Меню

Что такое локальная учетная запись windows 10

Содержимое

Создание учетной записи локального пользователя или администратора в Windows 10

Создание локальной учетной записи пользователя для ребенка или другого пользователя, у которого нет своей учетной записи Майкрософт. При необходимости можно предоставить этой учетной записи права администратора. Автономная учетная запись — это просто еще один термин для обозначения локальной учетной записи.

При создании учетной записи помните, что выбор пароля и его сохранение являются обязательными шагами. Поскольку мы не знаем ваш пароль, если вы забудете или потеряете его, нам не удастся его восстановить для вас.

Если вы используете Windows 10 версии 1803 и более поздней версии, можно добавить секретные вопросы, как описано в шаге 4 раздела Создание учетной записи локального пользователя. С помощью ответов на секретные вопросы можно сбросить пароль к вашей локальной учетной записи Windows 10.

Создание учетной записи локального пользователя

1. Выберите Пуск > Параметры > Учетные записи и щелкните «Семья и другие пользователи». (В некоторых выпусках Windows отображается пункт Другие пользователи.)

2. Выберите Добавить пользователя для этого компьютера.

3. Выберите пункт У меня нет данных для входа этого человека и на следующей странице щелкните Добавить пользователя без учетной записи Майкрософт.

4. Введите имя пользователя, пароль, подсказку о пароле или выберите секретные вопросы, а затем нажмите Далее.

Изменение учетной записи локального пользователя на учетную запись администратора

1. Выберите Пуск > Параметры > Учетные записи и в разделе Семья и другие пользователи щелкните имя владельца учетной записи и нажмите Изменить тип учетной записи.

2. В разделе Тип учетной записи выберите Администратор и нажмите кнопку OK.

3. Войдите в систему с новой учетной записью администратора.

Источник статьи: http://support.microsoft.com/ru-ru/windows/%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5-%D1%83%D1%87%D0%B5%D1%82%D0%BD%D0%BE%D0%B9-%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B8-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE-%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F-%D0%B8%D0%BB%D0%B8-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0-%D0%B2-windows-10-20de74e0-ac7f-3502-a866-32915af2a34d

Разница между локальными и учетными записями Microsoft в Windows

При первой установке или запуске Windows 8 / 8.1 или 10 вам придется сделать выбор, которого у вас никогда не было. Вы хотите использовать локальную или учетную запись Microsoft ?

Этот выбор будет немного озадачивающим, поскольку учетные записи Microsoft являются новой функцией, и Microsoft действительно не хочет, чтобы вы использовали локальную учетную запись в Windows 10.

Это немного запутанно, и вы, возможно, не знаете, в какую сторону идти. На самом деле, у вас может возникнуть соблазн просто пойти с тем, что проще всего, но это было бы ошибкой.

Что такое локальная учетная запись?

Если вы когда-либо входили на домашний компьютер под управлением Windows XP или Windows 7, вы использовали локальную учетную запись. Имя может отбрасывать начинающих пользователей, но это не более чем учетная запись для доступа к компьютеру перед вами. Локальная учетная запись работает на этом конкретном компьютере, а другие нет.

Выберите локальную учетную запись, если вы хотите сохранить такие вещи, как в предыдущих версиях Windows.

Вы сможете войти в систему, изменить свои настройки, установить программное обеспечение и сохранить свою пользовательскую область отдельно от других в системе.

Но вы будете пропускать кучу функций, которые стали доступны для учетных записей Microsoft. Любопытно, что вы пропустили?

Что такое учетная запись Microsoft?

Учетная запись Microsoft — это просто новое имя для того, что раньше называлось идентификатором Windows Live ID. Если вы когда-либо пользовались такими сервисами, как Xbox Live, Hotmail, Outlook.com , OneDrive или Windows Messenger, у вас уже есть учетная запись Microsoft.

Очевидно, что наличие учетной записи Microsoft означает, что у вас будет более легкий доступ ко всем различным службам Microsoft, но использование ее с Windows 8 / 8.1 или 10 дает еще несколько преимуществ.

Доступ к хранилищу Windows

Вход в Windows 8 / 8.1 или 10 дает вам доступ к новому хранилищу Windows, где вы можете загружать современные приложения на ваш компьютер под управлением Windows 8. Эти современные приложения похожи на приложения, которые вы видите в Google Play Store или в магазине iTunes App Store.

Разница заключается в том, что приложения Windows Store могут быть использованы на вашем ПК. Пользователи Windows 10 могут рассматривать их как обычные настольные приложения.

Вы найдете тысячи бесплатных приложений в категориях, включая игры , спортивные, социальные, развлекательные, фото, музыку и новости. Некоторые из них являются платными приложениями, но многие из них бесплатны, и все они просты в использовании.

Свободное облачное хранилище

Настройка учетной записи Microsoft автоматически дает вам 5 ГБ пространства для хранения в облаке бесплатно. Эта служба, известная как OneDrive, позволяет хранить ваши файлы в сети, чтобы вы могли получить к ним доступ с других устройств.

Мало того, что ваши данные легче получить, но их также легче разделить. OneDrive позволяет легко предоставлять своим друзьям и членам семьи доступ ко всему, что хранится в облаке. Они могут войти в систему, чтобы просмотреть ее или даже скачать копию для себя.

OneDrive также предоставляет инструменты для редактирования ваших файлов через Office Online: набор упрощенных программ Microsoft Office для редактирования или создания документов, хранящихся в OneDrive.

Синхронизация настроек учетной записи

Возможно, наиболее интересной особенностью учетной записи Microsoft является то, что вы можете хранить свои настройки Windows 8 / 8.1 или 10 в облаке.

Это означает, что вы можете войти в учетную запись на одном современном компьютере под управлением Windows, настроить ее так, как вам нравится, а сделанные вами изменения хранятся в облаке через процесс, который синхронизирует ваш рабочий стол с OneDrive.

Войдите в систему, используя ту же учетную запись Microsoft на другом устройстве Windows, и ваши настройки следуют за вами.

Ваши обои, темы, настройки обновления, настройка экрана экрана, история браузера Internet и языковые настройки будут настроены так, как вам нравится.

В Windows 8.1 и 10 учетная запись делает синхронизацию еще лучше, позволяя синхронизировать сетевые профили, пароли и даже настройки хранилища в Windows между учетными записями. Windows 10 также позволяет легко обмениваться паролями Wi-Fi с друзьями и коллегами.

Какой тип учетной записи следует выбрать?

Хотя очевидно, что учетная запись Microsoft предлагает множество функций, которых нет в локальной учетной записи, это не значит, что это для всех.

Если вам не нужны приложения Windows Store, у вас есть только один компьютер и вам не нужен доступ к вашим данным нигде, кроме вашего дома, тогда локальная учетная запись будет работать нормально.

Это приведет вас в Windows и предоставит вам личное пространство. Если вас интересуют новые функции , которые могут предложить Windows 8 / 8.1 или 10, тогда вам понадобится учетная запись Microsoft, чтобы в полной мере использовать их.

Источник статьи: http://lezhnyov.ru/raznica-mezhdu-lokalnymi-i-uchetnymi-zapisyami-microsoft-v-windows

Локальные учетные записи Local Accounts

Относится к: Applies to

  • Windows 10; Windows 10
  • WindowsServer2019 Windows Server 2019
  • WindowsServer2016 Windows Server 2016

В этой статье приведены сведения для ИТ-специалистов, которые по умолчанию описываются на серверах, в том числе о том, как управлять этими встроенными учетными записями на участнике или автономном сервере. This reference topic for IT professionals describes the default local user accounts for servers, including how to manage these built-in accounts on a member or standalone server.

Сведения об локальных учетных записях пользователей About local user accounts

Локальные учетные записи пользователей хранятся на сервере. Local user accounts are stored locally on the server. Для таких учетных записей можно назначать права и разрешения на определенном сервере, но только на этом сервере. These accounts can be assigned rights and permissions on a particular server, but on that server only. Локальные учетные записи пользователей — это субдеры безопасности, которые используются для защиты доступа к ресурсам на отдельном сервере или участнике для служб или пользователей. Local user accounts are security principals that are used to secure and manage access to the resources on a standalone or member server for services or users.

В этой статье описаны перечисленные ниже действия. This topic describes the following:

Сведения о субтитрах безопасности см. в статье «Субподрядчики безопасности». For information about security principals, see Security Principals.

Локальные учетные записи по умолчанию Default local user accounts

По умолчанию локальные учетные записи пользователей создаются автоматически при установке Windows. The default local user accounts are built-in accounts that are created automatically when you install Windows.

После установки Windows локальные учетные записи локальных пользователей невозможно удалить или удалить. After Windows is installed, the default local user accounts cannot be removed or deleted. Кроме того, локальные учетные записи локальных пользователей не предоставляют доступ к сетевым ресурсам. In addition, default local user accounts do not provide access to network resources.

Локальные учетные записи по умолчанию используются для управления доступом к ресурсам локального сервера в зависимости от прав и разрешений, назначенных учетной записи. Default local user accounts are used to manage access to the local server’s resources based on the rights and permissions that are assigned to the account. Стандартные учетные записи по умолчанию и созданные локальные учетные записи находятся в папке «Пользователи». The default local user accounts, and the local user accounts that you create, are located in the Users folder. Папка «Пользователи» находится в папке Local Users and Groups консоли управления компьютерами (MMC). The Users folder is located in the Local Users and Groups folder in the local Computer Management Microsoft Management Console (MMC). Управление компьютером — это набор средств администрирования, которые можно использовать для управления отдельным локальным или удаленным компьютером. Computer Management is a collection of administrative tools that you can use to manage a single local or remote computer. Дополнительные сведения см. в разделе «Управление локальными учетными записями» ниже. For more information, see How to manage local accounts later in this topic.

В следующих разделах описаны локальные учетные записи стандартных пользователей. Default local user accounts are described in the following sections.

Учетная запись администратора Administrator account

По умолчанию локальный администратор — учетная запись пользователя для системного администратора. The default local Administrator account is a user account for the system administrator. У каждого компьютера есть учетная запись администратора (SID SID S-1-5-поддомен–500, отображаемое имя администратора). Every computer has an Administrator account (SID S-1-5-domain-500, display name Administrator). Учетная запись администратора — это первая учетная запись, которая была создана во время установки Windows. The Administrator account is the first account that is created during the Windows installation.

Учетная запись администратора имеет полный доступ к файлам, каталогам, службам и другим ресурсам на локальном компьютере. The Administrator account has full control of the files, directories, services, and other resources on the local computer. Учетная запись администратора может создавать другие локальные пользователи, назначать права пользователей и назначать разрешения. The Administrator account can create other local users, assign user rights, and assign permissions. Учетная запись администратора может в любой момент изменить права пользователей и разрешения. The Administrator account can take control of local resources at any time simply by changing the user rights and permissions.

Учетную запись администратора по умолчанию невозможно удалить или заблокировать, но ее можно переименовать или отключить. The default Administrator account cannot be deleted or locked out, but it can be renamed or disabled.

В Windows 10 и Windows Server 2016 настройка Windows отключает встроенную учетную запись администратора и создает другую локальную учетную запись, входящую в группу «Администраторы». In Windows 10 and Windows Server 2016, Windows setup disables the built-in Administrator account and creates another local account that is a member of the Administrators group. Участники групп администраторов могут запускать приложения с повышенными разрешениями, не используя параметр «Запуск от имени администратора». Members of the Administrators groups can run apps with elevated permissions without using the Run as Administrator option. Переход пользователей более надежен, чем с помощью запуска или вычисления других пользователей. Fast User Switching is more secure than using Runas or different-user elevation.

Членство в группе партнеров Account group membership

По умолчанию учетная запись администратора устанавливается как участник группы «Администраторы» на сервере. By default, the Administrator account is installed as a member of the Administrators group on the server. Рекомендуется ограничить число пользователей в группе «Администраторы» , так как участники группы «Администраторы» на локальном сервере имеются разрешения на полный доступ. It is a best practice to limit the number of users in the Administrators group because members of the Administrators group on a local server have Full Control permissions on that computer.

Учетную запись администратора невозможно удалить или удалить из группы «Администраторы», но ее можно переименовать. The Administrator account cannot be deleted or removed from the Administrators group, but it can be renamed.

Вопросы безопасности Security considerations

Так как учетная запись администратора существует в различных версиях операционной системы Windows, рекомендуется отключить учетную запись администратора, если это возможно, чтобы вредоносные пользователи столкнулись с сложнымдоступом к серверу или клиентскому компьютеру. Because the Administrator account is known to exist on many versions of the Windows operating system, it is a best practice to disable the Administrator account when possible to make it more difficult for malicious users to gain access to the server or client computer.

Вы можете переименовать учетную запись администратора. You can rename the Administrator account. Однако переименованная учетная запись администратора продолжает использовать тот же автоматически назначенный идентификатор безопасности (SID), который можно найти вредоносными пользователями. However, a renamed Administrator account continues to use the same automatically assigned security identifier (SID), which can be discovered by malicious users. Дополнительные сведения о том, как переименовать или отключить учетную запись пользователя, см. в статье «Отключение или активация локальной учетной записи пользователя» и переименование учетной записи локального пользователя. For more information about how to rename or disable a user account, see Disable or activate a local user account and Rename a local user account.

Рекомендуется использовать локальную учетную запись (не администратор) для входа в систему и затем используйте команду «Запуск от имени администратора» для выполнения задач, требуемых более высоким уровнем прав, чем стандартная учетная запись пользователя. As a security best practice, use your local (non-Administrator) account to sign in and then use Run as administrator to accomplish tasks that require a higher level of rights than a standard user account. Не используйте учетную запись администратора для входа на компьютер, если не требуется полностию. Do not use the Administrator account to sign in to your computer unless it is entirely necessary. Дополнительные сведения см. в разделе «Запуск программы с учетными данными администратора». For more information, see Run a program with administrative credentials.

В операционной системе клиентской версии Windows пользователь с учетной записью локального пользователя с правами администратора считается системным администратором клиентского компьютера. In comparison, on the Windows client operating system, a user with a local user account that has Administrator rights is considered the system administrator of the client computer. В локальную группу «Администраторы» помещается первая учетная запись локального пользователя, созданная во время установки. The first local user account that is created during installation is placed in the local Administrators group. Однако если несколько пользователей работали как локальные администраторы, ИТ-сплывающий ит-спектр не контролировать эти характеристики и клиентские компьютеры. However, when multiple users run as local administrators, the IT staff has no control over these users or their client computers.

В этом случае групповую политику можно использовать для автоматического управления использованием защищенных параметров, которые могут автоматически управлять использованием локальной группы администраторов на каждом сервере или клиентском компьютере. In this case, Group Policy can be used to enable secure settings that can control the use of the local Administrators group automatically on every server or client computer. Дополнительные сведения о групповой политике см. в обзоре групповой политики. For more information about Group Policy, see Group Policy Overview.

Примечание В версиях, созданных в списке «Применение» в начале этого раздела. Note Blank passwords are not allowed in the versions designated in the Applies To list at the beginning of this topic.

Важно! Даже если учетная запись администратора отключена, ее можно использовать для доступа к компьютеру в безопасном режиме. Important Even when the Administrator account has been disabled, it can still be used to gain access to a computer by using safe mode. В консоли «Восстановление» или в самом режиме учетная запись администратора включается автоматически. In the Recovery Console or in safe mode, the Administrator account is automatically enabled. При возобновлении обычной работы оно отключается. When normal operations are resumed, it is disabled.

Гостевая учетная запись Guest account

По умолчанию гостевая учетная запись отключена. The Guest account is disabled by default on installation. Гостевая учетная запись позволяет периодически оценить пользователей, у которых нет учетной записи на компьютере, временно входить на локальный сервер или клиентский компьютер с ограниченными правами. The Guest account lets occasional or one-time users, who do not have an account on the computer, temporarily sign in to the local server or client computer with limited user rights. По умолчанию у гостевой учетной записи для гостя используется пустой пароль. By default, the Guest account has a blank password. Так как гостевая учетная запись может предоставлять анонимный доступ, это угрозу безопасности. Because the Guest account can provide anonymous access, it is a security risk. Поэтому рекомендуется оставить отключенную гостевую учетную запись, если ее использование не требуется. For this reason, it is a best practice to leave the Guest account disabled, unless its use is entirely necessary.

Членство в группе партнеров Account group membership

По умолчанию гостевая учетная запись является единственным участником группы гостей по умолчанию (SID SID S-1-5-32-546), которая позволяет пользователям входить на сервер. By default, the Guest account is the only member of the default Guests group (SID S-1-5-32-546), which lets a user sign in to a server. Инженер, администратор, который является участником группы «Администраторы» может настроить пользователя с учетной записью гостя на одном или нескольких компьютерах. On occasion, an administrator who is a member of the Administrators group can set up a user with a Guest account on one or more computers.

Вопросы безопасности Security considerations

При включении гостевой учетной записи предоставьте ограниченные права и разрешения. When enabling the Guest account, only grant limited rights and permissions. По соображениям безопасности гостевая учетная запись не следует использовать по сети и сделать их доступными на других компьютерах. For security reasons, the Guest account should not be used over the network and made accessible to other computers.

Кроме того, гостевой пользователь в гостевой учетной записи не должен иметь возможности просматривать журналы событий. In addition, the guest user in the Guest account should not be able to view the event logs. После включения гостевой учетной записи рекомендуется регулярно контролировать учетную запись гостевой доступности, чтобы другие пользователи не смогут использовать службы и другие ресурсы, например ресурсы, которые ненамеренно оставались доступными предыдущим пользователем. After the Guest account is enabled, it is a best practice to monitor the Guest account frequently to ensure that other users cannot use services and other resources, such as resources that were unintentionally left available by a previous user.

Учетная запись HelpHelpSistant (которая устанавливается с удаленным сеансом удаленного помощника) HelpAssistant account (installed with a Remote Assistance session)

Учетная запись HelpHelpsistant — это локальная учетная запись, которая включена при выполнении сеанса удаленного помощника. The HelpAssistant account is a default local account that is enabled when a Remote Assistance session is run. Эта учетная запись отключается автоматически, если удаленный запрос не ожидает. This account is automatically disabled when no Remote Assistance requests are pending.

HelpHelpsistant — это основная учетная запись, используемая для установления сеанса удаленного помощщного. HelpAssistant is the primary account that is used to establish a Remote Assistance session. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и его запуска. The Remote Assistance session is used to connect to another computer running the Windows operating system, and it is initiated by invitation. При дистанционной помощью пользователь отправляет приглашение с компьютера, по электронной почте или в виде файла лица, который может предоставить помощь. For solicited remote assistance, a user sends an invitation from their computer, through e-mail or as a file, to a person who can provide assistance. После принятия приглашения пользователя на удаленный помощник автоматически создается учетная запись helphelp по умолчанию, чтобы предоставить человеку, предоставляющему ограниченное помощнику к компьютеру. After the user’s invitation for a Remote Assistance session is accepted, the default HelpAssistant account is automatically created to give the person who provides assistance limited access to the computer. Учетная запись HelpHelpsistant осуществляется службой диспетчера справых рабочих столов. The HelpAssistant account is managed by the Remote Desktop Help Session Manager service.

Вопросы безопасности Security considerations

Ниже перечислены следующие: The SIDs that pertain to the default HelpAssistant account include:

SID: S-1-5- поддомен -13, отображаемое имя терминала В итоге. SID: S-1-5- -13, display name Terminal Server User. Эта группа включает всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов. This group includes all users who sign in to a server with Remote Desktop Services enabled. Обратите внимание, что в Windows Server 2008 службы удаленных рабочих столов называются службами терминалов. Note that, in Windows Server 2008, Remote Desktop Services are called Terminal Services.

SID: S-1-5- -14, display name Remote Interactive Logon. SID: S-1-5- -14, display name Remote Interactive Logon. Эта группа содержит все пользователи, которые подключаются к компьютеру, используя подключение к удаленному рабочему столу. This group includes all users who connect to the computer by using a remote desktop connection. Эта группа является подмножеством интерактивной группы. This group is a subset of the Interactive group. Маркеры доступа, содержащие интерактивный пакет SID для удаленного входа, также содержит интерактивный SID. Access tokens that contain the Remote Interactive Logon SID also contain the Interactive SID.

В операционной системе Windows Server помощник удаленного помощника — это необязательный компонент, который не установлен по умолчанию. For the Windows Server operating system, Remote Assistance is an optional component that is not installed by default. Перед использованием удаленной помощнию необходимо установить удаленную помощь. You must install Remote Assistance before it can be used.

Дополнительные сведения об атрибутах учетной записи HelpHelpsistant см. в таблице ниже. For details about the HelpAssistant account attributes, see the following table.

Атрибуты учетной записи HelpHelpsistant HelpAssistant account attributes

Творимы (SID/RID) Well-Known SID/RID

S-1-5- -13 (пользователь Terminal Server), S-1-5- -14 (удаленный интерактивный вход) S-1-5- -13 (Terminal Server User), S-1-5- -14 (Remote Interactive Logon)

Контейнер по умолчанию Default container

CN=Пользователи, DC= домен, DC= CN=Users, DC= , DC=

Участники по умолчанию Default members

Участник по умолчанию Default member of

Domain Guests Domain Guests

Защищен АДМИНИСТРАТОРОМ? Protected by ADMINSDHOLDER?

Безопаснее перемещаться из контейнера, используемого по умолчанию? Safe to move out of default container?

Можно переместить, но не рекомендуется. Can be moved out, but we do not recommend it.

Пользуетесь правами администраторов, которые не являются обслуживанием? Safe to delegate management of this group to non-Service admins?

DefaultAccount DefaultAccount

DefaultAccount, также называемая system Managed Account (System Managed Account), — это встроенная учетная запись, встроенная в Windows 10 версии 1607 и Windows Server 2016. The DefaultAccount, also known as the Default System Managed Account (DSMA), is a built-in account introduced in Windows 10 version 1607 and Windows Server 2016. DSMA — это хорошо известный тип учетной записи. The DSMA is a well-known user account type. Она ней может использоваться для выполнения процессов, которые являются знаниями, знающими о многопользовательских, так и агентствах пользователей. It is a user neutral account that can be used to run processes that are either multi-user aware or user-agnostic. DSMA по умолчанию отключается на SKU классических версий (полный SKU) и WS 2016 с рабочим столом. The DSMA is disabled by default on the desktop SKUs (full windows SKUs) and WS 2016 with the Desktop.

DSMA имеет хорошо известный РИС КРЫШ КРЫШК — 503. The DSMA has a well-known RID of 503. Идентификатор безопасности (SID) dSMA имеет хорошо известный формат SID в следующем формате: S-1-5-21- -503 The security identifier (SID) of the DSMA will thus have a well-known SID in the following format: S-1-5-21- -503

DSMA — это член известной группы «Управление системой учетных записей», которая имеет хорошо известный SID SID S-5-32-581. The DSMA is a member of the well-known group System Managed Accounts Group, which has a well-known SID of S-1-5-32-581.

Псевдоним DSMA можно предоставить доступ ресурсам во время работы в автономном режиме до того, как она была создана сама учетная запись. The DSMA alias can be granted access to resources during offline staging even before the account itself has been created. Учетная запись и группа создаются во время первого запуска компьютера в диспетчере учетных записей (SAM). The account and the group are created during first boot of the machine within the Security Accounts Manager (SAM).

Использование DefaultAccount в Windows How Windows uses the DefaultAccount

С уровня разрешений по умолчанию используется стандартная учетная запись пользователя. From a permission perspective, the DefaultAccount is a standard user account. Для выполнения многопользовательских приложений (Manifested-apps) требуется по умолчанию. The DefaultAccount is needed to run multi-user-manifested-apps (MUMA apps). Приложения MUMA выполняются постоянно, а также повторяются для пользователей, входящих в систему и выхода из них. MUMA apps run all the time and react to users signing in and signing out of the devices. В отличие от классической версии Windows, где приложения работаются в контексте пользователя и завершены, когда пользователь выйдет при подписании пользователя, Приложения MUMA работаются с использованием DSMA. Unlike Windows Desktop where apps run in context of the user and get terminated when the user signs off, MUMA apps run by using the DSMA.

Приложения MUMA работают в сеансе с общих SKU, таких как Xbox. MUMA apps are functional in shared session SKUs such as Xbox. Например, командная консоль Xbox — приложение MUMA. For example, Xbox shell is a MUMA app. Сегодня Консоль Xbox автоматически входит в качестве гостевой учетной записи и все приложения, запускаемые в этом контексте. Today, Xbox automatically signs in as Guest account and all apps run in this context. Все приложения являются многопользовательскими оповещениями и ответят на события, берутся о событиях, беруковых руководителем пользователей. All the apps are multi-user-aware and respond to events fired by user manager. Приложения выполняются как гостевая учетная запись. The apps run as the Guest account.

Аналогично автоматической вход телефона в службу как учетная запись DefApps — это стандартная учетная запись пользователя в Windows, но с несколькими дополнительными правами. Similarly, Phone auto logs in as a “DefApps” account which is akin to the standard user account in Windows but with a few extra privileges. Службы и приложения работаются бролевом, некоторые службы и приложения работаются как эта учетная запись. Brokers, some services and apps run as this account.

В модели с объединенными пользователями приложения с разными пользователями, а также брокеры по нескольким пользователям, должны работать в контексте, отличном от такого от пользователей. In the converged user model, the multi-user-aware apps and multi-user-aware brokers will need to run in a context different from that of the users. В этом случае система создает DSMA. For this purpose, the system creates DSMA.

Создание параметра DefaultAccount на контроллерах домена How the DefaultAccount gets created on domain controllers

Если домен был создан с контроллерами домена, подуправлениеющим Windows Server 2016, то его учетная запись будет существовать на всех контроллерах домена в этом домене. If the domain was created with domain controllers that run Windows Server 2016, the DefaultAccount will exist on all domain controllers in the domain. Если домен был создан с контроллерами домена, работающим в более ранней версии Windows Server, то после переноса роль EMulator компьютера, поддерживающего Windows Server 2016, создается соответствующая учетная запись по умолчанию. If the domain was created with domain controllers that run an earlier version of Windows Server, the DefaultAccount will be created after the PDC Emulator role is transferred to a domain controller that runs Windows Server 2016. Затем будет реплицирована всем прочим контроллерам домена в домене. The DefaultAccount will then be replicated to all other domain controllers in the domain.

Рекомендации по управлению учетной записью по умолчанию (DSMA) Recommendations for managing the Default Account (DSMA)

Майкрософт не рекомендует изменять конфигурацию по умолчанию, при которой учетная запись отключена. Microsoft does not recommend changing the default configuration, where the account is disabled. Защита от ключа безопасности не существует. There is no security risk with having the account in the disabled state. Изменение конфигурации по умолчанию может привести к будущим сценариям, которые осуществляются в этой учетной записи. Changing the default configuration could hinder future scenarios that rely on this account.

Локальные системные учетные записи по умолчанию Default local system accounts

СИСТЕМА SYSTEM

Системная учетная запись используется операционной системой и службами, работающими в Windows. The SYSTEM account is used by the operating system and by services that run under Windows. В операционной системе Windows есть множество служб и процессов, которым требуется возможность входить в интерфейс внутренней системы ,например во время установки Windows). There are many services and processes in the Windows operating system that need the capability to sign in internally, such as during a Windows installation. Учетная запись SYSTEM создана для этой цели, и Windows управляет правами пользователя учетной записи системной учетной записи. The SYSTEM account was designed for that purpose, and Windows manages the SYSTEM account’s user rights. Она не отображается в Диспетчере пользователей и не может быть добавлена в них. It is an internal account that does not show up in User Manager, and it cannot be added to any groups.

С другой учетной записью SYSTEM отображается на громкости файловой системы NTFS в диспетчере файлов в меню «Разрешения» меню «Разрешения». On the other hand, the SYSTEM account does appear on an NTFS file system volume in File Manager in the Permissions portion of the Security menu. По умолчанию учетная запись SYSTEM предлагается разрешение на полный доступ ко всем файлам на уровне NTFS. By default, the SYSTEM account is granted Full Control permissions to all files on an NTFS volume. В учетной записи SYSTEM вы воспользуетесь службой тех же функциональных прав и разрешений, что и для учетной записи администратора. Here the SYSTEM account has the same functional rights and permissions as the Administrator account.

Примечание Чтобы предоставить разрешения группы администраторов учетных записей, не предоставляются неодноятельно. Note To grant the account Administrators group file permissions does not implicitly give permission to the SYSTEM account. Разрешения учетной записи системы можно удалить, но их не рекомендуется удалять. The SYSTEM account’s permissions can be removed from a file, but we do not recommend removing them.

СЕТЕВАЯ СЛУЖБА NETWORK SERVICE

Учетная запись сетевой службы — это предварительно определенная локальная учетная запись, используемая диспетчером служб (SCM). The NETWORK SERVICE account is a predefined local account used by the service control manager (SCM). Служба, которая запускается в контексте учетной записи СЕТЕвой службы, представляет учетные данные компьютера к удаленным серверам. A service that runs in the context of the NETWORK SERVICE account presents the computer’s credentials to remote servers. Дополнительные сведения см. в статье «Учетная запись NetworkService». For more information, see NetworkService Account.

ЛОКАЛЬНАЯ СЛУЖБА LOCAL SERVICE

Учетная запись ЛОКАЛЬНОЙ службы — это предварительно определенная локальная учетная запись, используемая диспетчером служб. The LOCAL SERVICE account is a predefined local account used by the service control manager. На локальном компьютере имеются минимальные права на локальном компьютере и представляет сетевые учетные данные в сети. It has minimum privileges on the local computer and presents anonymous credentials on the network. Дополнительные сведения см. в учетной записи LocalService. For more information, see LocalService Account.

Управление локальными учетными записями пользователей How to manage local user accounts

Стандартные учетные записи по умолчанию и созданные локальные учетные записи находятся в папке «Пользователи». The default local user accounts, and the local user accounts that you create, are located in the Users folder. Папка «Пользователи» находится в локальных пользователей и группах. The Users folder is located in Local Users and Groups. Дополнительные сведения о создании учетных записей локальных пользователей и управлении ими см. в разделе Manage Local Users (Управление локальными пользователями). For more information about creating and managing local user accounts, see Manage Local Users.

Вы можете использовать локальные пользователи и группы для назначения прав и разрешений на локальном сервере, а только для ограничения возможности локальных пользователей и групп выполнять определенные действия. You can use Local Users and Groups to assign rights and permissions on the local server, and that server only, to limit the ability of local users and groups to perform certain actions. Правый разрешает пользователю выполнять определенные действия, такие как резервное копирование файлов и папок, или выключение сервера. A right authorizes a user to perform certain actions on a server, such as backing up files and folders or shutting down a server. Разрешение на доступ — это правило, связанное с объектом, обычно файлом, папкой или принтером. An access permission is a rule that is associated with an object, usually a file, folder, or printer. Он регулировано, ккаким пользователям доступны пользователи, имеющие доступ к объекту на сервере и что-то из дискола. It regulates which users can have access to an object on the server and in what manner.

Нельзя использовать локальные пользователи и группы на контроллере домена. You cannot use Local Users and Groups on a domain controller. Однако вы можете использовать локальные пользователи и группы на контроллере домена для выбора целевых удаленных компьютеров, находящихся в сети. However, you can use Local Users and Groups on a domain controller to target remote computers that are not domain controllers on the network.

Примечание Пользователи и группы ActiveDirectory используются для управления пользователями и группами в ActiveDirectory. Note You use ActiveDirectory Users and Computers to manage users and groups in ActiveDirectory.

Вы также можете управлять локальными пользователями с помощью NET.EXE USER и группы локальных групп с помощью NET.EXE ЛОКАЛИЗации или с помощью различных командлетов PowerShell и других технологий PowerShell. You can also manage local users by using NET.EXE USER and manage local groups by using NET.EXE LOCALGROUP, or by using a variety of PowerShell cmdlets and other scripting technologies.

Ограничение и защита локальных учетных записей с помощью прав администратора Restrict and protect local accounts with administrative rights

Администратор может запретить вредоносным пользователям использовать украденные учетные данные, такие как украденный пароль или пароль, для локальной учетной записи на одном компьютере, который не будет использован для проверки подлинности на другом компьютере с правами администратора. она также называется «движением в дальнейшем». An administrator can use a number of approaches to prevent malicious users from using stolen credentials, such as a stolen password or password hash, for a local account on one computer from being used to authenticate on another computer with administrative rights; this is also called «lateral movement».

Проще всего войти на компьютер с помощью учетной записи обычного пользователя, а не с помощью учетной записи администратора для задач, например для просмотра сведений в Интернете, отправки электронной почты или использования текстовых процессоров. The simplest approach is to sign in to your computer with a standard user account, instead of using the Administrator account for tasks, for example, to browse the Internet, send email, or use a word processor. Если вы хотите выполнить административные задачи для выполнения административных задач или изменения параметров, затронутых другими пользователями, вам не нужно переключаться на учетную запись администратора. When you want to perform an administrative task, for example, to install a new program or to change a setting that affects other users, you don’t have to switch to an Administrator account. Вы можете использовать контроль учетных записей пользователей (UAC) для запроса разрешений или пароля администратора перед выполнением задачи, как описано в следующем разделе. You can use User Account Control (UAC) to prompt you for permission or an administrator password before performing the task, as described in the next section.

Ниже перечислены другие подходы, которые можно использовать для ограничения и защиты учетных записей пользователей с правами администратора. The other approaches that can be used to restrict and protect user accounts with administrative rights include:

Принудить ограничения локальной учетной записи для удаленного доступа. Enforce local account restrictions for remote access.

Захотеть вход со всеми локальными учетными записями администраторов. Deny network logon to all local Administrator accounts.

Создавайте уникальные пароли для локальных учетных записей с правами администратора. Create unique passwords for local accounts with administrative rights.

Каждый из этих подходов описан в следующих разделах. Each of these approaches is described in the following sections.

Примечание Эти подходы не применимы, если отключены все учетные записи администратора. Note These approaches do not apply if all administrative local accounts are disabled.

Принудить ограничения локальной учетной записи для удаленного доступа Enforce local account restrictions for remote access

Контроль учетных записей (UAC) — это функция безопасности в Windows, которая используется в Windows Server2008 и WindowsVista, а также операционных систем, к которым относится список «Примененные к». The User Account Control (UAC) is a security feature in Windows that has been in use in Windows Server2008 and in WindowsVista, and the operating systems to which the Applies To list refers. UAC позволяет контролировать управление компьютером, сообщая о том, когда программа вносит изменения, в котором требуется разрешение администратора. UAC enables you to stay in control of your computer by informing you when a program makes a change that requires administrator-level permission. UAC работает путем настройки уровня разрешений для своей учетной записи пользователя. UAC works by adjusting the permission level of your user account. По умолчанию uAC уведомляет вас о попытке внести изменения на компьютере, но вы можете изменить частоту уведомления об отсутствии. By default, UAC is set to notify you when applications try to make changes to your computer, but you can change how often UAC notifies you.

UAC позволяет учетным записям с правами администратора обрабатываться как стандартные учетные записи пользователя, не являющиеся администратором до полного права администратора до полного права( также называемой выходом). UAC makes it possible for an account with administrative rights to be treated as a standard user non-administrator account until full rights, also called elevation, is requested and approved. Например, администратор вводит учетные данные во время сеанса пользователя, не являющегося администратором, чтобы выполнять активные задачи, не переключая пользователей, выходить или использовать команду «Запуск от имени команды». For example, UAC lets an administrator enter credentials during a non-administrator’s user session to perform occasional administrative tasks without having to switch users, sign out, or use the Run as command.

Кроме того, администратору программы Администратора может требовать администраторам утверждение приложений, внесенных в систему, даже в сеансе администратора. In addition, UAC can require administrators to specifically approve applications that make system-wide changes before those applications are granted permission to run, even in the administrator’s user session.

Например, функция UAC отображается, когда локальная учетная запись входит с удаленного компьютера с помощью сетевого входа (например, с помощью NET.EXE USE). For example, a default feature of UAC is shown when a local account signs in from a remote computer by using Network logon (for example, by using NET.EXE USE). В этом примере выдается стандартный маркер пользователя без прав администратора, но без возможности запроса и получения выхода не можете. In this instance, it is issued a standard user token with no administrative rights, but without the ability to request or receive elevation. Поэтому локальные учетные записи, содержащие вход с помощью сети, нельзя получать административные общие папки, такие как C$, или АДМИНИСТРАТОР$, или выполнить удаленное администрирование. Consequently, local accounts that sign in by using Network logon cannot access administrative shares such as C$, or ADMIN$, or perform any remote administration.

Дополнительные сведения о UAC см. в статье «Контроль учетных записей». For more information about UAC, see User Account Control.

В таблице ниже показаны параметры групповой политики и реестра, которые используются для принудительного использования ограничений локальной учетной записи для удаленного доступа. The following table shows the Group Policy and registry settings that are used to enforce local account restrictions for remote access.

Подробное описание Detailed Description

Расположение политики Policy location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Параметр политики Policy setting

Расположение политики Policy location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Параметр политики Policy setting

Раздел реестра Registry key

Имя значения реестра Registry value name

Тип значения реестра Registry value type

Значение реестра Registry value data

Кроме того, можно применить по умолчанию стандартную службу AdMX в шаблонах безопасности. You can also enforce the default for LocalAccountTokenFilterPolicy by using the custom ADMX in Security Templates.

Ограничения локальной учетной записи для удаленного доступа To enforce local account restrictions for remote access

Запустите консоль управления групповыми политиками (GPMC). Start the Group Policy Management Console (GPMC).

В дереве консоли разверните групповой политики (Объект групповой политики). Group Policy Objects forest domain In the console tree, expand \Domains\ , and then Group Policy Objects where forest is the name of the forest, and domain is the name of the domain where you want to set the Group Policy Object (GPO).

В дереве консоли щелкните правой кнопкой мыши объекты групповой политикии > создайте. In the console tree, right-click Group Policy Objects, and > New.

В диалоговом окне «Создание объекта групповой и > «ОК», где «_name» — имя нового объекта групповой политики. In the New GPO dialog box, type , and > OK where gpo_name is the name of the new GPO. Имя объекта групповой политики указывает на то, что объект групповой политики используется для ограничения прав локального администратора на другой компьютер. The GPO name indicates that the GPO is used to restrict local administrator rights from being carried over to another computer.

В области сведений щелкните правой кнопкой мыши и > внесите изменения. In the details pane, right-click , and > Edit.

Убедитесь, что обмен включенной обслуживанием и что ограничения В учетной записи администратора применяются к учетной записи администратора по умолчанию, выполнив указанные ниже действия. Ensure that UAC is enabled and that UAC restrictions apply to the default Administrator account by doing the following:

Перейдите к разделу «Конфигурация компьютера\Windows Settings\Local Settings\Local Policies\, > «Параметры безопасности». Navigate to the Computer Configuration\Windows Settings\Security Settings\Local Policies\, and > Security Options.

Дважды щелкните элемент управления учетными записями пользователей: запуск всех администраторов в режиме утверждения > Enabled > администрирования. Double-click User Account Control: Run all administrators in Admin Approval Mode > Enabled > OK.

Дважды щелкните контроль учетных записей пользователей: режим утверждения администратора для встроенной учетной записи > администратора сактивирована. > OK Double-click User Account Control: Admin Approval Mode for the Built-in Administrator account > Enabled > OK.

Убедитесь, что ограничения локальной учетной записи применяются к сетевым интерфейсам, выполнив указанные ниже действия. Ensure that the local account restrictions are applied to network interfaces by doing the following:

Перейдите к разделу «Конфигурация компьютера\Параметры Windows», а затем > реестр. Navigate to Computer Configuration\Preferences and Windows Settings, and > Registry.

Щелкните правой кнопкой мыши «Реестр» и > выберите команду «Создать > элемент реестра». Right-click Registry, and > New > Registry Item.

В диалоговом окне «Создание свойств реестра» на вкладке «Общие» измените значение в поле «Действие». Replace In the New Registry Properties dialog box, on the General tab, change the setting in the Action box to Replace.

Убедитесь, что в поле «Отдел кадров» выбрано значение HKEY_LOCAL_MACHINE. Ensure that the Hive box is set to HKEY_LOCAL_MACHINE.

Щелкните (. )), перейдите к следующему пути, где находится ключевой путь: Key Path > Select SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Click (), browse to the following location for Key Path > Select for: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

В области «Имя значения» введите LocalAccountTokenFilterPolicy. In the Value name area, type LocalAccountTokenFilterPolicy.

В раскрывающемся списке «Тип значения» выберите в раскрывающемся списке REG_DWORD изменить значение. In the Value type box, from the drop-down list, select REG_DWORD to change the value.

В поле «Значение» убедитесь, что значение равно 0. In the Value data box, ensure that the value is set to 0.

Проверьте эту конфигурацию и > ОК. Verify this configuration, and > OK.

Связывание Workstations групповой политики с учебнымблоком рабочей станции (OU), сделав следующее: Link the GPO to the first Workstations organizational unit (OU) by doing the following:

Перейдите к \Domains\Domain \OU path. Navigate to the \Domains\ \OU path.

Щелкните правой кнопкой мыши рабочую станцию рабочей станции и > создайте существующий объект групповой политики. Right-click the Workstations OU, and > Link an existing GPO.

Выберите созданный групповой политики и > окна. Select the GPO that you just created, and > OK.

Протестировать функциональные корпоративные приложения на рабочих станциях в этом подразделе и устраните проблемы, вызванные новой политикой. Test the functionality of enterprise applications on the workstations in that first OU and resolve any issues caused by the new policy.

Создайте ссылки на другие опубликованные рабочие станции. Create links to all other OUs that contain workstations.

Создайте ссылки на другие оформления, содержащие серверы. Create links to all other OUs that contain servers.

Запрошить вход со всеми локальными учетными записями администраторов Deny network logon to all local Administrator accounts

Запретив локальные учетные записи, это помогает предотвратить повторное использование хэш-пароля локальной учетной записи в злоумышленной атаке. Denying local accounts the ability to perform network logons can help prevent a local account password hash from being reused in a malicious attack. Эта процедура помогает предотвратить перемещение позже, благодаря чему учетные данные для локальных учетных записей, украденных из компрометированной операционной системы, нельзя использовать для компрометации дополнительных компьютеров с одинаковыми учетными данными. This procedure helps to prevent lateral movement by ensuring that the credentials for local accounts that are stolen from a compromised operating system cannot be used to compromise additional computers that use the same credentials.

Примечание Для выполнения этой процедуры необходимо указать имя локальной учетной записи администратора, которая не является учетной записью администратора по умолчанию (это может не быть стандартное имя пользователя), а другие учетные записи, являемые участниками группы «Администратор». Note In order to perform this procedure, you must first identify the name of the local, default Administrator account, which might not be the default user name «Administrator», and any other accounts that are members of the local Administrators group.

В таблице ниже перечислены параметры групповой политики, которые используются для задержки входа в сетевую учетную запись для всех локальных учетных записей администратора. The following table shows the Group Policy settings that are used to deny network logon for all local Administrator accounts.

Подробное описание Detailed Description

Расположение политики Policy location

Настройка компьютера\Параметры безопасности\Локальные политики\Назначение прав пользователя Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Параметр политики Policy setting

Локальная учетная запись и член группы администраторов Local account and member of Administrators group

Расположение политики Policy location

Настройка компьютера\Параметры безопасности\Локальные политики\Назначение прав пользователя Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Параметр политики Policy setting

Локальная учетная запись и член группы администраторов Local account and member of Administrators group

Заявка входа в сетевой учетной записи на всех локальных учетных записях администраторов To deny network logon to all local administrator accounts

Запустите консоль управления групповыми политиками (GPMC). Start the Group Policy Management Console (GPMC).

В дереве консоли разверните \Domains\ а затем — объекты групповой политики, где это имя леса, а домен — имя домена, для которого forest вы хотите задать объект групповой политики (GPO). In the console tree, expand \Domains\ , and then Group Policy Objects, where forest is the name of the forest, and domain is the name of the domain where you want to set the Group Policy Object (GPO).

В дереве консоли щелкните правой кнопкой мыши объекты групповой политикии > создайте. In the console tree, right-click Group Policy Objects, and > New.

В диалоговом окне «Создание объекта групповой политики» > OK объекта групповой политики_name — имя нового объекта групповой политики, указывающее, что для ограничения локального администратора учетных записей от интерактивного входа на компьютер ее нужно использовать. In the New GPO dialog box, type , and then > OK where gpo_name is the name of the new GPO indicates that it is being used to restrict the local administrative accounts from interactively signing in to the computer.

В области сведений щелкните правой кнопкой мыши и > внесите изменения. In the details pane, right-click , and > Edit.

Настроить права пользователей так, чтобы запретить вход в локальные учетные записи для административных учетных записей следующим образом: Configure the user rights to deny network logons for administrative local accounts as follows:

Перейдите к параметрам «Конфигурация компьютера\Windows Settings\Security Settings\\ > и пользовательСкого уровня». Navigate to the Computer Configuration\Windows Settings\Security Settings\, and > User Rights Assignment.

Двойным щелчком мыши доступ к этому компьютеру из сети двойным щелчком. Double-click Deny access to this computer from the network.

Нажмите кнопку «Добавить пользователя или группу», введите «Локальная учетная запись» и группу «Администраторы» и нажмите > кнопку «ОК». Click Add User or Group, type Local account and member of Administrators group, and > OK.

Настройте права пользователей таким образом, чтобы учетные записи удаленного рабочего стола отклонил ся на удаленный рабочий стол (удаленный рабочий стол) для учетных записей администратора: Configure the user rights to deny Remote Desktop (Remote Interactive) logons for administrative local accounts as follows:

Перейдите к разделу «Конфигурация компьютера\Политики\Параметры Windows и локальные политики», а затем щелкните «Назначение прав пользователя». Navigate to Computer Configuration\Policies\Windows Settings and Local Policies, and then click User Rights Assignment.

Дважды щелкните «Захотеть войти» с помощью служб удаленных рабочих столов. Double-click Deny log on through Remote Desktop Services.

Нажмите кнопку «Добавить пользователя или группу», введите «Локальная учетная запись» и группу «Администраторы» и нажмите > кнопку «ОК». Click Add User or Group, type Local account and member of Administrators group, and > OK.

Свяжите групповую политику со первыми рабочими станциями: Link the GPO to the first Workstations OU as follows:

Перейдите к \Domains\Domain \OU path. Navigate to the \Domains\ \OU path.

Щелкните правой кнопкой мыши рабочую станцию рабочей станции и > создайте существующий объект групповой политики. Right-click the Workstations OU, and > Link an existing GPO.

Выберите созданный групповой политики и > окна. Select the GPO that you just created, and > OK.

Протестировать функциональные корпоративные приложения на рабочих станциях в этом подразделе и устраните проблемы, вызванные новой политикой. Test the functionality of enterprise applications on the workstations in that first OU and resolve any issues caused by the new policy.

Создайте ссылки на другие опубликованные рабочие станции. Create links to all other OUs that contain workstations.

Создайте ссылки на другие оформления, содержащие серверы. Create links to all other OUs that contain servers.

Примечание Вам может потребоваться создать отдельный групповой политики, если имя пользователя учетной записи администратора по умолчанию отличается от рабочих станций и серверов. Note You might have to create a separate GPO if the user name of the default Administrator account is different on workstations and servers.

Создание уникальных паролей для локальных учетных записей с правами администратора Create unique passwords for local accounts with administrative rights

Пароли должны быть уникальными для каждой отдельной учетной записи. Passwords should be unique per individual account. Хотя это исправно для отдельных учетных записей пользователей, у многих предприятий используются одинаковые пароли для общих локальных учетных записей, таких как учетная запись администратора по умолчанию. While this is generally true for individual user accounts, many enterprises have identical passwords for common local accounts, such as the default Administrator account. Это также происходит, если одинаковые пароли используются для локальных учетных записей во время развертывания операционной системы. This also occurs when the same passwords are used for local accounts during operating system deployments.

Пароли, которые оставались неизмененными или измененными, не изменяются, чтобы защитить их от нормативных угроз для организаций. Passwords that are left unchanged or changed synchronously to keep them identical add a significant risk for organizations. Производительность при воспроизведении паролей уменьшает «хэш-хэш» при использовании разных паролей для локальных учетных записей, что приводит к использованию хэш-паролей для сжатия других компьютеров. Randomizing the passwords mitigates «pass-the-hash» attacks by using different passwords for local accounts, which hampers the ability of malicious users to use password hashes of those accounts to compromise other computers.

Пароли можно случайно использовать в перечисленных ниже случаях. Passwords can be randomized by:

Покупка и реализация корпоративного инструмента для выполнения этой задачи. Purchasing and implementing an enterprise tool to accomplish this task. Эти инструменты обычно называются инструментами управления паролями. These tools are commonly referred to as «privileged password management» tools.

Для выполнения этой задачи можно задать пароли локального администратора (LAPS). Configuring Local Administrator Password Solution (LAPS) to accomplish this task.

Создание и внедрение пользовательских сценариев или решений для радигания паролей локальной учетной записи. Creating and implementing a custom script or solution to randomize local account passwords.

См. также See also

Ниже приведены дополнительные сведения о технологиях, связанных с локальными учетными записями. The following resources provide additional information about technologies that are related to local accounts.

Источник статьи: http://docs.microsoft.com/ru-ru/windows/security/identity-protection/access-control/local-accounts


Adblock
detector
Атрибут Attribute Значение Value