NET LOCALGROUP — управление локальными группами через командную строку

Команда NET LOCALGROUP используется для редактирования локальный групп пользователей компьютера с операционной системой Windows. С помощью данной команды можно добавить или удалить пользователей и группы из локальных групп операционной системы. Или просто просмотреть их.

Синтаксис команды net localgroup выглядит следующим образом:

NET LOCALGROUP [имя_группы [/COMMENT:»текст»]] [/DOMAIN]

NET LOCALGROUP имя_группы имя […] [/DOMAIN]

имя_группы — указывает имя группу, которую нужно добавить, отредактировать или удалить. Чтобы получить список пользователей в группе, задайте только её имя;

/COMMENT — комментарий к новой или существующей группе. Текст должен быть заключен в кавычки;

/DOMAIN — операция выполняется на контроллере домена в текущем домене. В противном случае операция будет выполнена на локальном компьютере;

имя — указывает одно или несколько имён пользователей и (или) групп, которые должны быть добавлены или удалены из группы. Имена разделяются пробелами;

/ADD — добавляет группу или добавляет пользователя в группу;

/DELETE — удаляет группу или удаляет пользователя из группы.

Ниже несколько примеров использования команды net localgroup .

Отобразить список групп локального компьютера:

Отобразить сведения о локальной группе Администраторы:

Добавить или изменить комментарий к группе Администраторы:

Если захотите удалить комментарий, можно использовать /comment:»» .

Добавить доменную учётную запись пользователя в группу Администраторы (домен test, учётная запись user1):

Удаление ранее добавленного пользователя из группы Администраторы:

Аналогично добавляются и удаляются группы пользователей. Если нужно добавить или удалить локальную учётную запись или группу, не указывайте имя домена.

Получение списка членов локальной группы пользователей на серверах Windows

Как быстро составить список локальных администраторов на каждом сервере Windows? Задача непростая, если не знать, как правильно к ней подойти. Создать список членов группы пользователей на базе Active Directory можно с помощью целого ряда утилит командной строки, включая CSVDE и LDIFDE, но в случае с локальными учетными записями дело обстоит немного иначе.

Между тем, знание состава локальных групп безопасности необходимо для эффективного применения настроек групповой политики (Group Policy), которые в противном случае могут быть реализованы некорректно по целому ряду причин.

Решить эту проблему можно с помощью старой доброй команды net. Старушка net для меня священна — я до сих пор не могу отказаться от удобных однострочных команд, которые выручали меня все эти годы. Например, составить список пользователей, входящих в локальную группу администраторов на сервере Windows, можно следующей командой:

В полученном списке будут перечислены все имена пользователей и групп, образующих локальную группу администраторов, в том числе пользователи, определенные в настройках групповой политики Active Directory.

Другой вариант — воспользоваться сценарием Windows PowerShell. Как и прочие сценарии, преобразованные из команд DOS, он включает в себя несколько строк. Чтобы получить описанный выше результат с помощью PowerShell, можно выполнить следующие команды:

Примечание: сценарий был создан с использованием примеров с сайта PowerShell Code Repository .

Когда вам в следующий раз понадобится быстро получить сведения о членах локальных групп пользователей, достаточно будет выполнить этот простой сценарий, вывод которого можно будет экспортировать в текстовый файл для хранения и аудита.

Группы пользователей в Windows — локальные пользователи и группы

Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.

Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.

По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.

Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.

Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;

Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;

Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;

Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;

Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;

Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;

Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;

Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;

Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;

Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;

Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;

IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.

Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.

Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.

Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.

Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.

Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.

Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.

Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).

Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.

Создание группы в Windows.

Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.

Как видите, наша группа появилась в перечне групп.

Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.

Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.

Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.

Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.

Нажмите кнопку Добавить.

Сперва нужно выбрать субъект, на который будут распространяться новые права.

Впишите название группы и нажмите кнопку Проверить имена.

Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.

Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.

Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.

«Локальные пользователи и группы» в Windows 10

Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!

Запуск «Локальных пользователей и групп»

Доступ к рассматриваемому элементу можно получить следующим образом:

Вызовите инструмент «Выполнить» сочетанием клавиш Win+R, введите в нём запрос lusrmgr.msc и щёлкните «ОК».

Запустится нужный инструмент.

Теперь взглянем подробнее на особенности приложения.

«Пользователи»

В данном каталоге присутствуют такие категории:

«Администратор» – встроенный аккаунт, который используется в процессе инсталляции ОС перед тем, как юзер создаст свой собственный. Полномочия данной учётки весьма обширны, плюс её нельзя никаким образом удалить. Она пригодится в случае, когда в систему необходимо внести серьёзные изменения, но обычного пользователя-администратора для этой цели недостаточно.

Читайте также: Использование встроенной учётной записи администратора Windows 10

«Гость» — второй аккаунт по умолчанию, присутствующий в указанном каталоге. Из названия элемента ясно, каково его предназначение – это гостевая учётка, ограниченная в правах. Данный аккаунт задействуется для разового использования, и по умолчанию отключен из-за возможной угрозы безопасности.

«WDAGUtilityAccount» — это запись, используемая Защитником Windows при открытии небезопасных сайтов или приложений, чтобы не подвергать опасности основное пространство. Если вы не совершали никаких манипуляций со встроенным в «десятку» антивирусом, WDAGUtilityAccount активен и задействуется.

Читайте также: Отключение Защитника в Windows 10

«Пользователь» — учётка, созданная при первичной настройке системы.

«HelpAssistant» — временная запись, которая используется для создания сеанса удаленной помощи. Ею управляет служба Remote Desktop Help Session Manager.

«Группы»

В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:

• «Администраторы» – основная группа, члены которой имеют полный доступ к управлению операционной системой, соответственно, добавлять к ней новые учётки стоит с осторожностью.
• «Администраторы Hyper-V» – здесь находятся записи, которым разрешен доступ к виртуальной машине Hyper-V.

Читайте также: Виртуальная машина в Windows 10

«Владельцы устройства» – аккаунты из этой категории по своим полномочиям дублируют вариант «Администраторы».

«Гости» – название говорит само за себя: сюда входят гостевые учётные записи.

«Криптографические операторы» – пользовательские аккаунты из этого раздела способны выполнять связанные с криптографией действия, например, с цифровыми подписями.

«Операторы архива» – интересная категория, поскольку записи, которые в неё входят, способны обходить системные ограничения доступа, но только в целях создания точек восстановления или резервного копирования.

Читайте также: Создание точек восстановления Windows 10

«Операторы настройки сети» – записям из этой категории разрешено управлять подключениями к сетям.

«Опытные пользователи» – специфичный вариант, который существует для обеспечения совместимости. Дело в том, что эта категория в предыдущих версиях Виндовс обладала ограниченными административными правами для работы с некоторыми приложениями. В десятой редакции, в целях безопасности, редактирование этой группы запрещено, однако учётки в неё помещаются автоматически, если используется одно из тех самых специфичных приложений.

«Пользователи» – самый большой раздел, в который входят все пользовательские учётные записи.

Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.

Добавление нового пользователя

Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.

Присоединение пользователя к группе

Редактирование группы происходит по похожему алгоритму:

Выделите одиночным кликом ЛКМ категорию, после чего воспользуйтесь вариантами «Действие» – «Добавить пользователя в группу».

В окне свойств группы кликните по кнопке «Добавить».

Укажите имя аккаунта в блоке «Введите имена выбираемых объектов», после чего щёлкните «Проверить имена».

Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.

По возвращении в окно свойств вы увидите имя добавленной учётки.

Как видим, действительно ничего сложного.

Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.