Вход на доменный компьютер под локальной учетной записью

В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.

Немного предыстории. После того, как компьютер добавлен в домен Active Directory, вы можете войти в него под учетной записью домена или локального пользователя (если конечно локальная учетная запись не отключена и вход под ней не заблокирован через групповые политики). В Windows XP и Windows Server 2003 на экране входа в систему имелся раскрывающийся список «Вход в систему», в котором можно было выбрать в какой домен вы хотите войти, либо, если нужно зайти под локальной учетной, для этого нужно выбрать пункт «Этот компьютер» — @Computer_Name (this computer) .

Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.

Type domain name\domain user name to sign in to another domain.
Type РKZ-ТZI01K1\local user name to sign in to this PC only (not a domain )

Чтобы войти в другой домен, введите имя_домена\имя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1\локальное_имя_пользователя

Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1\Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.

К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.

Секрет в том, что Windows использует символ точки (.) в качестве псевдонима для локального компьютера. Поэтому, если в поле с именем пользователя поставить .\ , то система будет считать, что вы хотите авторизоваться под локальной учеткой. Соответственно изменится поле Sign in to, вместо имени домена там уже будет указано имя данного компьютера.

Теперь после .\ осталось набрать имя локальной учетной записи и пароль.

Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.

Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.

Windows домен имя пользователя

Как узнать имена учетных записей Администраторов домена и не только-01

Всем привет сегодня хочу рассказать как узнать имена учетных записей Администраторов домена и не только. Для того чтобы все это осуществить достаточно быть пользователем домена. Как это не странно, но в Active Directory имена администраторов не являются конфиденциальной информацией, как показал эксперимент вообще можно вытащить состав любой группы главное правильно указать ее название.

Вообще честно не знаю почему Microsoft дала такую возможность предоставлять информацию обычному пользователю, который может быть не добросовестным хакером. Для того чтобы в английской версии узнать кто состоит в группе администраторов домена то вводим вот такую команду.

Как узнать имена учетных записей Администраторов домена и не только-02

Чтобы в русской версии узнать кто у вас администратор домена вводим команду

Вы получите список администраторов домена

Как узнать имена учетных записей Администраторов домена и не только-03

Теперь давайте посмотрим Администраторов предприятия.

Как узнать имена учетных записей Администраторов домена и не только-04

Вот так вот просто узнать логины и членов любой группы в Active Directory.

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Курс по сетям

Что такое Active Directory и LDAP?

URL и URI — в чем различие?

Погружение в Iptables – теория и настройка

Google – советы по поиску информации

Кто даст вам лучшее облачное хранилище?

NMS системы – полный контроль

Безопасный поиск searX

Еженедельный дайджест

Создание доменного пользователя и ввод компьютера в домен

4 минуты чтения

В прошлой статье мы создали и настроили контроллер домена (DC), настало время наполнить наш домен пользователями и рабочими станциями.

Обучайся в Merion Academy

Пройди курс по сетевым технологиям

Начать

Конфигурация

Открываем Server Manager и выбираем опцию Roles.

Из доступных ролей выбираем недавно установленную — Active Directory Domain Services, далее Active Directory Users and Computers и находим созданный нами домен (в нашем случае — merionet.loc). В выпадающем списке объектов находим Users и кликаем по данной опции правой кнопкой мыши и выбираем New → User.

Отметим также, что вы можете создать свою группу и добавлять пользователей туда.

Перед нами откроется окно добавления нового пользователя. Заполняем учетные данные нового пользователя. Как правило, в корпоративных доменах, принято создавать именные учетные записи для того, чтобы в дальнейшем можно было отслеживать действия конкретного пользователя в целях безопасности и однозначно его идентифицировать.

Далее, нас просят ввести пароль для новой учетной записи и выбрать дополнительные опции:

• User must change password at next logon — при включении данной опции, пользователя попросят сменить пароль при следующем логине;
• User cannot change password — пользователь не сможет самостоятельно изменить свой пароль;
• Password never expires — срок действия пароля пользователя никогда не истечет;
• Account is disabled — учетная запись пользователя будем отключена и он не сможет залогиниться с доменными учетными данными, даже если они будут введены верно.

После того, как все данные будут заполнены, нас попросят подтвердить создание нового объекта.

Отлично, новый пользователь домена создан. Теперь нам нужно зайти на компьютер пользователя и ввести его в домен. Для этого логинимся на компьютер пользователя с локальными учетными данными и открываем Свойства компьютера. Как видите, наш компьютер пока еще не стал частью домена, он ещё является частью рабочей группы WORKGROUP/. Убедитесь, что компьютер пользователя имеет версию Windows не ниже Professional. Чтобы ввести его в домен выбираем Change Settings

Важно! Поддержка доменной инфраструктуры начинается только с версии Windows Professional. На версиях Starter, Home Basic, Home Premium подключиться к домену не получится!

Далее напротив опции «To rename this computer or change its domain or workgroup, click Change» нажимаем собственно Change

Важно! Для того, чтобы наш компьютер узнал о существующем контроллере домена нам нужно указать ему на DNS сервер, который имеет такую информацию. В нашем случае – контроллер домена является по совместительству DNS сервером для пользовательских машин. Поэтому мы указываем контроллер домена в качестве DNS сервера для настраиваемого компьютера.

Далее в открывшемся окне в опции «Member of» вместо Workgroup выбираем Domain и вводим имя нашего домена (в нашем случае – merionet.loc)

Далее нас попросят ввести учетные данные для учетной записи, которая уже создана и имеет право присоединиться к домену. Вводим учетные данные ранее созданного пользователя.

Если все было сделано корректно, то мы увидим сообщение, свидетельствующее о том, что наш компьютер теперь является частью домена (в нашем случае — merionet.loc)

После чего, нас попросят перезагрузить компьютер для применения изменений.

После перезагрузки, мы можем логиниться уже с учетными данными доменного пользователя.

Есть ли разница между DOMAIN \ username и username@domain.local?

Я пытаюсь устранить неясную ошибку аутентификации и мне нужна дополнительная справочная информация.

Есть ли разница между тем, как Windows , (и программы , такие как Outlook) процесс DOMAIN\username и username@domain.local ?

Каковы правильные условия для этих двух форматов имени пользователя?

Изменить : В частности, есть ли различия в том, как Windows аутентифицирует два формата имени пользователя?

Предполагая, что у вас есть среда Active Directory:

Я считаю, что формат обратной косой черты DOMAIN \ USERNAME будет искать домен DOMAIN для пользовательского объекта, имя учетной записи SAM которого равно USERNAME.

Имя пользователя @ домен в формате UPN будет искать в лесу объект пользователя, имя принципа пользователя которого — имя пользователя @ домен.

Теперь обычно учетная запись пользователя с именем учетной записи SAM для USERNAME имеет UPN-имя USERNAME @ DOMAIN, поэтому любой формат должен находить одну и ту же учетную запись, по крайней мере, при условии, что AD полностью работоспособен. Если есть проблемы с репликацией или вы не можете получить доступ к глобальному каталогу, формат обратной косой черты может работать в тех случаях, когда формат UPN не удастся. Могут также существовать (ненормальные) условия, при которых применяется обратное, например, если для целевого домена невозможно достичь контроллеров домена, например.

Однако: вы также можете явно настроить учетную запись пользователя, чтобы иметь имя участника-пользователя, компонент имени пользователя которого отличается от имени учетной записи SAM, а компонент домена отличается от имени домена.

На вкладке «Учетная запись» в «Active Directory — пользователи и компьютеры» отображается имя участника-пользователя под заголовком «Имя входа пользователя» и имя учетной записи SAM под заголовком «Имя входа пользователя (до Windows 2000)». Поэтому, если у вас возникли проблемы с конкретными пользователями, я бы проверил, нет ли расхождений между этими двумя значениями.

Примечание: возможно, что дополнительные поиски будут выполнены, если поиск, который я описал выше, не найдет учетную запись пользователя. Например, возможно, указанное имя пользователя преобразуется в другой формат (очевидным образом), чтобы проверить, соответствует ли это. Также должна быть какая-то процедура поиска учетных записей в доверенных доменах, которые не находятся в лесу. Я не знаю, где / задокументировано ли точное поведение.

Чтобы еще больше усложнить устранение неполадок, клиенты Windows по умолчанию будут кэшировать информацию об успешных интерактивных входах в систему, так что вы сможете войти в систему на том же клиенте, даже если ваша учетная запись пользователя в Active Directory недоступна.

Учетные записи Active Directory Active Directory Accounts

Относится к: Applies to

• Windows Server 2016 Windows Server 2016

Операционные системы Windows Server устанавливаются с локальными учетными записями по умолчанию. Windows Server operating systems are installed with default local accounts. Кроме того, можно создавать учетные записи пользователей, чтобы соответствовать требованиям организации. In addition, you can create user accounts to meet the requirements of your organization. Эта справочная тема для ИТ-специалистов описывает локальные учетные записи Windows Server по умолчанию, которые хранятся локально на контроллере домена и используются в Active Directory. This reference topic for the IT professional describes the Windows Server default local accounts that are stored locally on the domain controller and are used in Active Directory.

В этой справочной статье не описываются локальные учетные записи пользователей по умолчанию для одного из членов или автономных серверов или клиента Windows. This reference topic does not describe default local user accounts for a member or standalone server or for a Windows client. Дополнительные сведения см. в местных учетных записях. For more information, see Local Accounts.

Об этом разделе About this topic

В этом разделе описывается следующее: This topic describes the following:

Локальные учетные записи по умолчанию в Active Directory Default local accounts in Active Directory

Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера домена Windows Server и создания домена. Default local accounts are built-in accounts that are created automatically when a Windows Server domain controller is installed and the domain is created. Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory. These default local accounts have counterparts in Active Directory. Эти учетные записи также имеют доступ к домену и полностью отделены от локальных учетных записей пользователей по умолчанию для отдельного или отдельного сервера. These accounts also have domain-wide access and are completely separate from the default local user accounts for a member or standalone server.

Вы можете назначить права и разрешения для локальных учетных записей по умолчанию на определенном контроллере домена и только на этом контроллере домена. You can assign rights and permissions to default local accounts on a particular domain controller, and only on that domain controller. Эти учетные записи являются локальными для домена. These accounts are local to the domain. После установки локальных учетных записей по умолчанию они хранятся в контейнере Пользователи в active Directory Users and Computers. After the default local accounts are installed, they are stored in the Users container in Active Directory Users and Computers. Лучше всего хранить локальные учетные записи по умолчанию в контейнере Пользователя и не пытаться переместить эти учетные записи, например, в другое организационное подразделение (OU). It is a best practice to keep the default local accounts in the User container and not attempt to move these accounts, for example, to a different organizational unit (OU).

Локальные учетные записи в контейнере Пользователей по умолчанию включают: Администратор, Гость и KRBTGT. The default local accounts in the Users container include: Administrator, Guest, and KRBTGT. Учетная запись HelpAssistant устанавливается при установке сеанса удаленной помощи. The HelpAssistant account is installed when a Remote Assistance session is established. В следующих разделах описываются локальные учетные записи по умолчанию и их использование в Active Directory. The following sections describe the default local accounts and their use in Active Directory.

В основном локальные учетные записи по умолчанию делают следующее: Primarily, default local accounts do the following:

Позвольте домену представлять, идентифицировать и проверить подлинность удостоверения пользователя, назначенного учетной записи с помощью уникальных учетных данных (имя пользователя и пароль). Let the domain represent, identify, and authenticate the identity of the user that is assigned to the account by using unique credentials (user name and password). Для обеспечения максимальной безопасности лучше назначить каждого пользователя одной учетной записи. It is a best practice to assign each user to a single account to ensure maximum security. Нескольким пользователям не разрешается делиться одной учетной записью. Multiple users are not allowed to share one account. Учетная запись пользователя позволяет пользователю войти в компьютеры, сети и домены с уникальным идентификатором, который может быть аутентификацией компьютера, сети или домена. A user account lets a user sign in to computers, networks, and domains with a unique identifier that can be authenticated by the computer, network, or domain.

Авторизуйте (предоставляете или отказывайте) доступ к ресурсам. Authorize (grant or deny) access to resources. После проверки подлинности учетных данных пользователя пользователь получает право на доступ к сетевым и доменным ресурсам на основе явно за присвоенных пользователем прав на ресурс. After a user’s credentials have been authenticated, the user is authorized to access the network and domain resources based on the user’s explicitly assigned rights on the resource.

Аудит действий, которые осуществляются в учетной записи пользователя. Audit the actions that are carried out on a user account.

В Active Directory локальные учетные записи по умолчанию используются администраторами для управления доменными и серверами-членами непосредственно и с выделенных административных рабочих станций. In Active Directory, default local accounts are used by administrators to manage domain and member servers directly and from dedicated administrative workstations. Учетные записи Active Directory предоставляют доступ к сетевым ресурсам. Active Directory accounts provide access to network resources. Учетные записи пользователей Active Directory и Computer могут представлять физическое лицо, например компьютер или лицо, или выступать в качестве специальных учетных записей служб для некоторых приложений. Active Directory User accounts and Computer accounts can represent a physical entity, such as a computer or person, or act as dedicated service accounts for some applications.

Каждая локализованная учетная запись по умолчанию автоматически присваивается группе безопасности, которая предварительно назначена с соответствующими правами и разрешениями для выполнения определенных задач. Each default local account is automatically assigned to a security group that is preconfigured with the appropriate rights and permissions to perform specific tasks. Группы безопасности Active Directory собирают учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые подразделения. Active Directory security groups collect user accounts, computer accounts, and other groups into manageable units. Дополнительные сведения см. в группе безопасности Active Directory. For more information, see Active Directory Security Groups.

В контроллере домена Active Directory каждая локализованная учетная запись по умолчанию называется основной службой безопасности. On an Active Directory domain controller, each default local account is referred to as a security principal. Принцип безопасности — это объект каталога, который используется для обеспечения безопасности и управления службами Active Directory, которые предоставляют доступ к ресурсам контроллера домена. A security principal is a directory object that is used to secure and manage Active Directory services that provide access to domain controller resources. Принцип безопасности включает такие объекты, как учетные записи пользователей, учетные записи компьютеров, группы безопасности или потоки или процессы, которые работают в контексте безопасности учетной записи пользователя или компьютера. A security principal includes objects such as user accounts, computer accounts, security groups, or the threads or processes that run in the security context of a user or computer account. Дополнительные сведения см. в дополнительных сведениях. For more information, see Security Principals.

Директор по безопасности представлен уникальным идентификатором безопасности (SID). В разделах ниже описаны СИД, связанные с каждой из локальных учетных записей по умолчанию в Active Directory. A security principal is represented by a unique security identifier (SID).The SIDs that are related to each of the default local accounts in Active Directory are described in the sections below.

Некоторые локальные учетные записи по умолчанию защищены фоновой процедурой, которая периодически проверяет и применяет определенный дескриптор безопасности. Some of the default local accounts are protected by a background process that periodically checks and applies a specific security descriptor. Дескриптор безопасности — это структура данных, которая содержит сведения о безопасности, связанные с защищенным объектом. A security descriptor is a data structure that contains security information that is associated with a protected object. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из локальных учетных записей или групп по умолчанию перезаписывается с защищенными настройками. This process ensures that any successful unauthorized attempt to modify the security descriptor on one of the default local accounts or groups is overwritten with the protected settings.

Этот дескриптор безопасности присутствует на объекте AdminSDHolder. This security descriptor is present on the AdminSDHolder object. Если требуется изменить разрешения в одной из групп администраторов службы или в любой из учетных записей ее членов, необходимо изменить дескриптор безопасности объекта AdminSDHolder, чтобы обеспечить его последовательное использование. If you want to modify the permissions on one of the service administrator groups or on any of its member accounts, you must modify the security descriptor on the AdminSDHolder object to ensure that it is applied consistently. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, которые применяются к всем защищенным учетным записям. Be careful when making these modifications, because you are also changing the default settings that are applied to all of your protected accounts.

Учетная запись администратора Administrator account

Учетная запись администратора — это учетная запись по умолчанию, используемая во всех версиях операционной системы Windows на каждом компьютере и устройстве. The Administrator account is a default account that is used in all versions of the Windows operating system on every computer and device. Учетная запись администратора используется системным администратором для задач, которые требуют административных учетных данных. The Administrator account is used by the system administrator for tasks that require administrative credentials. Эта учетная запись не может быть удалена или заблокирована, но ее можно переименовать или отключить. This account cannot be deleted or locked out, but the account can be renamed or disabled.

Учетная запись администратора предоставляет пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся на локальном сервере. The Administrator account gives the user complete access (Full Control permissions) of the files, directories, services, and other resources that are on that local server. Учетная запись администратора может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений на управление доступом. The Administrator account can be used to create local users, and assign user rights and access control permissions. Администратор также может использовать для управления локальными ресурсами в любое время, просто изменив права и разрешения пользователей. Administrator can also be used to take control of local resources at any time simply by changing the user rights and permissions. Несмотря на то, что файлы и каталоги могут быть временно защищены от учетной записи администратора, учетная запись администратора может в любое время контролировать эти ресурсы, изменяя разрешения на доступ. Although files and directories can be protected from the Administrator account temporarily, the Administrator account can take control of these resources at any time by changing the access permissions.

Членство в группе учетных записей Account group membership

Учетная запись Администратора имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи администратора, позднее в этом разделе. The Administrator account has membership in the default security groups as described in the Administrator account attributes table later in this topic.

Группы безопасности гарантируют, что вы можете управлять правами администратора, не меняя каждую учетную запись администратора. The security groups ensure that you can control administrator rights without having to change each Administrator account. В большинстве случаев не нужно менять основные параметры этой учетной записи. In most instances, you do not have to change the basic settings for this account. Однако может потребоваться изменить его расширенные параметры, например членство в определенных группах. However, you might have to change its advanced settings, such as membership in particular groups.

Вопросы безопасности Security considerations

После установки операционной системы сервера первой задачей является безопасное настройка свойств учетной записи администратора. After installation of the server operating system, your first task is to set up the Administrator account properties securely. Это включает настройку особо длинного и прочного пароля и обеспечение безопасности параметров профилей удаленного управления и служб удаленного рабочего стола. This includes setting up an especially long, strong password, and securing the Remote control and Remote Desktop Services profile settings.

Учетная запись администратора также может быть отключена, если она не требуется. The Administrator account can also be disabled when it is not required. Переименование или отключение учетной записи администратора затрудняет попытку злоумышленников получить доступ к учетной записи. Renaming or disabling the Administrator account makes it more difficult for malicious users to try to gain access to the account. Однако даже если учетная запись администратора отключена, ее можно использовать для получения доступа к контроллеру домена с помощью безопасного режима. However, even when the Administrator account is disabled, it can still be used to gain access to a domain controller by using safe mode.

На контроллере домена учетная запись администратора становится учетной записью администратора домена. On a domain controller, the Administrator account becomes the Domain Admin account. Учетная запись администратора домена используется для входов в контроллер домена, и для этой учетной записи требуется надежный пароль. The Domain Admin account is used to sign in to the domain controller and this account requires a strong password. Учетная запись администратора домена предоставляет доступ к ресурсам домена. The Domain Admin account gives you access to domain resources.

Примечание. Note
При начальной установке контроллера домена можно войти и использовать Диспетчер сервера для установки учетной записи локального администратора с правами и разрешениями, которые необходимо назначить. When the domain controller is initially installed, you can sign in and use Server Manager to set up a local Administrator account, with the rights and permissions you want to assign. Например, при первой установке можно использовать учетную запись локального администратора для управления операционной системой. For example, you can use a local Administrator account to manage the operating system when you first install it. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, вам не нужно использовать учетную запись после установки. By using this approach, you can set up the operating system without getting locked out. Generally, you do not need to use the account after installation. Создать локальные учетные записи пользователей на контроллере домена можно только до установки служб домена Active Directory, а не после этого. You can only create local user accounts on the domain controller, before Active Directory Domain Services is installed, and not afterwards.

При установке Active Directory на первом контроллере домена в домене создается учетная запись администратора для Active Directory. When Active Directory is installed on the first domain controller in the domain, the Administrator account is created for Active Directory. Учетная запись администратора — это самая мощная учетная запись в домене. The Administrator account is the most powerful account in the domain. Ему дается доступ на всем домене и административные права для администрирования компьютера и домена, и он обладает самыми обширными правами и разрешениями над доменом. It is given domain-wide access and administrative rights to administer the computer and the domain, and it has the most extensive rights and permissions over the domain. Человек, устанавливавший службы домена Active Directory на компьютере, создает пароль для этой учетной записи во время установки. The person who installs Active Directory Domain Services on the computer creates the password for this account during the installation.

Атрибуты учетной записи администратора Administrator account attributes