домена, работающим в более ранней версии Windows Server, то после переноса роль EMulator компьютера, поддерживающего Windows Server 2016, создается соответствующая учетная запись по умолчанию. If the domain was created with domain controllers that run an earlier version of Windows Server, the DefaultAccount will be created after the PDC Emulator role is transferred to a domain controller that runs Windows Server 2016. Затем будет реплицирована всем прочим контроллерам домена в домене. The DefaultAccount will then be replicated to all other domain controllers in the domain.

Рекомендации по управлению учетной записью по умолчанию (DSMA) Recommendations for managing the Default Account (DSMA)

Майкрософт не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Microsoft does not recommend changing the default configuration, where the account is disabled. Защита от ключа безопасности не существует. There is no security risk with having the account in the disabled state. Изменение конфигурации по умолчанию может привести к будущим сценариям, которые осуществляются в этой учетной записи. Changing the default configuration could hinder future scenarios that rely on this account.

Локальные системные учетные записи по умолчанию Default local system accounts

СИСТЕМА SYSTEM

Системная учетная запись используется операционной системой и службами, работающими в Windows. The SYSTEM account is used by the operating system and by services that run under Windows. В операционной системе Windows есть множество служб и процессов, которым требуется возможность входить в интерфейс внутренней системы ,например во время установки Windows). There are many services and processes in the Windows operating system that need the capability to sign in internally, such as during a Windows installation. Учетная запись SYSTEM создана для этой цели, и Windows управляет правами пользователя учетной записи системной учетной записи. The SYSTEM account was designed for that purpose, and Windows manages the SYSTEM account’s user rights. Она не отображается в Диспетчере пользователей и не может быть добавлена в них. It is an internal account that does not show up in User Manager, and it cannot be added to any groups.

С другой учетной записью SYSTEM отображается на громкости файловой системы NTFS в диспетчере файлов в меню «Разрешения» меню «Разрешения». On the other hand, the SYSTEM account does appear on an NTFS file system volume in File Manager in the Permissions portion of the Security menu. По умолчанию учетная запись SYSTEM предлагается разрешение на полный доступ ко всем файлам на уровне NTFS. By default, the SYSTEM account is granted Full Control permissions to all files on an NTFS volume. В учетной записи SYSTEM вы воспользуетесь службой тех же функциональных прав и разрешений, что и для учетной записи администратора. Here the SYSTEM account has the same functional rights and permissions as the Administrator account.

Примечание Чтобы предоставить разрешения группы администраторов учетных записей, не предоставляются неодноятельно. Note To grant the account Administrators group file permissions does not implicitly give permission to the SYSTEM account. Разрешения учетной записи системы можно удалить, но их не рекомендуется удалять. The SYSTEM account’s permissions can be removed from a file, but we do not recommend removing them.

СЕТЕВАЯ СЛУЖБА NETWORK SERVICE

Учетная запись сетевой службы — это предварительно определенная локальная учетная запись, используемая диспетчером служб (SCM). The NETWORK SERVICE account is a predefined local account used by the service control manager (SCM). Служба, которая запускается в контексте учетной записи СЕТЕвой службы, представляет учетные данные компьютера к удаленным серверам. A service that runs in the context of the NETWORK SERVICE account presents the computer’s credentials to remote servers. Дополнительные сведения см. в статье «Учетная запись NetworkService». For more information, see NetworkService Account.

ЛОКАЛЬНАЯ СЛУЖБА LOCAL SERVICE

Учетная запись ЛОКАЛЬНОЙ службы — это предварительно определенная локальная учетная запись, используемая диспетчером служб. The LOCAL SERVICE account is a predefined local account used by the service control manager. На локальном компьютере имеются минимальные права на локальном компьютере и представляет сетевые учетные данные в сети. It has minimum privileges on the local computer and presents anonymous credentials on the network. Дополнительные сведения см. в учетной записи LocalService. For more information, see LocalService Account.

Управление локальными учетными записями пользователей How to manage local user accounts

Стандартные учетные записи по умолчанию и созданные локальные учетные записи находятся в папке «Пользователи». The default local user accounts, and the local user accounts that you create, are located in the Users folder. Папка «Пользователи» находится в локальных пользователей и группах. The Users folder is located in Local Users and Groups. Дополнительные сведения о создании учетных записей локальных пользователей и управлении ими см. в разделе Manage Local Users (Управление локальными пользователями). For more information about creating and managing local user accounts, see Manage Local Users.

Вы можете использовать локальные пользователи и группы для назначения прав и разрешений на локальном сервере, а только для ограничения возможности локальных пользователей и групп выполнять определенные действия. You can use Local Users and Groups to assign rights and permissions on the local server, and that server only, to limit the ability of local users and groups to perform certain actions. Правый разрешает пользователю выполнять определенные действия, такие как резервное копирование файлов и папок, или выключение сервера. A right authorizes a user to perform certain actions on a server, such as backing up files and folders or shutting down a server. Разрешение на доступ — это правило, связанное с объектом, обычно файлом, папкой или принтером. An access permission is a rule that is associated with an object, usually a file, folder, or printer. Он регулировано, ккаким пользователям доступны пользователи, имеющие доступ к объекту на сервере и что-то из дискола. It regulates which users can have access to an object on the server and in what manner.

Нельзя использовать локальные пользователи и группы на контроллере домена. You cannot use Local Users and Groups on a domain controller. Однако вы можете использовать локальные пользователи и группы на контроллере домена для выбора целевых удаленных компьютеров, находящихся в сети. However, you can use Local Users and Groups on a domain controller to target remote computers that are not domain controllers on the network.

Примечание Пользователи и группы ActiveDirectory используются для управления пользователями и группами в ActiveDirectory. Note You use ActiveDirectory Users and Computers to manage users and groups in ActiveDirectory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и группы локальных групп с помощью NET.EXE ЛОКАЛИЗации или с помощью различных командлетов PowerShell и других технологий PowerShell. You can also manage local users by using NET.EXE USER and manage local groups by using NET.EXE LOCALGROUP, or by using a variety of PowerShell cmdlets and other scripting technologies.

Ограничение и защита локальных учетных записей с помощью прав администратора Restrict and protect local accounts with administrative rights

Администратор может запретить вредоносным пользователям использовать украденные учетные данные, такие как украденный пароль или пароль, для локальной учетной записи на одном компьютере, который не будет использован для проверки подлинности на другом компьютере с правами администратора. она также называется «движением в дальнейшем». An administrator can use a number of approaches to prevent malicious users from using stolen credentials, such as a stolen password or password hash, for a local account on one computer from being used to authenticate on another computer with administrative rights; this is also called «lateral movement».

Проще всего войти на компьютер с помощью учетной записи обычного пользователя, а не с помощью учетной записи администратора для задач, например для просмотра сведений в Интернете, отправки электронной почты или использования текстовых процессоров. The simplest approach is to sign in to your computer with a standard user account, instead of using the Administrator account for tasks, for example, to browse the Internet, send email, or use a word processor. Если вы хотите выполнить административные задачи для выполнения административных задач или изменения параметров, затронутых другими пользователями, вам не нужно переключаться на учетную запись администратора. When you want to perform an administrative task, for example, to install a new program or to change a setting that affects other users, you don’t have to switch to an Administrator account. Вы можете использовать контроль учетных записей пользователей (UAC) для запроса разрешений или пароля администратора перед выполнением задачи, как описано в следующем разделе. You can use User Account Control (UAC) to prompt you for permission or an administrator password before performing the task, as described in the next section.

Ниже перечислены другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора. The other approaches that can be used to restrict and protect user accounts with administrative rights include:

Принудить ограничения локальной учетной записи для удаленного доступа. Enforce local account restrictions for remote access.

Захотеть вход со всеми локальными учетными записями администраторов. Deny network logon to all local Administrator accounts.

Создавайте уникальные пароли для локальных учетных записей с правами администратора. Create unique passwords for local accounts with administrative rights.

Каждый из этих подходов описан в следующих разделах. Each of these approaches is described in the following sections.

Примечание Эти подходы не применимы, если отключены все учетные записи администратора. Note These approaches do not apply if all administrative local accounts are disabled.

Принудить ограничения локальной учетной записи для удаленного доступа Enforce local account restrictions for remote access

Контроль учетных записей (UAC) — это функция безопасности в Windows, которая используется в Windows Server2008 и WindowsVista, а также операционных систем, к которым относится список «Примененные к». The User Account Control (UAC) is a security feature in Windows that has been in use in Windows Server2008 and in WindowsVista, and the operating systems to which the Applies To list refers. UAC позволяет контролировать управление компьютером, сообщая о том, когда программа вносит изменения, в котором требуется разрешение администратора. UAC enables you to stay in control of your computer by informing you when a program makes a change that requires administrator-level permission. UAC работает путем настройки уровня разрешений для своей учетной записи пользователя. UAC works by adjusting the permission level of your user account. По умолчанию uAC уведомляет вас о попытке внести изменения на компьютере, но вы можете изменить частоту уведомления об отсутствии. By default, UAC is set to notify you when applications try to make changes to your computer, but you can change how often UAC notifies you.

UAC позволяет учетным записям с правами администратора обрабатываться как стандартные учетные записи пользователя, не являющиеся администратором до полного права администратора до полного права( также называемой выходом). UAC makes it possible for an account with administrative rights to be treated as a standard user non-administrator account until full rights, also called elevation, is requested and approved. Например, администратор вводит учетные данные во время сеанса пользователя, не являющегося администратором, чтобы выполнять активные задачи, не переключая пользователей, выходить или использовать команду «Запуск от имени команды». For example, UAC lets an administrator enter credentials during a non-administrator’s user session to perform occasional administrative tasks without having to switch users, sign out, or use the Run as command.

Кроме того, администратору программы Администратора может требовать администраторам утверждение приложений, внесенных в систему, даже в сеансе администратора. In addition, UAC can require administrators to specifically approve applications that make system-wide changes before those applications are granted permission to run, even in the administrator’s user session.

Например, функция UAC отображается, когда локальная учетная запись входит с удаленного компьютера с помощью сетевого входа (например, с помощью NET.EXE USE). For example, a default feature of UAC is shown when a local account signs in from a remote computer by using Network logon (for example, by using NET.EXE USE). В этом примере выдается стандартный маркер пользователя без прав администратора, но без возможности запроса и получения выхода не можете. In this instance, it is issued a standard user token with no administrative rights, but without the ability to request or receive elevation. Поэтому локальные учетные записи, содержащие вход с помощью сети, нельзя получать административные общие папки, такие как C$, или АДМИНИСТРАТОР$, или выполнить удаленное администрирование. Consequently, local accounts that sign in by using Network logon cannot access administrative shares such as C$, or ADMIN$, or perform any remote administration.

Дополнительные сведения о UAC см. в статье «Контроль учетных записей». For more information about UAC, see User Account Control.

В таблице ниже показаны параметры групповой политики и реестра, которые используются для принудительного использования ограничений локальной учетной записи для удаленного доступа. The following table shows the Group Policy and registry settings that are used to enforce local account restrictions for remote access.

Подробное описание Detailed Description

Расположение политики Policy location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Имя политики Policy name

Параметр политики Policy setting

Расположение политики Policy location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Имя политики Policy name

Параметр политики Policy setting

Раздел реестра Registry key

Имя значения реестра Registry value name

Тип значения реестра Registry value type

Значение реестра Registry value data

Кроме того, можно применить по умолчанию стандартную службу AdMX в шаблонах безопасности. You can also enforce the default for LocalAccountTokenFilterPolicy by using the custom ADMX in Security Templates.

Ограничения локальной учетной записи для удаленного доступа To enforce local account restrictions for remote access

Запустите консоль управления групповыми политиками (GPMC). Start the Group Policy Management Console (GPMC).

В дереве консоли разверните групповой политики (Объект групповой политики). Group Policy Objects forest domain In the console tree, expand \Domains\ , and then Group Policy Objects where forest is the name of the forest, and domain is the name of the domain where you want to set the Group Policy Object (GPO).

В дереве консоли щелкните правой кнопкой мыши объекты групповой политикии > создайте. In the console tree, right-click Group Policy Objects, and > New.

В диалоговом окне «Создание объекта групповой и > «ОК», где «_name» — имя нового объекта групповой политики. In the New GPO dialog box, type , and > OK where gpo_name is the name of the new GPO. Имя объекта групповой политики указывает на то, что объект групповой политики используется для ограничения прав локального администратора на другой компьютер. The GPO name indicates that the GPO is used to restrict local administrator rights from being carried over to another computer.

В области сведений щелкните правой кнопкой мыши и > внесите изменения. In the details pane, right-click , and > Edit.

Убедитесь, что обмен включенной обслуживанием и что ограничения В учетной записи администратора применяются к учетной записи администратора по умолчанию, выполнив указанные ниже действия. Ensure that UAC is enabled and that UAC restrictions apply to the default Administrator account by doing the following:

Перейдите к разделу «Конфигурация компьютера\Windows Settings\Local Settings\Local Policies\, > «Параметры безопасности». Navigate to the Computer Configuration\Windows Settings\Security Settings\Local Policies\, and > Security Options.

Дважды щелкните элемент управления учетными записями пользователей: запуск всех администраторов в режиме утверждения > Enabled > администрирования. Double-click User Account Control: Run all administrators in Admin Approval Mode > Enabled > OK.

Дважды щелкните контроль учетных записей пользователей: режим утверждения администратора для встроенной учетной записи > администратора сактивирована. > OK Double-click User Account Control: Admin Approval Mode for the Built-in Administrator account > Enabled > OK.

Убедитесь, что ограничения локальной учетной записи применяются к сетевым интерфейсам, выполнив указанные ниже действия. Ensure that the local account restrictions are applied to network interfaces by doing the following:

Перейдите к разделу «Конфигурация компьютера\Параметры Windows», а затем > реестр. Navigate to Computer Configuration\Preferences and Windows Settings, and > Registry.

Щелкните правой кнопкой мыши «Реестр» и > выберите команду «Создать > элемент реестра». Right-click Registry, and > New > Registry Item.

В диалоговом окне «Создание свойств реестра» на вкладке «Общие» измените значение в поле «Действие». Replace In the New Registry Properties dialog box, on the General tab, change the setting in the Action box to Replace.

Убедитесь, что в поле «Отдел кадров» выбрано значение HKEY_LOCAL_MACHINE. Ensure that the Hive box is set to HKEY_LOCAL_MACHINE.

Щелкните (. )), перейдите к следующему пути, где находится ключевой путь: Key Path > Select SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Click (…), browse to the following location for Key Path > Select for: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

В области «Имя значения» введите LocalAccountTokenFilterPolicy. In the Value name area, type LocalAccountTokenFilterPolicy.

В раскрывающемся списке «Тип значения» выберите в раскрывающемся списке REG_DWORD изменить значение. In the Value type box, from the drop-down list, select REG_DWORD to change the value.

В поле «Значение» убедитесь, что значение равно 0. In the Value data box, ensure that the value is set to 0.

Проверьте эту конфигурацию и > ОК. Verify this configuration, and > OK.

Связывание Workstations групповой политики с учебнымблоком рабочей станции (OU), сделав следующее: Link the GPO to the first Workstations organizational unit (OU) by doing the following:

Перейдите к \Domains\Domain \OU path. Navigate to the \Domains\ \OU path.

Щелкните правой кнопкой мыши рабочую станцию рабочей станции и > создайте существующий объект групповой политики. Right-click the Workstations OU, and > Link an existing GPO.

Выберите созданный групповой политики и > окна. Select the GPO that you just created, and > OK.

Протестировать функциональные корпоративные приложения на рабочих станциях в этом подразделе и устраните проблемы, вызванные новой политикой. Test the functionality of enterprise applications on the workstations in that first OU and resolve any issues caused by the new policy.

Создайте ссылки на другие опубликованные рабочие станции. Create links to all other OUs that contain workstations.

Создайте ссылки на другие оформления, содержащие серверы. Create links to all other OUs that contain servers.

Запрошить вход со всеми локальными учетными записями администраторов Deny network logon to all local Administrator accounts

Запретив локальные учетные записи, это помогает предотвратить повторное использование хэш-пароля локальной учетной записи в злоумышленной атаке. Denying local accounts the ability to perform network logons can help prevent a local account password hash from being reused in a malicious attack. Эта процедура помогает предотвратить перемещение позже, благодаря чему учетные данные для локальных учетных записей, украденных из компрометированной операционной системы, нельзя использовать для компрометации дополнительных компьютеров с одинаковыми учетными данными. This procedure helps to prevent lateral movement by ensuring that the credentials for local accounts that are stolen from a compromised operating system cannot be used to compromise additional computers that use the same credentials.

Примечание Для выполнения этой процедуры необходимо указать имя локальной учетной записи администратора, которая не является учетной записью администратора по умолчанию (это может не быть стандартное имя пользователя), а другие учетные записи, являемые участниками группы «Администратор». Note In order to perform this procedure, you must first identify the name of the local, default Administrator account, which might not be the default user name «Administrator», and any other accounts that are members of the local Administrators group.

В таблице ниже перечислены параметры групповой политики, которые используются для задержки входа в сетевую учетную запись для всех локальных учетных записей администратора. The following table shows the Group Policy settings that are used to deny network logon for all local Administrator accounts.

Подробное описание Detailed Description

Расположение политики Policy location

Настройка компьютера\Параметры безопасности\Локальные политики\Назначение прав пользователя Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Имя политики Policy name

Параметр политики Policy setting

Локальная учетная запись и член группы администраторов Local account and member of Administrators group

Расположение политики Policy location

Настройка компьютера\Параметры безопасности\Локальные политики\Назначение прав пользователя Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Имя политики Policy name

Параметр политики Policy setting

Локальная учетная запись и член группы администраторов Local account and member of Administrators group

Заявка входа в сетевой учетной записи на всех локальных учетных записях администраторов To deny network logon to all local administrator accounts

Запустите консоль управления групповыми политиками (GPMC). Start the Group Policy Management Console (GPMC).

В дереве консоли разверните \Domains\ а затем — объекты групповой политики, где это имя леса, а домен — имя домена, для которого forest вы хотите задать объект групповой политики (GPO). In the console tree, expand \Domains\ , and then Group Policy Objects, where forest is the name of the forest, and domain is the name of the domain where you want to set the Group Policy Object (GPO).

В дереве консоли щелкните правой кнопкой мыши объекты групповой политикии > создайте. In the console tree, right-click Group Policy Objects, and > New.

В диалоговом окне «Создание объекта групповой политики» > OK объекта групповой политики_name — имя нового объекта групповой политики, указывающее, что для ограничения локального администратора учетных записей от интерактивного входа на компьютер ее нужно использовать. In the New GPO dialog box, type , and then > OK where gpo_name is the name of the new GPO indicates that it is being used to restrict the local administrative accounts from interactively signing in to the computer.

В области сведений щелкните правой кнопкой мыши и > внесите изменения. In the details pane, right-click , and > Edit.

Настроить права пользователей так, чтобы запретить вход в локальные учетные записи для административных учетных записей следующим образом: Configure the user rights to deny network logons for administrative local accounts as follows:

Перейдите к параметрам «Конфигурация компьютера\Windows Settings\Security Settings\\ > и пользовательСкого уровня». Navigate to the Computer Configuration\Windows Settings\Security Settings\, and > User Rights Assignment.

Двойным щелчком мыши доступ к этому компьютеру из сети двойным щелчком. Double-click Deny access to this computer from the network.

Нажмите кнопку «Добавить пользователя или группу», введите «Локальная учетная запись» и группу «Администраторы» и нажмите > кнопку «ОК». Click Add User or Group, type Local account and member of Administrators group, and > OK.

Настройте права пользователей таким образом, чтобы учетные записи удаленного рабочего стола отклонил ся на удаленный рабочий стол (удаленный рабочий стол) для учетных записей администратора: Configure the user rights to deny Remote Desktop (Remote Interactive) logons for administrative local accounts as follows:

Перейдите к разделу «Конфигурация компьютера\Политики\Параметры Windows и локальные политики», а затем щелкните «Назначение прав пользователя». Navigate to Computer Configuration\Policies\Windows Settings and Local Policies, and then click User Rights Assignment.

Дважды щелкните «Захотеть войти» с помощью служб удаленных рабочих столов. Double-click Deny log on through Remote Desktop Services.

Нажмите кнопку «Добавить пользователя или группу», введите «Локальная учетная запись» и группу «Администраторы» и нажмите > кнопку «ОК». Click Add User or Group, type Local account and member of Administrators group, and > OK.

Свяжите групповую политику со первыми рабочими станциями: Link the GPO to the first Workstations OU as follows:

Перейдите к \Domains\Domain \OU path. Navigate to the \Domains\ \OU path.

Щелкните правой кнопкой мыши рабочую станцию рабочей станции и > создайте существующий объект групповой политики. Right-click the Workstations OU, and > Link an existing GPO.

Выберите созданный групповой политики и > окна. Select the GPO that you just created, and > OK.

Протестировать функциональные корпоративные приложения на рабочих станциях в этом подразделе и устраните проблемы, вызванные новой политикой. Test the functionality of enterprise applications on the workstations in that first OU and resolve any issues caused by the new policy.

Создайте ссылки на другие опубликованные рабочие станции. Create links to all other OUs that contain workstations.

Создайте ссылки на другие оформления, содержащие серверы. Create links to all other OUs that contain servers.

Примечание Вам может потребоваться создать отдельный групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается от рабочих станций и серверов. Note You might have to create a separate GPO if the user name of the default Administrator account is different on workstations and servers.

Создание уникальных паролей для локальных учетных записей с правами администратора Create unique passwords for local accounts with administrative rights

Пароли должны быть уникальными для каждой отдельной учетной записи. Passwords should be unique per individual account. Хотя это исправно для отдельных учетных записей пользователей, у многих предприятий используются одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. While this is generally true for individual user accounts, many enterprises have identical passwords for common local accounts, such as the default Administrator account. Это также происходит, если одинаковые пароли используются для локальных учетных записей во время развертывания операционной системы. This also occurs when the same passwords are used for local accounts during operating system deployments.

Пароли, которые оставались неизмененными или измененными, не изменяются, чтобы защитить их от нормативных угроз для организаций. Passwords that are left unchanged or changed synchronously to keep them identical add a significant risk for organizations. Производительность при воспроизведении паролей уменьшает «хэш-хэш» при использовании разных паролей для локальных учетных записей, что приводит к использованию хэш-паролей для сжатия других компьютеров. Randomizing the passwords mitigates «pass-the-hash» attacks by using different passwords for local accounts, which hampers the ability of malicious users to use password hashes of those accounts to compromise other computers.

Пароли можно случайно использовать в перечисленных ниже случаях. Passwords can be randomized by:

Покупка и реализация корпоративного инструмента для выполнения этой задачи. Purchasing and implementing an enterprise tool to accomplish this task. Эти инструменты обычно называются инструментами управления паролями. These tools are commonly referred to as «privileged password management» tools.

Для выполнения этой задачи можно задать пароли локального администратора (LAPS). Configuring Local Administrator Password Solution (LAPS) to accomplish this task.

Создание и внедрение пользовательских сценариев или решений для радигания паролей локальной учетной записи. Creating and implementing a custom script or solution to randomize local account passwords.

См. также See also

Ниже приведены дополнительные сведения о технологиях, связанных с локальными учетными записями. The following resources provide additional information about technologies that are related to local accounts.

Источник