Первое утро марта выдалось настолько ярким и солнечным, что я решил непременно вытащить скучавшего в последнее время Холмса на моцион в Гайд-парк. Стоило мне подумать о друге, как от него тут же пришла телеграмма: «Ватсон, загляните ко мне днем, тут интересный случай.»
Уже через полчаса он с прищуром вручил мне ультрабук, на экране которого красовался странный запрос контроля учетных записей.
— Как вам это нравится, доктор?
[+] Оглавление
Загадка
Владелец ультрабука, некто мистер Смит, якобы ничего особенного не делал. Просто его учетная запись в Windows 10 внезапно утратила возможность запускать с полными правами программы и системные настройки.
— Как я понимаю, Холмс, других административных учетных записей в системе нет? Тяжелый случай, конечно, но можно же сбросить пароль администратора.
— Сбросить точно не получится, потому что у него учетная запись Microsoft.
— Полноте, друг мой, не придирайтесь к словам! Вы же знаете, что так можно создать другого администратора.
Детектив покивал с загадочной улыбкой и жестом пригласил меня заняться делом. Я пожал плечами, раскрыл свой верный саквояж и достал флэшку с дистрибутивом Windows 10…
Через полчаса мытарств я понял, что недооценил ситуацию. Ультрабук упорно не видел любые флэшки, в какой бы USB-порт я их не вставлял. Поэтому загрузиться в среду восстановления было невозможно. Я промокнул платком вспотевший лоб.
— Холмс, похоже, тут какая-то аппаратная неисправность — надо скопировать файлы и отнести в ремонт.
— Ватсон, скажу вам по секрету, это дело государственной важности, и у нас нет времени на починку. Нужно решить проблему сегодня! Сдаетесь?
Я развел руками.
Расследование
Холмс, будто испытывая мое терпение, не спеша раскуривал трубку. Наконец, он вошел в учетную запись и запустил командую строку от имени администратора, а потом повторил эти действия на своем ноутбуке и поставил два компьютера рядом.
— Доктор, что вы видите?
— То же что и вы. На одном компьютере кнопка «Да» заблокирована, а на другом – нет.
— А еще?
Я присмотрелся внимательнее. У картинок было несколько отличий, а главное — на первом ПК предлагалось ввести пароль администратора, но соответствующее поле отсутствовало.
— Холмс, вы хотите сказать, что это какой-то жестокий баг Windows?
— Вовсе нет, this behavior is by design, как говорят в Microsoft.
— ???
Детектив открыл командую строку ввел команду whoami /groups и прокрутил ее вывод к результатам:
C:\Users\Smith>whoami /groups Сведения о группах ----------------- Группа Тип SID Атрибуты ========================================================= ======================= ========================================================================================================== ============================================================= Обязательная метка\Средний обязательный уровень Метка S-1-16-8192 Все Хорошо известная группа S-1-1-0 Обязательная группа, Включены по умолчанию, Включенная группа BUILTIN\Пользователи Псевдоним S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа NT AUTHORITY\ИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4 Обязательная группа, Включены по умолчанию, Включенная группа КОНСОЛЬНЫЙ ВХОД Хорошо известная группа S-1-2-1 Обязательная группа, Включены по умолчанию, Включенная группа NT AUTHORITY\Прошедшие проверку Хорошо известная группа S-1-5-11 Обязательная группа, Включены по умолчанию, Включенная группа NT AUTHORITY\Данная организация Хорошо известная группа S-1-5-15 Обязательная группа, Включены по умолчанию, Включенная группа MicrosoftAccount\john.smith7482@outlook.com Пользователь S-1-11-96-3623454863-58364-18864-2661722203-1597581903-198584387-2165155540-19024372-4157893646-2279364479 Обязательная группа, Включены по умолчанию, Включенная группа NT AUTHORITY\Локальная учетная запись Хорошо известная группа S-1-5-113 Обязательная группа, Включены по умолчанию, Включенная группа ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0 Обязательная группа, Включены по умолчанию, Включенная группа NT AUTHORITY\Проверка подлинности учетной записи в облаке Хорошо известная группа S-1-5-64-36 Обязательная группа, Включены по умолчанию, Включенная группа
В голосе моего друга зазвучали менторские нотки.
— Смотрите, доктор, команда выводит принадлежность текущей учетной записи к группам. Аккаунт Smith входит в различные системные группы, но нас интересует исключительно «Администраторы».
— Я вижу только, что он член группы «Пользователи».
— Да, учетную запись каким-то образом удалили из администраторов, и она стала обычной. Поэтому в окне UAC и предлагается ввести пароль администратора.
Я сообразил, что по той же причине нет ссылки на параметры UAC – ведь обычному пользователю они все равно недоступны. Определив права текущего пользователя, мой друг ввел еще одну команду, net user, отобразившую список учетных записей в системе.
C:\Users\Smith>net user Учетные записи пользователей для \\DESKTOP-9CPJ2I1 ------------------------------------------------------------------------------- DefaultAccount Smith Администратор Гость Команда выполнена успешно.
Честно говоря, ничего интересного я тут не увидел. DefaultAccount – это системная учетная запись, на основе которой создаются все новые аккаунты. Гость не обладает нужными правами, да и вообще считается устаревшим в Windows 10.1 Встроенная учетная запись администратора неактивна, а включить ее без полных прав не получится.
Детектив внимательно выслушал мои соображения, кивая головой в знак согласия. Но он не спешил раскрывать карты, будто ожидая от меня продолжения дедуктивной цепочки.
— Холмс, уж не знаете ли вы какого-то хитрого способа включить встроенного администратора в такой ситуации?
— Это элементарно, Ватсон! Windows сама включит его!
Решение
Детектив выдержал паузу, явно наслаждаясь недоумением на моем лице, выпустил клуб дыма и авторитетно сообщил:
«Когда в системе нет ни одной активной учетной записи с правами администратора, встроенный администратор автоматически включается при входе в безопасный режим!»
Холмс пояснил, что Windows так работает давным-давно, а в базе знаний даже есть статья времен Windows Server 2003. Он предложил мне убедиться в этом самостоятельно, подсказывая по шагам:
- Откройте Пуск → Параметры → Обновление и безопасность → Восстановление → Особые варианты загрузки → Перезагрузить сейчас, чтобы увидеть опции среды восстановления.2
- Последовательно нажмите Поиск и устранение неисправностей → Дополнительные параметры → Параметры загрузки → Перезагрузить → 4, чтобы войти в безопасный режим встроенным администратором.
- В безопасном режиме нажмите Win + X или правую кнопку мыши на кнопке Пуск и выберите Командная строка.
- Введите команду, добавляющую в группу Администраторы или Administrators (в английской ОС) вашу учетную запись, в данном случае Smith:
net localgroup Администраторы "Smith" /add
- Перезагрузитесь в обычный режим и войдите в свою учетную запись.
И это, правда, сработало!
Тонкости
Решение оказалось на удивление простым и быстрым, но у меня оставались вопросы.
Почему некуда вводить учетные данные
Я вернул детектива к началу его рассказа.
— Холмс, вы ведь так и не объяснили, почему нормальной является ситуация, когда в окне контроля учетных записей предлагается ввести пароль администратора… в никуда?
— Это элементарно, Ватсон! У нашей учетной записи обычные права, а для их повышения нужно ввести учетные данные администратора. Вот как это выглядит, обычно:
Детектив что-то быстро поискал в изображениях своего ноутбука и продолжил рассказ, жонглируя картинками: «Более того, в этом окне UAC отображаются все способы аутентификации, доступные для активных администраторов. Если включен ПИН-код, его можно ввести вместо пароля. Если есть сканер отпечатков пальцев или смарт-карта, предлагается войти с их помощью.»
— Вы сделали акцент на активных…
— Именно так. В нашем случае Windows знает, что в системе нет ни одного активного администратора, поэтому ей некого вам предложить для ввода учетных данных!
Это объяснило нестыковку в окне UAC, но меня мучил еще один вопрос.
Как люди оказываются в такой ситуации
Я понимал, что проблему можно воспроизвести, удалив единственную учетную запись с полными правами из группы администраторов. Но я хотел понять, как такое может произойти на практике.
Холмс пожал плечами: «Это и для меня остается загадкой. В профессиональном издании Windows есть графический интерфейс — оснастка lusrmgr.msc. Но в домашних изданиях без командной строки никак не обойтись.»
— Вы думаете, что люди сами стреляют себе в ногу?
— Неопытные – вполне возможно. И не сбрасывайте со счетов кривые твикеры и вредоносные программы — с полными правами можно что угодно натворить. Хорошо хоть Windows не позволяет удалить встроенного администратора!
Я поинтересовался у Холмса, не нашел ли он еще чего-нибудь интересного, расследуя дело.
Что происходит со встроенным администратором при обновлении до Windows 10
Детектив рассказал, что он стал время от времени видеть пострадавших с Windows 10. Знакомый инспектор Скотланд-Ярда предположил, что к проблеме приводит обновление старой ОС до новой из-под встроенной учетной записи администратора. Вероятность была невелика, поскольку это относительно распространенный сценарий, и жертв должно было быть намного больше.
Ради интереса, Холмс решил проверить, что происходит, когда при обновлении встроенный администратор является единственной учетной записью с полными правами (созданный при установке системы аккаунт удален).
Никаких проблем в итоге не возникло, но обнаружилась любопытная тонкость.
— Ватсон, вы ведь знаете, что в современных ОС Windows магазинные приложения не запускаются в учетной записи Администратор. Так Microsoft отучает людей от постоянной работы с неограниченными правами.
— Думаю, все «суперадмины» Windows 8+ об этом знают, Холмс.
— Но не владельцы Windows 7! Обновившись под встроенным администратором, они не смогли бы пользоваться Магазином и другими современными приложениями. Эту задачу решили одной из групповых политик UAC.
Как выяснилось, когда полными правами обладает только встроенный администратор, после обновления до Windows 10 включается политика «Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора». Это превращает единственный аккаунт Администратор в самую обычную административную запись с запросами UAC.
Если же обновлять из-под встроенного администратора при наличии других учетных записей с полными правами, то Администратор отключается и не отображается на экране приветствия. Войти предлагается в любой другой активный аккаунт, после чего можно включить Администратора или перенести его файлы в свою учетную запись.
Эпилог
— И все-таки, Холмс, не считаете ли вы, что Windows должна препятствовать удалению последнего активного администратора из группы?
— Согласен, но если за 15 лет этого не сделали, вряд ли стоить рассчитывать на изменения.
— Хорошо, но хотя бы окно UAC в этом случае можно было бы улучшить – например, добавить ссылку на справку. Откуда людям знать, что нужно войти в безопасный режим?
Холмс усмехнулся: «Мой дорогой Ватсон, безопасный режим – это всегда первый шаг при диагностике любых непонятных проблем. Видимо, расчет на то, что пользователи зайдут туда от безысходности.» Детектив отправил ноутбук в сон, бережно достал из футляра скрипку и провел смычком по струнам.
По традиции напоминаю, что детективные истории о Холмсе я пишу для вашего и своего развлечения. Если вы не воспринимаете такой стиль изложения, в блоге есть другие записи в традиционном ключе. Однако прошу заметить, что в этот раз прямо в рассказе есть конкретные пошаговые инструкции :)
В комментариях расскажите, как у вас на домашних ПК организованы учетные записи:
- с какими правами вы работаете и включен ли у вас UAC
- создаете ли вы отдельные учетные записи для каждого члена семьи
- ограничиваете ли вы права домашних или они работают в административных учетных записях
Мы уже обсуждали эту тему, но прошло почти пять лет. С тех пор и читателей прибавилось, и ваши привычки могли поменяться.
Я работаю в учетной записи с правами администратора. UAC включен, настройки по умолчанию.
В семье у каждого свой компьютер поэтому нет не создаю.
Нет права не ограничиваю, все работают в учетных записях с правами администратора.
Я для сброса пароля/прав обычно использую подмену sethc.exe на cmd.exe, потом разлогин и 10 раз нажать на Shift. А как сменить пароль из-под cmd запущенной от Default, можно как угодно.
>с какими правами вы работаете и включен ли у вас UAC
Работаю из-под user, отдельная учётка админа с паролем
>создаете ли вы отдельные учетные записи для каждого члена семьи
Да, на десктопе так и есть.
>ограничиваете ли вы права домашних или они работают в административных учетных записях
Ограничиваю, но на админе пароль от дурака P@$$w0rd
Это работает только для пароля локальной учетной записи, о чем специально рассказывается.
но назначить права админа текущему пользователю/создать нового админа?
Для этого надо загрузиться с диска, в рассказе это невозможно. И зачем, если есть более простой способ?
Спасибо за подсказку. Сделал себе лончер консоли
Особо понравилось ее увидеть в окне приветствия.
А разве для замены exe’шника не нужны админские права? Я к тому, что если есть адм. права, то это не нужно, а если их нет, то вы просто не сможете заменить sethc.exe на cmd.exe
Моя учётка имеет права админа, UAC включён, семейной учётки нет — жена знает мой пароль, у дочерей свои компы с админскими учётками. Каждый сам отвечает за свои действия. Разруливаю косяки я.
Работаю с одной учёткой с правами админа (я-единственный пользователь). Удивило, что приложения из Магазина «могут не открыться». В Win10 у меня всё открывается. Насчёт безопасного режима, разве простым пользователям он как раз и не нужен, чтобы окончательно не убить систему неправильными действиями? Что обрадовало в Win10, это то, что MsDART 8.1 без задоринки работает, просто заменив родной WinRE.wim на разделе восстановления. Респект Microsoft)
Смог Десятку запустит в безопасном режиме. Тут же сказало, что я зашел под встроенным админом и не могу запускать Edge и приложения из Магазина.
Вы по диагонали читали? Не открываются у встроенного администратора, если не изменены политики.
Не понял логики. Если вы в безопасный режим вошли, у вас уже что-то не в порядке. А пользователи с обычными правами в безопасный режим не попадут, потому что надо знать пароль администратора. Исключение — описанный выше случай, но ведь у пользователя были полные права, раз он выпилил себя из администраторов.
Перечитал статью и ещё больше запутался. При чистой установке (Win10) я же к группе администраторов автоматом примыкаю? «Встроенный администратор» это уже с правами «system», нет? Кстати в политики обычно не лезу, больно слишком «тонкое» это дело, или просто квалификации не хватает)))
Прочтите ликбез
UAC включен, учётная запись Microsoft с правами администратора. За компьютером работаю один, поэтому ничего не создаю и не ограничиваю.
UAC включен по умолчанию. Работаю один с правами Администратора либо в учетной записи Microsoft, либо перехожу на локальную учетную запись с теми же правами.
P.S. Вадим, мне нравится ваш стиль изложения в виде историй о Холмсе. Так держать!
Георгий, спасибо. Холмса давно не было, да.
Вадим, кстати, я не зря упомянул про MsDaRT. Возможно, пригодится кому. Или в статьях про восстановление упомянете. То, что MsDaRT от восьмёрки как родной подходит для Win10. У Win7 и Win8 такого нет. И запускается с полным функционалом (реестр, управление дисками). Но! только при замене родного WinRE.wim. С флэшки не прокатит.
MSDaRT легально доступен только организациями в рамках Software Assurance. Да и не нужен он домашним пользователям, все необходимое есть во встроенных средствах восстановления и PE дистрибутива.
Умелые пользователи найдут, где найти MSDART. Не считаю это «крупным преступлением». Лично мне MSDART нужен для управлениями дисками. Т.е. при подключении второго жёсткого диска и манипуляций с ним. Можно воспользоваться и другими программными средствами, но я любитель «встроенных возможностей». В режиме восстановления diskpart как-то не разрешил удалять системные разделы со второго подключенного ЖД (раздел с самой системой и раздел восстановления). Вот тут и помог MSDART.
Я работаю с правами администратора и включённым контролем учётных записей.
Для каждого члена семьи, пользующегося компьютером, создана отдельная учётная запись.
Учётные записи имеют разные права доступа.
Создание нескольких учётных записей для каждого члена семьи считаю не особо необходимым. Не говорю, что это плохо. Достаточно один раз дома всем сказать, пусть спрашивают, если приложения и программки какие кто-то хочет установить. Исключение, только, если нужно скрыть фотки своих секретарш и любовниц))) А для того, чтоб «Дай-ка я зайду в свой Вконтактик» отдельная учётка не особо нужна.
Евгений, так малварь и попадает на ПК. Да и в ВК надо каждый раз пароль ввводить, если несколько человек им пользуются.
Вроде он отметил, что его домашние просят устанавливать ПО. Значит, либо UAC с запросом пароля, либо отдельная учётная запись.
Можно использовать профили браузеров и их одновременный запуск через разные ярлыки. Я так маме настроил (не спрашивайте, зачем ей несколько учёток ВК).
Сейчас малварь исключительно живуча. В последнее время часто вычищаю всякую дрянь типа мейлру агентов которая ставится в appdata преспокойненько от имени обычного пользователя.. Как так получается?
Без прав администратора систему не обрушить, пусть сидит себе в профиле. Дальнейшее — уже вопрос, относится то или иное ПО к малвари, и определяют это антивирусные вендоры, включая Майкрософт.
Возможно, лично Вы и имеете веру в безопасность Windows, но я лично нередко сталкивался с прекрасно работающими вирусами на Win7 и Win8-8.1, которые пользователь незаметно для себя запустил в пользовательской учётной записи, и дел они творили немало, не говоря про пресловутые шифровальщики. Всякие недобрые хакеры постоянно находят пути обхода всей этой безопасности.
Алексей, я верю в границы защищенной зоны (коей UAC не является, о чем вообще-то и рассказ). Поэтому приведите пример шифровальщика, способного заблокировать систему без прав администратора.
Систему они не заблокируют, но все личные данные пользователя зашифровать могут влёгкую. Что по моему намного хуже, чем упавшая ОС.
Впрочем, ОС типа Linux от этого так же не спасут.
Виталий, так при чем тут безопасность Windows и моя вера в нее, о которых говорит Алексей? :) Юзер получил письмо > открыл вложение > забил на предупреждения на желтом фоне. При этом он считал, что у него есть голова на плечах и не пользовался актуальным антивирусом (0-day в расчет не беру) и не делал бэкап. Он и получил по заслугам.
А что такого? Ограниченные права позволяют запускать приложения из любых мест, а appdata разрешён на запись.
От такого сможет защитить SRP или AppLocker, притом надёжно, но с ними свои проблемы.
Не совсем верно. Можно залогинится под аккаунтом встроенного администратора в безопасном режиме, независимо от того, выключен он или нет. Для того, чтобы он был доступен в обычном режиме, его все равно придется включать вручную. Я бы переформулировал для ясности.
Экран входа в безопасный режим чистой установки Windows 10.
John Smith — администратор, созданный при установке. Встроенный выключен. Как с ним войти?
Увеличить рисунок
Интересно… А тут нет фишки клика на кнопке выключения с зажатым Shift?)))
С зажатым шифт вас вернет в RE.
Клавиша «ввод».
Евгений, излагайте яснее…
У меня одна учетка встроенного админа, uac отключен, до не давней поры считал «не открывание» метро прог от встроенного админа только плюсом, так как избавлялся от метро интерфейса по максимому. А теперь встает вопрос: микросовт скоро начнет продавать в своем магазине игры, первая из них это Quantum Break на dx 12, так вот, как решить проблему при помощи политик безопасности, чтобы не создавать отдельную учетку? Спасибо.
Роман, ответ есть в рассказе (политика).
Такого параметра не было, создал его сам. Но в итоге ничего не вышло.(( ЧЯДНТ? Спасибо.
Роман, короче, см. п. 1 тут.
Получилось, но появился интересный момент. Steam стал каждый раз просить пароль, то есть он его не хочет сохранять. Побочка видимо какая-то))
Роман, вы экспериментировали после прочтения статьи или пришли сюда в поисках решения?
Учетная запись администратора. Контроль учетных записей включен.
Домашние работают под своими учетными записями, их права ограничены.
А никто не пробовал совсем ограничивать учетку пользователя родительским контролем — запуск только разрешенных приложений? Хотя будет геморой, например — когда Хром новую версию поставит в AppData (кажется так когда-то было, но сейчас вижу, что в C:\Program Files (x86)\Google\Chrome\Application лежит exe, а в папке версии уже всякие *.dll).
Данная проблема также воспроизводится в 8.1 Pro при наличии и нулевом значении dword-параметров вида имя_админской_учетки в ветке
Поясню на своем примере. Есть 2 учетные записи: user (входит только в группу Пользователи) и admin (входит в группу Администраторы). Если при этом в указанной ветке реестра имеется параметр admin с нулевым значением, то у user’а наблюдается описанный вами эффект, показанный на первом изображении.
Павел, в чистой системе этих параметров нет. Видимо, вы их создали. А так, логично — система же смотрит куда-то, прежде чем показать диалог. Раз нет администраторов, нет и полей для ввода.
Разделяю учетные и ставлю на пароли, ограниченные права для особо важных дел.
Разве? Кажется я там участвовал. Неужели прошло 5 лет?
Впрочем, у меня ничего не меняется.
Встроенная учётная запись администратора под паролем для админских дел и повседневная для повседневной работы.
UAC отсутствует как класс ))
Хотя Windows сопротивлялась подобным настройкам, требуя одного администратора помимо встроенного. Уже и не помню, как это обходил.
Виталий, ваш первый коммент в блоге — июль 2011, а статья про отдельные учетные записи появилась в апреле 2011.
Добрый день!
1. Работаю под администратором, UAC включен на среднем уровне.
2. Нет, из семьи только жена, которой вполне можно доверить компьютер )
3. Нет, из-под той же административной записи.
Знаю, что неправильно, но иначе неудобно и непривычно.
Отдельная запись есть только для удаленного RDP-доступа.
Речь про домашний компьютер.
Здравствуйте.
— Работаю под простым пользователем. UAC включен.
— Все кто так или иначе работают за моим компьютером имеют отдельные учетные записи со своими паролями.
— Да все работают под учетками с правами простого пользователя.
Зачет!
Дома у меня Windows Debian )), поэтому, естественно, работаю из-под ограниченного пользователя.
Отдельных учёток для членов семьи нет.
На фирме у всех стоит Windows и все работают из-под ограниченной учётки, даже начальство)) Пароль админа только у меня. Единственное неудобство возникло, когда дизайнер попросил, чтобы Photoshop запускался без запроса пароля. Ох и натанцевался я с бубном((
Сергей, а что тут танцевать? Для обычного пользователя на клиенте только небезопасное решение есть. Безопасное — в направлении RemoteApp.
Windows 7
Встроенная учетка Администратора отключена (пароль изменен). Имею 3 учетных записи: одна с правами администратора — для установки софта, работы т.п.; вторая учетка — обычный пользователь, пароль (для себя) — повседневное использование, третья учетка — обычный пользователь, простой пароль — для жены.
1. На домашнем компьютере работаю с правами администратора. Пароль есть. UAC включен.
2. У жены есть на моем компьютере отдельная учетка с ограниченными правами. Пароль есть. Также у жены есть свой ноутбук, там все как и на стационарном: я админ, она пользователь. UAC включен.
В общем, полная диктатура. Зато за пять лет ни одного зловреда не проскочило.
P. S. И да, ура — Холмс! Читал с удовольствием!
Да уж, года три не было :) Спасибо, Матвей!
Вадим, классная запись, спасибо! :)
1. Дома Windows 10. С давних времен Windows 2000 и на работе и дома работаю с обычными правами. UAC включен с параметрами по-умолчанию. Пароль простой, настроен автоматический вход.
Для административных дел созданы две учетки: admin и резервный admin2 с одинаковыми паролями посложнее. Частый ввод пароля на запрос UAC совершенно не напрягает, да и лишний раз задуматься над тем, что собираешься сделать никогда не помешает.
2. Отдельные учетки для домашних не создаю. Полное доверие, секретов нет.
3. Все работают под той же ограниченной учетной записью и знают, что если я отошел, а на компе выполнен вход под админом, то там работать нельзя.
P.S.
Когда у народа стала появляться Vista и посыпались жалобы на эту UAC, можно сказать заочно ее возненавидел. :) Однако, к тому моменту, когда компьютер был наконец обновлен и появилась Windows 8.1 были прочитаны разные интернеты и главным из них стал Ваш блог с соответствующими статьями про UAC, поэтому мысли об ее отключении уже не возникали. :) Спасибо.
Николай, интересно, как ваши домашние вникают, под каким пользователем у вас выполнен вход. И не проще ли вам блокировать систему…
У меня так было в Windows 2000 на домашнем компьютере.
Установил Windows заново.
Очень занимательный стиль изложения, хорошо разбавляет рабочие будни. Да и материал полезный, спасибо!
На вопросы:
1) Работаю с админскими правами, UAC на уровне 2 (второй уровень снизу). Пробовал, по многочисленным наставлениям, работать в Win7 с пользовательскими правами, ой как намучился в работе. Я всё же сам админ, а не пользователь, могу разобраться, выстрелю ли я себе в ногу или нет. Проблем с этим не было. Пользователи мои на работе всегда с пользовательскими правами, им много не надо, а если что, попросят.
2) Дома конечно, на свой компьютер пускаю только под отдельной учёткой.
3) Права домашних тоже админские, ничего плохого никто не наворотит, тут уже вопрос доверия и общения, если что надо, меня сами попросят поставить. С пользовательскими правами очень много проблем, особенно когда меня нет рядом.
Рад, что вам понравилось, Алексей.
Не могли бы Вы уточнить, какие именно проблемы. Сколько работаем с ограниченными правами, никаких проблем. Что мы делаем не так?
Давайте начнём с главного: в Windows7 механизм ограничения прав подразумевает наличие администратора в «шаговой доступности», либо физически, либо удалённо. А ты можешь быть на работе или где-то ещё, когда твоим близким может понадобиться от компьютера что-то новое, например, обновить что-то или установить игру, или поставить программку, которая нужна прям немедленно.
В корпоративной среде подобные ограничения очень важны, как защита от человеческого фактора в первую очередь, подразумевается, что пользователь работает в уже настроенной среде и ничего нового ему в принципе не понадобится, а если что, есть администратор.
Но, по сути, единственная разница работы администратора и пользователя, при включенном UAC, это табличка с кнопочкой «Да» либо ввод пароля админа. И домашним ты в любом случае сам выдашь пароль админа, так что смысла с этого нет.
Любое ограничение для ребёнка это лишь вызов для него, а для мамы-бабушки это лишняя проблема, которую может возникнуть потребность срочно решать по телефону, чего я бы и врагу не пожелал…
Дома комп с windows 10, использую учетную запись microsoft для входа. UAC включен, настройки по умолчанию, пароль учетной записи microsoft 18 символов из генератора keepass, для входа пинкод. Считаю себя продвинутым пользователем, поэтому учетка админа не смущает, программы ставлю новые довольно редко, по странным варезным сайтам не ищу, внезапное появление окна UAC да еще от программы без подписи сразу бы смутило. Раз в месяц проверяю комп утилиткой от касперского, ничего не находило последние лет 5 точно.
У матушки ноутбук с windows 7, UAC так же включен, матушка работает под ограниченной учетной записью, чтобы случайно что то не поломала, да и меньше шансов что вирус убьет систему. Документы хранить приучил матушку в дропбоксе, даже если поймает какой локер то у дропбокса есть версии, можно откатить к предыдущей, несколько раз выручало. Автообновления включены, firefox обновляется сам даже из под ограниченной записи, у флеша есть служба и он так же обновляется сам. Создана учетка админа с паролем для обслуживания, пользуюсь ей когда подключаюсь через. teamviewer
Вообще считаю что отключать UAC и работать под админом это верх идиотизма, для полного счастья не хватает только отключить корзину и предупреждения об удалении. Тогда будет полный комплект для выстрела себе в ногу. Записывать в системные папки и удалять из них рядовому пользователю требуется редко, не сложно и пароль/пинкод ввести, а для игр/браузера/офиса окно UAC вообще никогда не выскочит.
Виталий, видать, вы никогда его не вводили на других устройствах, где вашей базы KeePass нет. Это быстро отучает от излишне безопасных паролей. Лучше вменяемый пароль + двухфакторная аутентификация.
Vadim Sterkin, такое крайне маловероятно, копия базы всегда со мной в кармане в телефоне.
Использую связку dropbox+keepass для синхронизации между телефоном и компьютером. Одна база на компе, вторая на телефоне, еще одна копия в папке onedrive, она расшарена между мной и матушкиным ноутбуком, чтобы уменьшить шанс потерять всю базу в том маловероятном случае если помрут одновременно и телефон и компьютер в один день. Синхронизация между onedrive и dropbox сделана самым простым способом — хардлинком в каталог onedrive.
Возможно кто то скажет что это излишняя паранойя, а кто то наоборот что база паролей болтается много где. Но мне нужно лишь помнить пароль+ключевой файл, пароль устойчивый, а ключевой файл это, скажем так, небольшой файлик чуть меньше 10кб который можно всегда скачать из интернета за минуту с огромного кол-ва разных сайтов воспользовавшись гуглом. Главное знать именно это и есть ключевой файл, на нем же не написано. Вдруг это d3dx9.dll или command.com?
Да, конечно, вводить рандомный пароль на компе с экрана телефона не очень удобно, но это требуется не так уж и часто. Самое ценное, а это почта на гугле, к которой привязано все, и потеря будет равносильна катастрофе, и аккаунт dropbox — там пароль+двухфакторная авторизация. Очень удобно что dropbox работает с приложением Google Authenticator, не нужно доп. программ ставить на телефон.
Двухфакторную защиту учетной записи microsoft не делал, т.к. она не работает с приложением гугла, ставить еще один генератор кодов просто неохота. Надежный пароль выручает, по крайней мере пока не пойдут в массы квантовые компьютеры. На домашнем компьютере пароль от учетной записи вводится один раз, далее пинкод. Еще раз ввел чтобы авторизоваться в этом блоге, т.к. пишу с работы :) Больше не помню чтобы руками вводил пароль.
Виталий, для 2ФА Microsoft на Android есть прекрасное приложение Microsoft Account, удобнее гугловского.
Странно, но у меня учётная запись Microsoft именно с приложением Google Authentificator и работает. А за наводку на дружащий с ним же Dropbox — спасибо!
Дома на своём ПК решил перейти с использования ограниченной учётной записи на администраторскую, НО с одной оговоркой — я выставил политику «Контроль учётных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором» на «Запрос учётных данных» (пароль от личной УЗ у меня установлен, автологин не настроен).
В моём случае это избавляет от проблем с некоторым ПО, которое имеет манеру делать настройки только в рамках того профиля, под которым оно получило повышение привилегий, при этом сохраняя должный уровень безопасности.
Все домашние же сидят под ограниченными учётными записями, соответственно и проблем минимум.
Непонятно, что меняет ввод пароля. Профиль один и тот же ведь.
Раньше у меня было две учётные записи — условно admin и user, так вот при запуске некоторых приложений из-под user выводился запрос на повышение прав, права поднимались при помощи учётки admin и все изменения уже фактически вносились именно в профиль этого самого admin-а, под которым мне не хотелось работать.
А, если одна УЗ, то все понятно.
Все стандартно. Если нужен админ поднимаю права в консоли:
Привычка работать только с обычными правами. Учеток две — моя на live.ru с простыми правами и жены на outluck.com тоже с простыми правами. Встроенная учетная запись Администратор запаролена и переименована. Разные учетки у меня и жены для удобной настройки панели быстрого запуска и начального экрана, ассоциаций файлов и программ.
Vadim, вопрос из раздела вечных. Когда Microsoft уберет одну из основных лазеек для вирусов — галочку в «Скрывать рассширения для зарегистрированных типов файлов»? Среди моих знакомых три четверти попались именно на том, что запускали видео или фото, а получили екзешник.
Сергей, никакая это не лазейка. Если ваши знакомые отключили контроль учетных записей или одобрили запуск зловреда своими руками, они сами виноваты. Уяснить это поможет статья Программа PsExec, контроль учетных записей и границы защищенной зоны.
Все еще Windows 7. Единственная учетка админа — встроенная, и та переименована. Все остальные (жена, дети и сам) — отдельные учетки с правами пользователя. UAC включен. Для детей еще дополнительные ограничения: сайты по категориям (в зависимости от возраста) — через антивирус, время работы — через отдельную программу.
Сергей, без уточнений это значит, что UAC отключен. И при этом вы занимаетесь переименованием встроенного админа, SID которого хорошо известен :)
Для меня это не очевидный вывод. Тем более, что при работе возникают запросы повышения прав, это значит, что UAC включен, что я и написал. Со мной согласна и Windows, когда в параметрах настройки контроля учетных записей сообщает, что «Служба контроля учетных записей всегда будет выдавать уведомления и ожидать ответные действия».
Не очень понял, при чем здесь известный SID пользователя. Регистрация (предположительно, нежелательная) идет, обычно, через имя/пароль. Простой способ лишить уже имени повышает уровень безопасности, заодно позволяя правильно разложить иконки в окне приветствия, которые располагаются в алфавитном порядке учеток (имен, не названий).
Сергей, поясняю.
1. Если вы работаете под встроенным админом и не распространили на него UAC политикой (о чем вы ничего не сказали), то никаких запросов UAC нет, вы постоянно работаете с полными правами.
2. Известный SID пользователя при том, что хакерские атаки могут использовать его вместо имени пользователя. Непонятно, от чего вы защищаетесь переименованием на домашнем ПК. Домашним имя пользователя все равно известно, а извне… как вы себе представляете атаку перебором на ваш ПК?
1. Фраза
означает, что я работаю не от имени встроенного администратора, и с правами пользователя. Заходить в профиль админа почти никогда не приходится: достаточно запроса UAC в случае необходимости.
2. Переименование имеет смысл как раз только для защиты от внешних угроз. Если я уже внутри (хоть почти бесправный), то узнать всех пользователей и их SIDы уже не представляет проблемы. Даже если вероятность эксплуатации известного имени почти нулевая, то простота способа «переименовать» оправдывает усилия ради этого почти. К тому же есть и вторая причина (как я указал ранее).
Теперь понял. Что ж, тогда все укладывается в общую параноидальность :)
Очень просто. На Рабочем столе ограниченной учетной записи красивые обои из набора Footpaths
http://windows.microsoft.com/en-ca/windows/footpaths-download-theme
а у админской Рабочий стол однотонный и с другими ярлыками.
Систему иногда блокирую когда приезжает племянница и, например, не делает уроки. :) Еще иногда блокирую чтобы посмотреть новый фон экрана блокировки, который закачала Windows 10. :)
Прошу прощения, почему-то кнопка «ответить» на том комментарии недоступна.
Я, к сожалению, не собираю коллекцию зловредов, но 3-4-5 лет назад я довольно часто сталкивался именно с блокировщиками системы, той или иной степени зловредности. Хотя страшны не они, сейчас довольно часто люди ловят шифровальщиков, которым не нужны права администратора, я это имел в виду. И они просто шифруют всё, до чего дотянутся, включая сетевые каталоги.
Впрочем, спорить, возможно ли обойти безопасность Windows, находясь в ограниченной среде, я не буду, не хакер и не безопасник, соответственно, не смогу предметно вести диалог.
Но лишняя заслоночка на пути к зловредам никогда не помешает, в любом случае.
Вы не спорите, вы просто повторяете тезис без доказательств. В этом блоге такое не катит.
На моё ПК одна учётка, а вот отцу на ноутбуке сделал две: админа и юзера. Когда пришлось распечатать с него, подключив принтер, нужно было установить драйвера. При вводе пароля админа ничего не происходило. Так и не поставил из-под юзера, пришлось логиниться в админа.
Некогда разбираться со всеми этими правами, но судя по моему немногочисленному опыту, работает эта система в 2016-м году не совсем корректно, мягко говоря.
Учетка с правами админа, пришлось включить UAC потому что без него не запускался калькулятор командой calc, работаю за ПК сам, UAC всегда выключал на 8.1, мешают постоянные запросы на запуск приложений, сам себе голова, лишнего не пропущу. Упустил момент возможности отката до 8.1, теперь страдаю от непонятных зависаний раз в пару недель. Возможно из-за разгона цп до 4.5ггц, но на 8.1 все работало как часы. Остался образ 8.1 акронисом, но нужно переписать кучу нужного барахла с диска С.
И какие же приложения у вас постоянно требуют повышения прав?
На вин10 все изменения в фаерволе nod32 smart security требовали подтверждения + на win8.1 только что проверил — punto switcher, nod32view, ammy admin, aida 64, aomei partition assistant и еще маленькая тележка, которых сходу не вспомню.
Ни одно приложение не подразумевает регулярного запуска. Ammy Admin — может быть, но зачем ему полные права — большой вопрос. А работа Punto Switcher с полными правами — вообще нонсенс.
Работаю в 8-10 с уз Microsoft, имеющей права локального администратора.
UAC всегда был по умолчанию, даже на Висте.
У каждого дома есть свой ПК, только у ребенка и мамы нет root пароля.
Перейдя с ХР на 7-ку так и не смог привыкнуть к учёткам и контролю. Обхожусь. Устанавливая 8-ку первым делом привожу всё к админу. На случай сбоев храню образа систем, причём не только свои, но и тех, кому ставил ОСь. Это, разумеется крайний случай, но переустановка за 20 минут не сложна. Как ни странно, но пригодилось только раз, и то, когда с паралельным Линуксом накосячил. Может я не прав. Но мне так удобно. Однако за интересный рассказ спасибо! Как пить дать- пригодится!
в Красном углу дома с лампадками и свечами. :)
Напишите пожалуйста статью, о том, как правильно установить windows -> последовательность установки драйверов — > и настройки системы для пользователей. В общем — последовательность установки и настройки windows для нескольких пользователей. Это было бы познавательной инструкцией для многих, кто читает ваш форум.
Алексей, все необходимые драйверы ставятся автоматически с Windows Update, пока вы рабочий стол рассматриваете. Так что не о чем тут писать.
И у меня точно не форум :) А для предложений есть форма обратной связи, ссылка аж дважды на каждой странице.
Только что столкнулся со схожей проблемой в Windows 7: добавил в
обе учетные записи администраторов чтобы скрыть их из окна приветствия. После этого запуск от имени администратора начал показывать окно аналогичное тому, которое указано в посте — без возможности ввести логин или пароль администратора. Если попробовать запустить из под «другого пользователя» с зажатым шифтом, система выдавала ошибку о том, что файл не найден (в случае, например, с regedit). Однако, мне удалось запустить таким образом cmd.exe и уже из неё всё что мне нужно. Чем принципиально запуск cmd.exe отличается от regedit я не понял, однако устранить проблему мне удалось.
Это уже выше обсуждалось. В данном случае проще, потому что права админа сохраняются, а запустить консоль — дело техники (#2).
Вадим, а какие политики нужно изменить для этого?
О которых рассказал Холмс…
Странно что нет ещё блога от Стеркина — «100 причин почему windows 10 лучше всех остальных ОС»
В этом блоге свыше 300 причин. Когда вникните в них и захотите еще что-то написать, обращайте внимание на надпись «Добавить толковый комментарий» над формой.
Вадим , помогите пожалуйста. Столкнулся вот с какой бедой. У меня WINDOWS 7 MAX. Я в один прекрасный день обнаружил на компьютере при входе две учетные записи , -одна админская ,-другая -гость! Кто ее создал неясно ! Жена и ребенок клянутся что этого не делали! Да и они сами страдают от этого потому как ничего сделать или установить невозможно! Дисковод перестал отвечать . Как только я ставлю диск , и нажимаю кнопку закрыть, диск закрывается но тут же открывается. Флешки нет . Все мои попытки разблокировать комп по всем мудрым советам натыкаются на одно и тоже-В доступе отказано! Я стал постоянно наблюдать чью то активность в системе С 90 Гб на диске С осталось 1.5 Гб!!!! Чем забит неясно! Попытка зайти в самые тяжолые папки- В доступе отказано!!!! Есть ли какой способ удалить этого админа?????
Вам в http://www.forum.oszone.net