«Локальные пользователи и группы» в Windows 10

Важно! Рассматриваемая оснастка присутствует только в редакциях Pro и Enterprise!

Запуск «Локальных пользователей и групп»

Доступ к рассматриваемому элементу можно получить следующим образом:

Вызовите инструмент «Выполнить» сочетанием клавиш Win+R, введите в нём запрос lusrmgr.msc и щёлкните «ОК».

Запустится нужный инструмент.

Теперь взглянем подробнее на особенности приложения.

«Пользователи»

В данном каталоге присутствуют такие категории:

«Администратор» – встроенный аккаунт, который используется в процессе инсталляции ОС перед тем, как юзер создаст свой собственный. Полномочия данной учётки весьма обширны, плюс её нельзя никаким образом удалить. Она пригодится в случае, когда в систему необходимо внести серьёзные изменения, но обычного пользователя-администратора для этой цели недостаточно.

Читайте также: Использование встроенной учётной записи администратора Windows 10

«Гость» — второй аккаунт по умолчанию, присутствующий в указанном каталоге. Из названия элемента ясно, каково его предназначение – это гостевая учётка, ограниченная в правах. Данный аккаунт задействуется для разового использования, и по умолчанию отключен из-за возможной угрозы безопасности.

«WDAGUtilityAccount» — это запись, используемая Защитником Windows при открытии небезопасных сайтов или приложений, чтобы не подвергать опасности основное пространство. Если вы не совершали никаких манипуляций со встроенным в «десятку» антивирусом, WDAGUtilityAccount активен и задействуется.

Читайте также: Отключение Защитника в Windows 10

«Пользователь» — учётка, созданная при первичной настройке системы.

«HelpAssistant» — временная запись, которая используется для создания сеанса удаленной помощи. Ею управляет служба Remote Desktop Help Session Manager.

«Группы»

В каталоге «Группы» записей намного больше – они обозначают категории, разграниченные в правах и выполняемых функциях. В этой директории обычно присутствуют следующие элементы:

• «Администраторы» – основная группа, члены которой имеют полный доступ к управлению операционной системой, соответственно, добавлять к ней новые учётки стоит с осторожностью.
• «Администраторы Hyper-V» – здесь находятся записи, которым разрешен доступ к виртуальной машине Hyper-V.

Читайте также: Виртуальная машина в Windows 10

«Владельцы устройства» – аккаунты из этой категории по своим полномочиям дублируют вариант «Администраторы».

«Гости» – название говорит само за себя: сюда входят гостевые учётные записи.

«Криптографические операторы» – пользовательские аккаунты из этого раздела способны выполнять связанные с криптографией действия, например, с цифровыми подписями.

«Операторы архива» – интересная категория, поскольку записи, которые в неё входят, способны обходить системные ограничения доступа, но только в целях создания точек восстановления или резервного копирования.

Читайте также: Создание точек восстановления Windows 10

«Операторы настройки сети» – записям из этой категории разрешено управлять подключениями к сетям.

«Опытные пользователи» – специфичный вариант, который существует для обеспечения совместимости. Дело в том, что эта категория в предыдущих версиях Виндовс обладала ограниченными административными правами для работы с некоторыми приложениями. В десятой редакции, в целях безопасности, редактирование этой группы запрещено, однако учётки в неё помещаются автоматически, если используется одно из тех самых специфичных приложений.

«Пользователи» – самый большой раздел, в который входят все пользовательские учётные записи.

Остальные позиции представляют собой системные категории, с которыми рядовой юзер навряд ли столкнётся.

Добавление нового пользователя

Посредством рассматриваемой оснастки можно добавить новую учётную запись. Процедура описана одним из наших авторов, рекомендуем прочитать статью по ссылке далее.

Присоединение пользователя к группе

Редактирование группы происходит по похожему алгоритму:

Выделите одиночным кликом ЛКМ категорию, после чего воспользуйтесь вариантами «Действие» – «Добавить пользователя в группу».

В окне свойств группы кликните по кнопке «Добавить».

Укажите имя аккаунта в блоке «Введите имена выбираемых объектов», после чего щёлкните «Проверить имена».

Под названием должно появиться подчёркивание – это означает, что объект распознан и будет присоединён.

По возвращении в окно свойств вы увидите имя добавленной учётки.

Как видим, действительно ничего сложного.

Теперь вам известно, что собой представляет оснастка «Локальные пользователи и группы» в Windows 10.

Создание группы безопасности пользователей в системе Windows

Учетная запись пользователя Windows может входить в несколько групп. Наиболее распространенные группы пользователей – это стандартная группа и группа администраторов, существуют и другие.

Для обозначения учетной записи часто используется название группы пользователей, в которую он входит. Например, учетная запись входит в стандартную группы пользователей, называется стандартной учетной записью.

С помощью учетной записи администратора можно создать собственные группы пользователей, переместить учетные записи из одной группы в другую, а также добавить или удалить учетные записи, которые входят в разные группы.

Создав собственную группу пользователей, можно определять, какие права ей назначить.

Создание группы пользователей

Эти шаги нельзя выполнить в версиях Windows 7 Starter, Windows 7 Home Basic и Windows 7 Home Premium.

1. Откройте консоль управления MMC.
2. В левой области выберите пункт Локальные пользователи и группы.

Если оснастка Локальные пользователи и группы не отображается, возможно, эту оснастку не включили в консоли управления ММС.

Чтобы добавить её, выполните следующие действия:

1. В окне консоли управления MМС меню Файл выберите команду Добавить / удалить оснастку.
2. Выберите Локальные пользователи и группы и нажмите кнопку Добавить .
3. Щелкните Локальный компьютер и нажмите кнопку Готово .
4. Нажмите кнопку ОК .

Нажмите кнопку Добавить и введите имя учетной записи пользователя.

Нажмите кнопку Проверить имена и нажмите кнопку ОК .

Нажмите кнопку Создать .

Сведения о добавлении учетной записи к определенной группе, см. Добавление учетной записи в группу.

Группа безопасности «Защищенные пользователи» Protected Users Security Group

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом разделе для ИТ-специалистов описывается группа безопасности Active Directory «Защищенные пользователи» и объясняются принципы ее работы. This topic for the IT professional describes the Active Directory security group Protected Users, and explains how it works. Эта группа появилась в контроллерах домена Windows Server 2012 R2. This group was introduced in Windows Server 2012 R2 domain controllers.

Обзор Overview

Эта группа безопасности разработана как часть стратегии управления раскрытием учетных данных в рамках предприятия. This security group is designed as part of a strategy to manage credential exposure within the enterprise. К учетным записям членов этой группы автоматически применяются ненастраиваемые функции защиты. Members of this group automatically have non-configurable protections applied to their accounts. По умолчанию предполагается, что членство в группе защищенных пользователей накладывает определенные ограничения и обеспечивает профилактическую защиту. Membership in the Protected Users group is meant to be restrictive and proactively secure by default. Единственный способ изменить вышеуказанные функции защиты для учетной записи — удалить учетную запись из этой группы безопасности. The only method to modify these protections for an account is to remove the account from the security group.

Учетные записи для служб и компьютеров никогда не должны быть членами группы «защищенные пользователи». Accounts for services and computers should never be members of the Protected Users group. Эта группа все равно обеспечивает неполную защиту, так как пароль или сертификат всегда доступны на узле. This group provides incomplete protection anyway, because the password or certificate is always available on the host. Проверка подлинности завершится ошибкой, так » как имя пользователя или пароль неверны » для любой службы или компьютера, добавленного в группу защищенные пользователи. Authentication will fail with the error «the user name or password is incorrect» for any service or computer that is added to the Protected Users group.

Эта глобальная группа, связанная с доменом, активирует ненастраиваемую защиту на устройствах и компьютерах с ОС Windows Server 2012 R2 и Windows 8.1 или более поздних версий для пользователей в доменах с основным контроллером домена под управлением Windows Server 2012 R2. This domain-related, global group triggers non-configurable protection on devices and host computers running Windows Server 2012 R2 and Windows 8.1 or later for users in domains with a primary domain controller running Windows Server 2012 R2 . Это значительно сокращает объем используемой по умолчанию памяти для учетных данных при входе пользователей на компьютеры с этими защитой. This greatly reduces the default memory footprint of credentials when users sign-in to computers with these protections.

Дополнительные сведения см. в разделе как работает группа защищенных пользователей в этой статье. For more information, see How the Protected Users group works in this topic.

Требования к группе защищенных пользователей Protected Users group requirements

Требования для обеспечения защиты устройств для членов группы «защищенные пользователи» включают: Requirements to provide device protections for members of the Protected Users group include:

Глобальная группа безопасности «Защищенные пользователи» реплицируется на все контроллеры домена в домене учетной записи. The Protected Users global security group is replicated to all domain controllers in the account domain.

По умолчанию добавлена поддержка Windows 8.1 и Windows Server 2012 R2. Windows 8.1 and Windows Server 2012 R2 added support by default. Консультационная рекомендация корпорации Майкрософт по безопасности 2871997 добавляет поддержку Windows 7, windows Server 2008 R2 и windows Server 2012. Microsoft Security Advisory 2871997 adds support to Windows 7, Windows Server 2008 R2 and Windows Server 2012.

Для членов группы защищенных пользователей действуют следующие требования к защите на стороне контроллера домена. Requirements to provide domain controller protection for members of the Protected Users group include:

• Пользователи должны находиться в доменах, которые имеют режим работы домена Windows Server 2012 R2 или более поздней версии. Users must be in domains which are Windows Server 2012 R2 or higher domain functional level.

Добавление глобальной группы безопасности для защищенных пользователей в домены нижнего уровня Adding Protected User global security group to down-level domains

Контроллеры домена под управлением операционной системы, предшествующей Windows Server 2012 R2, могут поддерживать Добавление членов в новую защищенную группу безопасности пользователей. Domain controllers that run an operating system earlier than Windows Server 2012 R2 can support adding members to the new Protected User security group. Это позволяет пользователям воспользоваться преимуществами защиты устройств перед обновлением домена. This allows the users to benefit from device protections before the domain is upgraded.

Контроллеры домена не будут поддерживать защиту домена. The domain controllers will not support domain protections.

Группу защищенных пользователей можно создать, передавая роль эмулятора основного контроллера домена на контроллер домена, работающий под управлением Windows Server 2012 R2. Protected Users group can be created by transferring the primary domain controller (PDC) emulator role to a domain controller that runs Windows Server 2012 R2. После этого объект группы реплицируется на другой контроллер домена; роль эмулятора может быть передана доменному контроллеру под управлением более ранних версий Windows Server. After that group object is replicated to other domain controllers, the PDC emulator role can be hosted on a domain controller that runs an earlier version of Windows Server.

Свойства AD для группы защищенных пользователей Protected Users group AD properties

В следующей таблице описываются свойства группы защищенных пользователей. The following table specifies the properties of the Protected Users group.

attribute Attribute	Значение Value
Известный SID/RID Well-known SID/RID	S-1-5-21—525 S-1-5-21—525
Тип Type	Глобальный домен Domain Global
Контейнер по умолчанию Default container	CN=Пользователи, DC=, DC= CN=Users, DC=, DC=
элементы по умолчанию; Default members	None None
Является членом по умолчанию. Default member of	None None
Защита через ADMINSDHOLDER? Protected by ADMINSDHOLDER?	Нет No
Безопасно ли выходить за пределы контейнера по умолчанию? Safe to move out of default container?	Да Yes
Безопасно ли делегировать управление этой группой не администраторам службы? Safe to delegate management of this group to non-service admins?	Нет No
Права пользователя по умолчанию Default user rights	Права пользователя по умолчанию отсутствуют. No default user rights

Как работает группа защищенных пользователей How Protected Users group works

В этом разделе описывается принцип работы группы защищенных пользователей, когда This section explains how the Protected Users group works when:

Подписано на устройстве Windows Signed in a Windows device

Домен учетной записи пользователя находится на функциональном уровне домена Windows Server 2012 R2 или более поздней версии User account domain is in a Windows Server 2012 R2 or higher domain functional level

Защита устройств для пользователей, выполнивших вход с защитой Device protections for signed in Protected Users

Если пользователь, выполнивший вход, входит в группу «защищенные пользователи», применяются следующие средства защиты: When the signed in user is a member of the Protected Users group the following protections are applied:

Делегирование учетных данных (CredSSP) не будет кэшировать учетные данные обычного текста пользователя, даже если параметр Разрешить делегирование учетных данных по умолчанию групповая политика включен. Credential delegation (CredSSP) will not cache the user’s plain text credentials even when the Allow delegating default credentials Group Policy setting is enabled.

Начиная с Windows 8.1 и Windows Server 2012 R2, дайджест Windows не кэширует учетные данные пользователя в виде обычного текста даже при включенном дайджесте Windows. Beginning with Windows 8.1 and Windows Server 2012 R2, Windows Digest will not cache the user’s plain text credentials even when Windows Digest is enabled.

После установки рекомендаций по безопасности Microsoft 2871997 дайджест Windows будет продолжать кэшировать учетные данные до тех пор, пока не будет настроен раздел реестра. After installing Microsoft Security Advisory 2871997 Windows Digest will continue to cache credentials until the registry key is configured. Инструкции см. в статье рекомендации по безопасности корпорации Майкрософт: Обновление для улучшения защиты учетных данных и управления: 13 мая 2014 . See Microsoft Security Advisory: Update to improve credentials protection and management: May 13, 2014 for instructions.

NTLM не будет кэшировать учетные данные пользователя в формате обычного текста или односторонний функции NT (НТОВФ). NTLM will not cache the user’s plain text credentials or NT one-way function (NTOWF).

Протокол Kerberos больше не будет создавать ключи DES и RC4. Kerberos will no longer create DES or RC4 keys. Кроме того, он не кэширует учетные данные обычного текста пользователя или долгосрочные ключи после получения первоначального TGT. Also it will not cache the user’s plain text credentials or long-term keys after the initial TGT is acquired.

Кэшированное средство проверки не создается при входе или разблокировании, поэтому автономный вход больше не поддерживается. A cached verifier is not created at sign-in or unlock, so offline sign-in is no longer supported.

После добавления учетной записи пользователя в группу «защищенные пользователи» Защита начнется при входе пользователя на устройство. After the user account is added to the Protected Users group, protection will begin when the user signs in to the device.

Защита контроллера домена для защищенных пользователей Domain controller protections for Protected Users

Учетные записи, являющиеся членами группы «защищенные пользователи», которые проходят проверку подлинности в домене Windows Server 2012 R2, не могут: Accounts that are members of the Protected Users group that authenticate to a Windows Server 2012 R2 domain are unable to:

Проходить проверку подлинности с помощью проверки подлинности NTLM. Authenticate with NTLM authentication.

Использовать шифрование DES и RC4 в предварительной проверке подлинности Kerberos. Use DES or RC4 encryption types in Kerberos pre-authentication.

Делегироваться в рамках неограниченного или ограниченного делегирования. Be delegated with unconstrained or constrained delegation.

Продлевать действие TGT Kerberos свыше исходного четырехчасового срока действия. Renew the Kerberos TGTs beyond the initial four-hour lifetime.

Ненастраиваемые параметры истечения срока действия TGT задаются для каждой учетной записи в группе защищенных пользователей. Non-configurable settings to the TGTs expiration are established for every account in the Protected Users group. Обычно контроллер домена устанавливает срок действия и период обновления TGT на основании политик домена, Максимальный срок жизни билета пользователя и Максимальный срок жизни для возобновления билета пользователя. Normally, the domain controller sets the TGTs lifetime and renewal, based on the domain policies, Maximum lifetime for user ticket and Maximum lifetime for user ticket renewal. Для группы защищенных пользователей для этих политик домена задается значение в 600 минут. For the Protected Users group, 600 minutes is set for these domain policies.

Устранение неполадок Troubleshooting

Для исправления событий, связанных с защищенными пользователями, имеется два операционных административных журнала. Two operational administrative logs are available to help troubleshoot events that are related to Protected Users. Эти новые журналы находятся в Просмотр событий и отключены по умолчанию и находятся в папке Applications and Services логс\микрософт\виндовс\аусентикатион. These new logs are located in Event Viewer and are disabled by default, and are located under Applications and Services Logs\Microsoft\Windows\Authentication.

Идентификатор события и журнал Event ID and Log	Описание Description
104 104 ProtectedUser-Client ProtectedUser-Client	Причина: пакет безопасности на клиенте не содержит учетные данные. Reason: The security package on the client does not contain the credentials. Эта ошибка попадает в журнал клиентского компьютера, когда учетная запись является членом группы безопасности «Защищенные пользователи». The error is logged in the client computer when the account is a member of the Protected Users security group. Это событие указывает, что пакет безопасности не кэширует учетные данные, необходимые для проверки подлинности на сервере. This event indicates that the security package does not cache the credentials that are needed to authenticate to the server. Содержит имя пакета, имя пользователя, имя домена и имя сервера. Displays the package name, user name, domain name, and server name.
304 304 ProtectedUser-Client ProtectedUser-Client	Причина: пакет безопасности не хранит учетные данные защищенного пользователя. Reason: The security package does not store the Protected User’s credentials. В клиенте регистрируется информационное событие, указывающее, что пакет безопасности не кэширует учетные данные пользователя для входа. An informational event is logged in the client to indicate that the security package does not cache the user’s sign-in credentials. Ожидается, что такие механизмы проверки подлинности, как дайджест (WDigest), делегирование учетных данных (CredSSP) и NTLM, не могут иметь учетных данных защищенных пользователей для входа. It is expected that Digest (WDigest), Credential Delegation (CredSSP), and NTLM fail to have sign-on credentials for Protected Users. Однако приложения могут выводить запрос на ввод учетных данных. Applications can still succeed if they prompt for credentials. Содержит имя пакета, имя пользователя и имя домена. Displays the package name, user name, and domain name.
100 100 ProtectedUserFailures-DomainController ProtectedUserFailures-DomainController	Причина: Ошибка входа NTLM для учетной записи, которая находится в группе безопасности «защищенные пользователи». Reason: An NTLM sign-in failure occurs for an account that is in the Protected Users security group. Ошибка регистрируется в журнале контроллера домена, указывая, что при проверке подлинности NTLM возникла ошибка в связи с тем, что учетная запись является членом группы безопасности «Защищенные пользователи». An error is logged in the domain controller to indicate that NTLM authentication failed because the account was a member of the Protected Users security group. Содержит имя учетной записи и имя устройства. Displays the account name and device name.
104 104 ProtectedUserFailures-DomainController ProtectedUserFailures-DomainController	Причина: для проверки подлинности Kerberos используются типы шифрования DES или RC4, и для пользователя в группе безопасности защищенных пользователей возникает ошибка входа. Reason: DES or RC4 encryption types are used for Kerberos authentication and a sign-in failure occurs for a user in the Protected User security group. Предварительная проверка подлинности Kerberos завершилась сбоем, поскольку, если учетная запись является членом группы безопасности «Защищенные пользователи», использовать шифрование DES или RC4 нельзя. Kerberos preauthentication failed because DES and RC4 encryption types cannot be used when the account is a member of the Protected Users security group. Читайте также:  Cmake linux install debian Оцените статью Вам также может понравиться Windows или Linux: Что лучше выбрать? Есть много причин выбирать между Windows и Linux, но Файл владелец изменить linux Команда Chown в Linux Chown Command in Linux (File Установка шлюза по умолчанию linux Настройка сети вручную Содержание Краткое описание Чем разбить диск для linux ИТ База знаний Курс по Asterisk Полезно — Узнать IP — Правообладателям Политика конфиденциальности Контакты