Работа с локальной учётной записью в Windows [CMD]

Под учетной записью локального администратора потребуется привести саму запись к общему виду, включить ПК в домен LOCAL.RSU.EDU.RU и задать права только для доменной учетной на папку «temp» во избежание проблем с наследованием прав при переносе файлов из «temp» в профиль доменной учетной записи.

Выводы

Начатое в предыдущей статье знакомство с функционалом PowerShell модуля DSInternals было продолжено весьма интересным кейсом — «Сброс пароля администратора домена Active Directory».  В рамках его были продемонстрированы практические шаги по включению и сбросу пароля аккаунта администратор (Administrator) средствами PowerShell модуля DSInternals.

В случае если контроллер домена не виртуальная машина и его диск невозможно подключить к другому серверу, необходимо создавать загрузочный диск с модулем DSInternals. Шаги по подготовке такого диска можно найти в статье — «Создание загрузочного диска WinPE с модулем DSInternals»

Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.

Управление пользователями

Какие возможности по управлению учётными записями локальных пользователей нам доступны в Как и в других системных настройках Windows, сами обладая правами администратора, можем пользователей удалять, переименовывать, менять им пароль, менять тип «учётки» со стандартного пользователя на администратора и наоборот. Для использования этих возможностей жмём контекстное меню на нужном пользователе и выбираем что нам надо.

Управление пользователями

Оснастка позволяет удалять самого пользователя, но она не производит удаление файлов его пользовательского профиля на диске С. Эти файлы продолжают храниться в его профильной папке по пути «C:\Users». Если удалённому пользователю ничего не нужно из содержимого его профильной папки, можем зайти по этому пути и удалить эту папку, дабы она не занимала место на диске С.

Управление пользователями

Есть в и такие функции, которые нам недоступны при использовании иных системных настроек Windows. В свойствах пользователя, в первой вкладке «Общие» у нас будут такие возможности как: установка требования смены пароля при новом заходе пользователя в систему, установка запрета смены пароля (для локальных «учёток»), задействование срока ограничения пароля, отключение и разблокировка «учётки».

Управление пользователями

С первыми двумя возможностями всё и так ясно, а что значат три последние? Если не будет активна опция неограниченного срока действия пароля, пользователь вынужден будет его менять через каждые 42 дня. При необходимости эти 42 дня можно сменить на любой иной срок, но делается это уже в локальных групповых политиках, в их редакторе .

Управление пользователями

Отключение «учётки» — это её временное удаление с экрана блокировки, из меню «Пуск», из видимости прочего системного функционала и сторонних программ. Но отключённый пользователь на удаляется навсегда: его профильная папка хранится на диске С, а учётная запись может быть включена в любой нужный момент.

Управление пользователями

Разблокировка «учётки» — это снятие её блокировки в результате достижения граничного числа попыток ввода пароля за определённый промежуток времени при входе пользователя в систему. По умолчанию это 3 попытки в течение 30 минут. Если за это время будет произведено больше попыток ввода неверного пароля, система заблокирует возможность новых попыток входа на какое-то время, по умолчанию это 30 минут. И вот чтобы заблокированный пользователь мог совершить очередную попытку входа в систему раньше времени, в его свойствах в оснастке любой другой пользователь-администратор может убрать галочку «Заблокировать учётную запись». При необходимости настройки блокировки учётных записей можно изменить, и это делается, опять же, в редакторе .

Управление пользователями

Особенности при работе с учётными записями Microsoft

Возможности по управлению учётными записями применимы как к локальным, так и к тем, что в Windows 8.1 и 10 подключаются к интернет-аккаунту Microsoft. Последние в любом случае являют собой первично локальную «учётку», а аккаунт Microsoft – это уже как дополнительные возможности. Не сможем выполнить лишь те операции, которые по условию возможны только в веб-интерфейсе личного аккаунта Microsoft пользователя.

Читайте также:  Как закрыть компьютер от удаленного доступа

Настройка сервера

Настройка Samba-сервера выполняется в несколько этапов. Так как все данные пользователей и машин хранятся в LDAP, вначале неободимо выполнить настройку OpenLDAP-сервера, а затем — настройку LDAP для хранения учётных записей пользователей Linux. Это необходимо для работы Linux-клиентов. После этого можно настроить Samba-сервер.

Настройка LDAP

Настройте LDAP-сервер согласно руководству.

Настройка Samba

Перед настройкой Samba-сервера настройте LDAP для хранения учётных записей Unix-пользователей. Для этого выполните:

cl-setup unix

* ПРЕДУПРЕЖДЕНИЕ: Выполнение этой программы изменит конфигурационные файлы и базу данных сервиса LDAP. Если вы готовы продолжить выполнение программы, введите 'yes', если нет — 'no': yes * Добавлен ldif файл … [ ok ] * Unix сервис сконфигурирован … [ ok ]

Для настройки Samba-сервера выполните:

cl-setup [параметры] samba

* ПРЕДУПРЕЖДЕНИЕ: Выполнение этой программы изменит конфигурационные файлы Samba сервиса. Если вы готовы продолжить выполнение программы, введите 'yes', если нет — 'no': yes * Добавлен ldif файл … [ ok ] * Запускается Samba … [ ok ] * Пользователь client добавлен в Unix сервис * Пользователь client добавлен в Samba сервис * Пользователь admin добавлен в Unix сервис * Пользователь admin добавлен в Samba сервис * Samba сервис сконфигурирован … [ ok ]

В качестве параметров вы можете указать netbios и workgroup.

  • -n name — устанавливает имя NetBIOS, под которым будет работать Samba сервер. По умолчанию оно устанавливается равным первому компоненту DNS-имени хоста.
  • -w workgroup — имя домена или рабочей группы NT для компьютеров, которые будут получать доступ к этому серверу.

Задайте пароль администратора (пользователь с логином admin):

cl-passwd —smb admin samba

Новый пароль: Повторите новый пароль: * Пароль пользователя admin Samba сервиса изменен

Заметка

Пользователь admin используется только для ввода клиентского компьютера с ОС Windows в домен. Admin не имеет домашней директории.

Если нужен администратор домена для управления компьютерами на Windows, создайте нового пользователя и включите его в доменную группу Domain Admins.

Пример создания администратора домена:

cl-useradd -p —gid «Domain Admins» -c «Администратор домена» d_admin samba

Новый SMB пароль: Повторите новый SMB пароль: * Пользователь d_admin добавлен в Unix сервис * Пользователь d_admin добавлен в Samba сервис

Читайте также:  0х80070643 в процессе установки произошла неисправимая ошибка

Добавление и удаление пользователей

Для работы с пользователями используйте аналоги стандартных Unix-команд: cl-useradd, cl-userdel, cl-usermod, cl-passwd, cl-groupadd, cl-groupdel, cl-groupmod. Синтаксис этих команд будет во многом совпадать с одноименными системными утилитами.

Для примера добавьте пользователя test и задайте ему пароль:

cl-useradd test samba

* Пользователь test добавлен в Unix сервис * Пользователь test добавлен в Samba сервисcl-passwd test samba

Новый пароль: Повторите новый пароль: * Пароль пользователя Unix сервиса изменен * Пароль пользователя test Samba сервиса изменен

— Работа в «Учётные записи пользователей» [control userpasswords2]

Для того чтобы открыть оснастку «Учётные записи пользователей«, выполните действия -> Заходим в «Выполнить»[Win+R] -> Вписываем — control userpasswords2 -> Жмём «ОК«.(Рис.2.1)

Рис.2.1 — Выполнить — control userpasswords2

- Работа в

2.1. — Создание локальной учётной записи

Откроется окно — «Учётные записи пользователей«.(Рис.2.2)

Для добавления нового локального пользователя нажмите кнопку — «Добавить«.

- Работа в

Так же обратите внимание, что тут можно удалить учётную запись[выбрав учётную запись и нажав -> «Удалить«], нам это сейчас не нужно, но просто имейте ввиду.

Рис.2.2 — Учётные записи пользователей.

Откроется окно — «Добавление пользователя«.(Рис.2.3)

- Работа в

Стандартная процедура добавления пользователя.. вводим что хотим.. и жмём — «Далее«.

Рис.2.3 — Добавление пользователя.

В следующем окне просто жмём «Готово«.(Рис.2.4)

- Работа в

Рис.2.4 — Добавление пользователя.

Теперь в окне «Учётные записи пользователей«, появится наша, только что созданная учётная запись, с помощью неё уже можно логиниться в системе.

2.2. — Смена/Создание пароля учётной записи

- Работа в

В «Учётные записи пользователей«, при необходимости, можно сменить/создать пользователю пароль.

Выбираем пользователя -> Жмём «Сменить пароль«.(Рис.2.5)

Рис.2.5 — Учётные записи пользователей — Сменить пароль.

- Работа в

В открывшимся окне — «Смена пароля«, вводим и подтверждаем новый пароль пользователя -> Жмём «ОК«. (Рис.2.6)

Рис.2.6 — Вводим и подтверждаем пароль.

2.3. — Добавление пользователя в группу «Администраторы»

- Работа в

Как говорилось в начале статьи — » может понадобиться внести пользователя в любую другую группу, но мы рассмотрим добавление пользователя в группу «Администраторы«, тем самым сделаем нашего пользователя локальным администратором«.

Приступаем.

Выбираем пользователя -> Заходим в «Свойства«.(Рис.2.7)

- Работа в

Рис.2.7 — Учётные записи пользователей — Свойства.

В свойствах на вкладке «Общие«, (Рис.2.8) мы можем изменить:

  • Имя пользователя: firstdeer
  • Полное имя: firstdeer
  • Описание: можно не вводить.[оно нужно лишь, для того чтобы, не запутаться в огромном списке учётных записей]
- Работа в

Рис.2.8 — Свойства пользователя — Общие.

В свойствах на вкладке «Членство в группах«, можно указать уровень доступа, предоставляемый этому пользователю.[Внести пользователя в группу](Рис.2.9)

Сделать его обычным Пользователем, Администратором ПК, либо указать Другой уровень доступа[Гости, Пользователи удалённого рабочего стола…]

- Работа в

Как мы помним мы тут собирались сделать нашего пользователя локальным администратором, поэтому у нас два пути:

  • либо переключить радиокнопку на — «Администратор«
  • либо переключить на — «Другой» и выбрать нужную вам группу, в нашем случае — «Администраторы«
Читайте также:  Outlook: как настроить автоответчик на время отпуска?

И нажать «ОК«.

- Работа в

Рис.2.9 — Свойства пользователя — Членство в группах.

Для того чтобы изменения «Членства в группах» вступили в силу нужно перелогиниться в системе.

На этом с «Учётные записи пользователей«[control userpasswords2] заканчиваем.

- Работа в

Работа с локальной учётной записью в Windows [CMD]

Для начала нам необходимо запустить командную строку с правами администратора, для этого выполните действия -> Заходим в «Выполнить»[Win+R] -> Вписываем — cmd -> Нажимаем на клавиатуре сочетание клавиш «CTRL«+»SHIFT«+»ENTER«. Всё! Приступаем.

- Работа в

Советы по защите вашей сети

Постоянный мониторинг изменений AD, в который входит обход журналов безопасности, и включение автономного отката подозрительных модификаций, может остановить некоторые угрозы. Мониторинг, оценка уязвимостей и их исправление являются жизненно важными частями обеспечения безопасности среды AD. В случае кибер-катастрофы регулярное резервное копирование и хранение копий в автономном режиме поможет пережить кратковременный сбой и продолжительное время простоя в случае взлома AD.

В группе администраторов домена не должно быть повседневных учетных записей пользователей, единственное исключение – учетная запись администратора домена по умолчанию. Все, что требуется злоумышленнику, – это один взломанный компьютер или учетная запись пользователя, чтобы взломать всю сеть.

Скомпрометированный контроллер домена (а в большой сети может быть несколько уровней контроллеров домена) может открыть для взлома всю сеть, каждую рабочую станцию ​​и сервер. Если контроллеры домена были настроены так, чтобы разрешать доступ извне – что может быть оправдано, упрощением работы, – то преступнику будет намного легче атаковать вас. Чтобы предотвратить это, Microsoft предлагает, сделать контроллеры домена доступными только через отдельные локальные машины. Это затрудняет решение проблем поздно вечером или в выходные дни, но поможет обезопасить AD.

Наконец, избегайте отката системы после атаки, поскольку так вы увеличиваете вероятную возможность повторного заражения вредоносным ПО.

Создание новой группы.

Создать новую локальную группу безопасности можно несколькими способами:

Создание новой группы.
  • Нажимаем правой клавишей мышки на пункт дерева «Группы» или на свободное место в окне со списком групп, выбираем в меню пункт «Создать группу…»
  • Нажимаем пункт меню «Действие»«Создать группу…»

Открывается окно создания новой группы, в котором необходимо обязательно заполнить «Имя группы:» и желательно «Описание:» Имя локальной группы не должно совпадать с любым другим именем группы или пользователя на данном компьютере. Оно может содержать до 256 символов верхнего и нижнего регистров, за исключением следующих: » / \ [ ] : ; | = , + * ? < > @ Имя группы не может состоять только из точек (.) или пробелов.

Создание новой группы.

Добавить членов группы можно прямо сейчас, а можно и отложить на потом.

Для завершения создания группы нажимаем кнопку «Создать». При этом окно остается, но поля очищаются. Это сделано для множественного добавления групп. Просто закрываем это окно, если не будем добавлять другие группы.

Создание новой группы.

Вновь созданную группу можно увидеть в списке групп

Современная техника - портал Миникод