Вадим Стеркин

  • Главная
  • Windows
  • SSD
  • Программы
  • Разное
  • Об авторе
Вы тут: Главная → Popular → Дело о заблокированной кнопке «Да»

Дело о заблокированной кнопке «Да»

Рубрики: Popular, Windows Обновлено: 09.02.2019 комментариев 137

Первое утро марта выдалось настолько ярким и солнечным, что я решил непременно вытащить скучавшего в последнее время Холмса на моцион в Гайд-парк. Стоило мне подумать о друге, как от него тут же пришла телеграмма: «Ватсон, загляните ко мне днем, тут интересный случай.»

Уже через полчаса он с прищуром вручил мне ультрабук, на экране которого красовался странный запрос контроля учетных записей.

Почему заблокирована кнопка Да в окне UAC

— Как вам это нравится, доктор?

[+] Оглавление

  • Загадка
  • Расследование
  • Решение
  • Тонкости
    • Почему некуда вводить учетные данные
    • Как люди оказываются в такой ситуации
    • Что происходит со встроенным администратором при обновлении до Windows 10
  • Эпилог

Загадка

Владелец ультрабука, некто мистер Смит, якобы ничего особенного не делал. Просто его учетная запись в Windows 10 внезапно утратила возможность запускать с полными правами программы и системные настройки.

— Как я понимаю, Холмс, других административных учетных записей в системе нет? Тяжелый случай, кончено, но можно же сбросить пароль администратора.
— Сбросить точно не получится, потому что у него учетная запись Microsoft.
— Полноте, друг мой, не придирайтесь к словам! Вы же знаете, что так можно создать другого администратора.

Детектив покивал с загадочной улыбкой и жестом пригласил меня заняться делом. Я пожал плечами, раскрыл свой верный саквояж и достал флэшку с дистрибутивом Windows 10…

Почему заблокирована кнопка Да в окне UAC

Через полчаса мытарств я понял, что недооценил ситуацию. Ультрабук упорно не видел любые флэшки, в какой бы USB-порт я их не вставлял. Поэтому загрузиться в среду восстановления было невозможно. Я промокнул платком вспотевший лоб.

— Холмс, похоже, тут какая-то аппаратная неисправность — надо скопировать файлы и отнести в ремонт.
— Ватсон, скажу вам по секрету, это дело государственной важности, и у нас нет времени на починку. Нужно решить проблему сегодня! Сдаетесь?

Я развел руками.

Расследование

Холмс, будто испытывая мое терпение, не спеша раскуривал трубку. Наконец, он вошел в учетную запись и запустил командую строку от имени администратора, а потом повторил эти действия на своем ноутбуке и поставил два компьютера рядом.

Почему заблокирована кнопка Да в окне UAC

— Доктор, что вы видите?
— То же что и вы. На одном компьютере кнопка «Да» заблокирована, а на другом – нет.
— А еще?

Я присмотрелся внимательнее. У картинок было несколько отличий, а главное — на первом ПК предлагалось ввести пароль администратора, но соответствующее поле отсутствовало.

— Холмс, вы хотите сказать, что это какой-то жестокий баг Windows?
— Вовсе нет, this behavior is by design, как говорят в Microsoft.
— ???

Детектив открыл командую строку ввел команду whoami /groups и прокрутил ее вывод к результатам:

C:\Users\Smith>whoami /groups

Сведения о группах
-----------------

Группа                                                    Тип                     SID                                                                                                        Атрибуты                                           
========================================================= ======================= ========================================================================================================== =============================================================
Обязательная метка\Средний обязательный уровень           Метка                   S-1-16-8192                                                                                                                                                   
Все                                                       Хорошо известная группа S-1-1-0                                                                                                    Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пользователи                                      Псевдоним               S-1-5-32-545                                                                                               Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ                                Хорошо известная группа S-1-5-4                                                                                                    Обязательная группа, Включены по умолчанию, Включенная группа
КОНСОЛЬНЫЙ ВХОД                                           Хорошо известная группа S-1-2-1                                                                                                    Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку                           Хорошо известная группа S-1-5-11                                                                                                   Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация                           Хорошо известная группа S-1-5-15                                                                                                   Обязательная группа, Включены по умолчанию, Включенная группа
MicrosoftAccount\john.smith7482@outlook.com               Пользователь            S-1-11-96-3623454863-58364-18864-2661722203-1597581903-198584387-2165155540-19024372-4157893646-2279364479 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Локальная учетная запись                     Хорошо известная группа S-1-5-113                                                                                                  Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ                                                 Хорошо известная группа S-1-2-0                                                                                                    Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Проверка подлинности учетной записи в облаке Хорошо известная группа S-1-5-64-36                                                                                                Обязательная группа, Включены по умолчанию, Включенная группа

В голосе моего друга зазвучали менторские нотки.

— Смотрите, доктор, команда выводит принадлежность текущей учетной записи к группам. Аккаунт Smith входит в различные системные группы, но нас интересует исключительно «Администраторы».
— Я вижу только, что он член группы «Пользователи».
— Да, учетную запись каким-то образом удалили из администраторов, и она стала обычной. Поэтому в окне UAC и предлагается ввести пароль администратора.

Я сообразил, что по той же причине нет ссылки на параметры UAC – ведь обычному пользователю они все равно недоступны. Определив права текущего пользователя, мой друг ввел еще одну команду, net user, отобразившую список учетных записей в системе.

C:\Users\Smith>net user

Учетные записи пользователей для \\DESKTOP-9CPJ2I1

-------------------------------------------------------------------------------
DefaultAccount           Smith                    Администратор
Гость
Команда выполнена успешно.

Честно говоря, ничего интересного я тут не увидел. DefaultAccount – это системная учетная запись, на основе которой создаются все новые аккаунты. Гость не обладает нужными правами, да и вообще считается устаревшим в Windows 10.1 Встроенная учетная запись администратора неактивна, а включить ее без полных прав не получится.

Детектив внимательно выслушал мои соображения, кивая головой в знак согласия. Но он не спешил раскрывать карты, будто ожидая от меня продолжения дедуктивной цепочки.

— Холмс, уж не знаете ли вы какого-то хитрого способа включить встроенного администратора в такой ситуации?
— Это элементарно, Ватсон! Windows сама включит его!

Решение

Детектив выдержал паузу, явно наслаждаясь недоумением на моем лице, выпустил клуб дыма и авторитетно сообщил:

«Когда в системе нет ни одной активной учетной записи с правами администратора, встроенный администратор автоматически включается при входе в безопасный режим!»

Холмс пояснил, что Windows так работает давным-давно, а в базе знаний даже есть статья времен Windows Server 2003. Он предложил мне убедиться в этом самостоятельно, подсказывая по шагам:

  1. Откройте Пуск → Параметры → Обновление и безопасность → Восстановление → Особые варианты загрузки → Перезагрузить сейчас, чтобы увидеть опции среды восстановления.2Почему заблокирована кнопка Да в окне UAC
  2. Последовательно нажмите Поиск и устранение неисправностей → Дополнительные параметры → Параметры загрузки → Перезагрузить → 4, чтобы войти в безопасный режим встроенным администратором.
  3. В безопасном режиме нажмите Win + X или правую кнопку мыши на кнопке Пуск и выберите Командная строка.
  4. Введите команду, добавляющую в группу Администраторы или Administrators (в английской ОС) вашу учетную запись, в данном случае Smith:
    net localgroup Администраторы "Smith" /add
  5. Перезагрузитесь в обычный режим и войдите в свою учетную запись.

И это, правда, сработало!

Тонкости

Решение оказалось на удивление простым и быстрым, но у меня оставались вопросы.

Почему некуда вводить учетные данные

Я вернул детектива к началу его рассказа.

— Холмс, вы ведь так и не объяснили, почему нормальной является ситуация, когда в окне контроля учетных записей предлагается ввести пароль администратора… в никуда?
— Это элементарно, Ватсон! У нашей учетной записи обычные права, а для их повышения нужно ввести учетные данные администратора. Вот как это выглядит, обычно:

Почему заблокирована кнопка Да в окне UAC

Детектив что-то быстро поискал в изображениях своего ноутбука и продолжил рассказ, жонглируя картинками: «Более того, в этом окне UAC отображаются все способы аутентификации, доступные для активных администраторов. Если включен ПИН-код, его можно ввести вместо пароля. Если есть сканер отпечатков пальцев или смарт-карта, предлагается войти с их помощью.»

— Вы сделали акцент на активных…
— Именно так. В нашем случае Windows знает, что в системе нет ни одного активного администратора, поэтому ей некого вам предложить для ввода учетных данных!

Это объяснило нестыковку в окне UAC, но меня мучил еще один вопрос.

Как люди оказываются в такой ситуации

Я понимал, что проблему можно воспроизвести, удалив единственную учетную запись с полными правами из группы администраторов. Но я хотел понять, как такое может произойти на практике.

Холмс пожал плечами: «Это и для меня остается загадкой. В профессиональном издании Windows есть графический интерфейс — оснастка lusrmgr.msc. Но в домашних изданиях без командной строки никак не обойтись.»

— Вы думаете, что люди сами стреляют себе в ногу?
— Неопытные – вполне возможно. И не сбрасывайте со счетов кривые твикеры и вредоносные программы — с полными правами можно что угодно натворить. Хорошо хоть Windows не позволяет удалить встроенного администратора!

Почему заблокирована кнопка Да в окне UAC

Я поинтересовался у Холмса, не нашел ли он еще чего-нибудь интересного, расследуя дело.

Что происходит со встроенным администратором при обновлении до Windows 10

Детектив рассказал, что он стал время от времени видеть пострадавших с Windows 10. Знакомый инспектор Скотланд-Ярда предположил, что к проблеме приводит обновление старой ОС до новой из-под встроенной учетной записи администратора. Вероятность была невелика, поскольку это относительно распространенный сценарий, и жертв должно было быть намного больше.

Ради интереса, Холмс решил проверить, что происходит, когда при обновлении встроенный администратор является единственной учетной записью с полными правами (созданный при установке системы аккаунт удален).

Никаких проблем в итоге не возникло, но обнаружилась любопытная тонкость.

— Ватсон, вы ведь знаете, что в современных ОС Windows магазинные приложения не запускаются в учетной записи Администратор. Так Microsoft отучает людей от постоянной работы с неограниченными правами.
Почему заблокирована кнопка Да в окне UAC

— Думаю, все «суперадмины» Windows 8+ об этом знают, Холмс.
— Но не владельцы Windows 7! Обновившись под встроенным администратором, они не смогли бы пользоваться Магазином и другими современными приложениями. Эту задачу решили одной из групповых политик UAC.

Как выяснилось, когда полными правами обладает только встроенный администратор, после обновления до Windows 10 включается политика «Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора». Это превращает единственный аккаунт Администратор в самую обычную административную запись с запросами UAC.

Если же обновлять из-под встроенного администратора при наличии других учетных записей с полными правами, то Администратор отключается и не отображается на экране приветствия. Войти предлагается в любой другой активный аккаунт, после чего можно включить Администратора или перенести его файлы в свою учетную запись.

Эпилог

— И все-таки, Холмс, не считаете ли вы, что Windows должна препятствовать удалению последнего активного администратора из группы?
— Согласен, но если за 15 лет этого не сделали, вряд ли стоить рассчитывать на изменения.
— Хорошо, но хотя бы окно UAC в этом случае можно было бы улучшить – например, добавить ссылку на справку. Откуда людям знать, что нужно войти в безопасный режим?

Холмс усмехнулся: «Мой дорогой Ватсон, безопасный режим – это всегда первый шаг при диагностике любых непонятных проблем. Видимо, расчет на то, что пользователи зайдут туда от безысходности.» Детектив отправил ноутбук в сон, бережно достал из футляра скрипку и провел смычком по струнам.


По традиции напоминаю, что детективные истории о Холмсе я пишу для вашего и своего развлечения. Если вы не воспринимаете такой стиль изложения, в блоге есть другие записи в традиционном ключе. Однако прошу заметить, что в этот раз прямо в рассказе есть конкретные пошаговые инструкции :)

В комментариях расскажите, как у вас на домашних ПК организованы учетные записи:

  • с какими правами вы работаете и включен ли у вас UAC
  • создаете ли вы отдельные учетные записи для каждого члена семьи
  • ограничиваете ли вы права домашних или они работают в административных учетных записях

Мы уже обсуждали эту тему, но прошло почти пять лет. С тех пор и читателей прибавилось, и ваши привычки могли поменяться.


  1. Microsoft не просто убрала учетную запись гостя из графического интерфейса панели управления. Даже если ее активировать в командной строке или оснастке lusrmgr.msc, на экране входа в систему она отображаться не будет.↩

  2. В Windows 7 нажимайте F8 при загрузке вместо первых двух шагов.↩

Метки: UAC, восстановление, нестыковки, Шерлок Холмс Информация в статье применима к Windows 7 и новее

Об авторе

Вадим - владелец этого блога, и почти все записи здесь вышли из-под его пера. Подробности о блоге и авторе здесь.

Вас также может заинтересовать:

  • Нюансы отключения UAC в Windows 10
  • Дело об автозагрузке Windows
  • Дело об исчезнувших фотографиях
  • Дело об оценке производительности
  • Дело о восстановлении реестра
  • Завещание мистера Гейтса
← 8 полезных возможностей PowerShell 5.0, о которых вы могли и не знать
5 дополнений браузера, экономящих время →
Telegram logo

Я в Telegram

Подпишитесь на канал и читайте интересные записи чаще! Есть вопросы? Задайте их в чате.

комментариев 137

↓
  1. Андрей Баятаков

    01.03.2016 в 09:36

    Я работаю в учетной записи с правами администратора. UAC включен, настройки по умолчанию.
    В семье у каждого свой компьютер поэтому нет не создаю.
    Нет права не ограничиваю, все работают в учетных записях с правами администратора.

    Ваша оценка: Thumb up Thumb down 0
  2. nett00n

    01.03.2016 в 10:14

    Я для сброса пароля/прав обычно использую подмену sethc.exe на cmd.exe, потом разлогин и 10 раз нажать на Shift. А как сменить пароль из-под cmd запущенной от Default, можно как угодно.

    >с какими правами вы работаете и включен ли у вас UAC
    Работаю из-под user, отдельная учётка админа с паролем
    >создаете ли вы отдельные учетные записи для каждого члена семьи
    Да, на десктопе так и есть.
    >ограничиваете ли вы права домашних или они работают в административных учетных записях
    Ограничиваю, но на админе пароль от дурака P@$$w0rd

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 11:21

      Это работает только для пароля локальной учетной записи, о чем специально рассказывается.

      Ваша оценка: Thumb up Thumb down 0
      • nett00n

        01.03.2016 в 11:55

        но назначить права админа текущему пользователю/создать нового админа?

        Ваша оценка: Thumb up Thumb down 0
        • Vadim Sterkin

          01.03.2016 в 12:51

          Для этого надо загрузиться с диска, в рассказе это невозможно. И зачем, если есть более простой способ?

          Ваша оценка: Thumb up Thumb down 0
    • Pavel

      01.03.2016 в 15:24

      использую подмену sethc.exe на cmd.exe

      Спасибо за подсказку. Сделал себе лончер консоли

      reg.exe "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\Windows\system32\cmd.exe" /f
      
      Ваша оценка: Thumb up Thumb down +1
      • Pavel

        01.03.2016 в 16:12

        Особо понравилось ее увидеть в окне приветствия.

        Ваша оценка: Thumb up Thumb down 0
    • Alexander Kuzin

      21.03.2016 в 15:15

      А разве для замены exe’шника не нужны админские права? Я к тому, что если есть адм. права, то это не нужно, а если их нет, то вы просто не сможете заменить sethc.exe на cmd.exe

      Ваша оценка: Thumb up Thumb down 0
  3. Cyrus Schtick

    01.03.2016 в 11:33

    Моя учётка имеет права админа, UAC включён, семейной учётки нет — жена знает мой пароль, у дочерей свои компы с админскими учётками. Каждый сам отвечает за свои действия. Разруливаю косяки я.

    Ваша оценка: Thumb up Thumb down 0
  4. Евгений

    01.03.2016 в 11:37

    Работаю с одной учёткой с правами админа (я-единственный пользователь). Удивило, что приложения из Магазина «могут не открыться». В Win10 у меня всё открывается. Насчёт безопасного режима, разве простым пользователям он как раз и не нужен, чтобы окончательно не убить систему неправильными действиями? Что обрадовало в Win10, это то, что MsDART 8.1 без задоринки работает, просто заменив родной WinRE.wim на разделе восстановления. Респект Microsoft)

    Ваша оценка: Thumb up Thumb down 0
    • Виктор Коляденко

      07.02.2017 в 21:32

      Смог Десятку запустит в безопасном режиме. Тут же сказало, что я зашел под встроенным админом и не могу запускать Edge и приложения из Магазина.

      Ваша оценка: Thumb up Thumb down 0
  5. Vadim Sterkin

    01.03.2016 в 11:40

    Евгений: Работаю с одной учёткой с правами админа (я-единственный пользователь). Удивило, что приложения из Магазина «могут не открыться». В Win10 у меня всё открывается. »

    Вы по диагонали читали? Не открываются у встроенного администратора, если не изменены политики.

    Евгений: Насчёт безопасного режима, разве простым пользователям он как раз и не нужен, чтобы окончательно не убить систему неправильными действиями? »

    Не понял логики. Если вы в безопасный режим вошли, у вас уже что-то не в порядке. А пользователи с обычными правами в безопасный режим не попадут, потому что надо знать пароль администратора. Исключение — описанный выше случай, но ведь у пользователя были полные права, раз он выпилил себя из администраторов.

    Ваша оценка: Thumb up Thumb down +1
    • Евгений

      01.03.2016 в 11:57

      Перечитал статью и ещё больше запутался. При чистой установке (Win10) я же к группе администраторов автоматом примыкаю? «Встроенный администратор» это уже с правами «system», нет? Кстати в политики обычно не лезу, больно слишком «тонкое» это дело, или просто квалификации не хватает)))

      Ваша оценка: Thumb up Thumb down 0
      • Vadim Sterkin

        01.03.2016 в 12:52

        Прочтите ликбез

        Ваша оценка: Thumb up Thumb down +1
  6. begem0t

    01.03.2016 в 11:47

    UAC включен, учётная запись Microsoft с правами администратора. За компьютером работаю один, поэтому ничего не создаю и не ограничиваю.

    Ваша оценка: Thumb up Thumb down 0
  7. Георгий Думлер

    01.03.2016 в 12:02

    UAC включен по умолчанию. Работаю один с правами Администратора либо в учетной записи Microsoft, либо перехожу на локальную учетную запись с теми же правами.

    P.S. Вадим, мне нравится ваш стиль изложения в виде историй о Холмсе. Так держать!

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 13:57

      Георгий, спасибо. Холмса давно не было, да.

      Ваша оценка: Thumb up Thumb down 0
  8. Евгений

    01.03.2016 в 12:11

    Вадим, кстати, я не зря упомянул про MsDaRT. Возможно, пригодится кому. Или в статьях про восстановление упомянете. То, что MsDaRT от восьмёрки как родной подходит для Win10. У Win7 и Win8 такого нет. И запускается с полным функционалом (реестр, управление дисками). Но! только при замене родного WinRE.wim. С флэшки не прокатит.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 12:48

      MSDaRT легально доступен только организациями в рамках Software Assurance. Да и не нужен он домашним пользователям, все необходимое есть во встроенных средствах восстановления и PE дистрибутива.

      Ваша оценка: Thumb up Thumb down 0
      • Евгений

        01.03.2016 в 13:35

        Умелые пользователи найдут, где найти MSDART. Не считаю это «крупным преступлением». Лично мне MSDART нужен для управлениями дисками. Т.е. при подключении второго жёсткого диска и манипуляций с ним. Можно воспользоваться и другими программными средствами, но я любитель «встроенных возможностей». В режиме восстановления diskpart как-то не разрешил удалять системные разделы со второго подключенного ЖД (раздел с самой системой и раздел восстановления). Вот тут и помог MSDART.

        Ваша оценка: Thumb up Thumb down 0
  9. Алексей Каманин

    01.03.2016 в 12:13

    Я работаю с правами администратора и включённым контролем учётных записей.
    Для каждого члена семьи, пользующегося компьютером, создана отдельная учётная запись.
    Учётные записи имеют разные права доступа.

    Ваша оценка: Thumb up Thumb down +1
  10. Евгений

    01.03.2016 в 12:22

    Создание нескольких учётных записей для каждого члена семьи считаю не особо необходимым. Не говорю, что это плохо. Достаточно один раз дома всем сказать, пусть спрашивают, если приложения и программки какие кто-то хочет установить. Исключение, только, если нужно скрыть фотки своих секретарш и любовниц))) А для того, чтоб «Дай-ка я зайду в свой Вконтактик» отдельная учётка не особо нужна.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 12:46

      Евгений, так малварь и попадает на ПК. Да и в ВК надо каждый раз пароль ввводить, если несколько человек им пользуются.

      Ваша оценка: Thumb up Thumb down +1
      • Виталий

        01.03.2016 в 15:49

        Евгений, так малварь и попадает на ПК.

        Вроде он отметил, что его домашние просят устанавливать ПО. Значит, либо UAC с запросом пароля, либо отдельная учётная запись.

        Да и в ВК надо каждый раз пароль ввводить, если несколько человек им пользуются.

        Можно использовать профили браузеров и их одновременный запуск через разные ярлыки. Я так маме настроил (не спрашивайте, зачем ей несколько учёток ВК).

        Ваша оценка: Thumb up Thumb down 0
      • Джонни

        01.03.2016 в 18:49

        Сейчас малварь исключительно живуча. В последнее время часто вычищаю всякую дрянь типа мейлру агентов которая ставится в appdata преспокойненько от имени обычного пользователя.. Как так получается?

        Ваша оценка: Thumb up Thumb down 0
        • Vadim Sterkin

          01.03.2016 в 19:11

          Без прав администратора систему не обрушить, пусть сидит себе в профиле. Дальнейшее — уже вопрос, относится то или иное ПО к малвари, и определяют это антивирусные вендоры, включая Майкрософт.

          Ваша оценка: Thumb up Thumb down 0
          • Алексей

            03.03.2016 в 03:47

            Возможно, лично Вы и имеете веру в безопасность Windows, но я лично нередко сталкивался с прекрасно работающими вирусами на Win7 и Win8-8.1, которые пользователь незаметно для себя запустил в пользовательской учётной записи, и дел они творили немало, не говоря про пресловутые шифровальщики. Всякие недобрые хакеры постоянно находят пути обхода всей этой безопасности.

            Ваша оценка: Thumb up Thumb down 0
          • Vadim Sterkin

            03.03.2016 в 10:14

            Алексей, я верю в границы защищенной зоны (коей UAC не является, о чем вообще-то и рассказ). Поэтому приведите пример шифровальщика, способного заблокировать систему без прав администратора.

            Ваша оценка: Thumb up Thumb down 0
          • Виталий

            03.03.2016 в 15:42

            Систему они не заблокируют, но все личные данные пользователя зашифровать могут влёгкую. Что по моему намного хуже, чем упавшая ОС.
            Впрочем, ОС типа Linux от этого так же не спасут.

            Ваша оценка: Thumb up Thumb down 0
          • Vadim Sterkin

            03.03.2016 в 16:54

            Виталий, так при чем тут безопасность Windows и моя вера в нее, о которых говорит Алексей? :) Юзер получил письмо > открыл вложение > забил на предупреждения на желтом фоне. При этом он считал, что у него есть голова на плечах и не пользовался актуальным антивирусом (0-day в расчет не беру) и не делал бэкап. Он и получил по заслугам.

            Ваша оценка: Thumb up Thumb down 0
        • Виталий

          03.03.2016 в 15:46

          Как так получается?

          А что такого? Ограниченные права позволяют запускать приложения из любых мест, а appdata разрешён на запись.
          От такого сможет защитить SRP или AppLocker, притом надёжно, но с ними свои проблемы.

          Ваша оценка: Thumb up Thumb down 0
  11. beatcracker

    01.03.2016 в 12:57

    «Когда в системе нет ни одной активной учетной записи с правами администратора, встроенный администратор автоматически включается при входе в безопасный режим!»

    Не совсем верно. Можно залогинится под аккаунтом встроенного администратора в безопасном режиме, независимо от того, выключен он или нет. Для того, чтобы он был доступен в обычном режиме, его все равно придется включать вручную. Я бы переформулировал для ясности.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 13:51

      Экран входа в безопасный режим чистой установки Windows 10.
      John Smith — администратор, созданный при установке. Встроенный выключен. Как с ним войти?


      Увеличить рисунок

      Ваша оценка: Thumb up Thumb down 0
      • Евгений

        01.03.2016 в 14:02

        Интересно… А тут нет фишки клика на кнопке выключения с зажатым Shift?)))

        Ваша оценка: Thumb up Thumb down 0
        • Vadim Sterkin

          01.03.2016 в 14:13

          С зажатым шифт вас вернет в RE.

          Ваша оценка: Thumb up Thumb down 0
      • Евгений

        01.03.2016 в 14:53

        Клавиша «ввод».

        Ваша оценка: Thumb up Thumb down 0
        • Vadim Sterkin

          01.03.2016 в 14:56

          Евгений, излагайте яснее…

          Ваша оценка: Thumb up Thumb down 0
  12. Роман

    01.03.2016 в 13:36

    Vadim Sterkin: Вы по диагонали читали? Не открываются у встроенного администратора, если не изменены политики. »

    У меня одна учетка встроенного админа, uac отключен, до не давней поры считал «не открывание» метро прог от встроенного админа только плюсом, так как избавлялся от метро интерфейса по максимому. А теперь встает вопрос: микросовт скоро начнет продавать в своем магазине игры, первая из них это Quantum Break на dx 12, так вот, как решить проблему при помощи политик безопасности, чтобы не создавать отдельную учетку? Спасибо.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 13:56

      Роман, ответ есть в рассказе (политика).

      Ваша оценка: Thumb up Thumb down 0
      • Роман

        01.03.2016 в 22:46

        Такого параметра не было, создал его сам. Но в итоге ничего не вышло.(( ЧЯДНТ? Спасибо.

        Режим одобрения администратором для встроенной учетной записи администратора

        Данная настройка определяет, применяется ли в контроле учетных записей пользователей режим одобрения администратором к встроенной учетной записи «Администратор». Эта встроенная учетная запись по умолчанию позволяет пользователю входить в систему в режиме совместимости с Windows XP, что разрешает запускать любые приложения с полными правами администратора. По умолчанию этот параметр политики отключен.
        Возможные значения параметра:
        Включено. При выборе этого значения параметра, для встроенной учетной записи администратора будет использоваться режим одобрения администратором. При этом любая операция, требующая повышения прав, будет сопровождаться запросом на подтверждение операции.
        Отключено. Встроенная учетная запись администратора выполняет все приложения с полными правами администратора.
        Настройки текущей политики при помощи реестра:

        ;Отключить
        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
        "FilterAdministratorToken"=dword:00000000
        Ваша оценка: Thumb up Thumb down 0
        • Vadim Sterkin

          01.03.2016 в 23:01

          Роман, короче, см. п. 1 тут.

          Ваша оценка: Thumb up Thumb down +1
          • Роман

            09.03.2016 в 11:42

            Получилось, но появился интересный момент. Steam стал каждый раз просить пароль, то есть он его не хочет сохранять. Побочка видимо какая-то))

            Ваша оценка: Thumb up Thumb down 0
          • Vadim Sterkin

            09.03.2016 в 12:57

            Роман, вы экспериментировали после прочтения статьи или пришли сюда в поисках решения?

            Ваша оценка: Thumb up Thumb down 0
  13. Юрий Иунин

    01.03.2016 в 14:27

    Учетная запись администратора. Контроль учетных записей включен.
    Домашние работают под своими учетными записями, их права ограничены.

    Ваша оценка: Thumb up Thumb down +1
    • Виктор Коляденко

      07.02.2017 в 21:42

      А никто не пробовал совсем ограничивать учетку пользователя родительским контролем — запуск только разрешенных приложений? Хотя будет геморой, например — когда Хром новую версию поставит в AppData (кажется так когда-то было, но сейчас вижу, что в C:\Program Files (x86)\Google\Chrome\Application лежит exe, а в папке версии уже всякие *.dll).

      Ваша оценка: Thumb up Thumb down 0
  14. Pavel

    01.03.2016 в 15:18

    Почему некуда вводить учетные данные

    Данная проблема также воспроизводится в 8.1 Pro при наличии и нулевом значении dword-параметров вида имя_админской_учетки в ветке

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList

    Поясню на своем примере. Есть 2 учетные записи: user (входит только в группу Пользователи) и admin (входит в группу Администраторы). Если при этом в указанной ветке реестра имеется параметр admin с нулевым значением, то у user’а наблюдается описанный вами эффект, показанный на первом изображении.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 18:21

      Павел, в чистой системе этих параметров нет. Видимо, вы их создали. А так, логично — система же смотрит куда-то, прежде чем показать диалог. Раз нет администраторов, нет и полей для ввода.

      Ваша оценка: Thumb up Thumb down 0
  15. Роман Соломаха

    01.03.2016 в 15:42

    Разделяю учетные и ставлю на пароли, ограниченные права для особо важных дел.

    Ваша оценка: Thumb up Thumb down 0
  16. Виталий

    01.03.2016 в 15:55

    Мы уже обсуждали эту тему, но прошло почти пять лет

    Разве? Кажется я там участвовал. Неужели прошло 5 лет?
    Впрочем, у меня ничего не меняется.
    Встроенная учётная запись администратора под паролем для админских дел и повседневная для повседневной работы.
    UAC отсутствует как класс ))

    Хотя Windows сопротивлялась подобным настройкам, требуя одного администратора помимо встроенного. Уже и не помню, как это обходил.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 17:50

      Виталий, ваш первый коммент в блоге — июль 2011, а статья про отдельные учетные записи появилась в апреле 2011.

      Ваша оценка: Thumb up Thumb down 0
  17. Лев Никитин

    01.03.2016 в 17:32

    Добрый день!
    1. Работаю под администратором, UAC включен на среднем уровне.
    2. Нет, из семьи только жена, которой вполне можно доверить компьютер )
    3. Нет, из-под той же административной записи.
    Знаю, что неправильно, но иначе неудобно и непривычно.
    Отдельная запись есть только для удаленного RDP-доступа.
    Речь про домашний компьютер.

    Ваша оценка: Thumb up Thumb down 0
  18. Вячеслав Белецкий

    01.03.2016 в 19:28

    Здравствуйте.
    — Работаю под простым пользователем. UAC включен.
    — Все кто так или иначе работают за моим компьютером имеют отдельные учетные записи со своими паролями.
    — Да все работают под учетками с правами простого пользователя.

    Ваша оценка: Thumb up Thumb down +2
    • Vadim Sterkin

      01.03.2016 в 21:06

      Зачет!

      Ваша оценка: Thumb up Thumb down 0
  19. Сергей Золотарёв

    01.03.2016 в 20:57

    Дома у меня Windows Debian )), поэтому, естественно, работаю из-под ограниченного пользователя.
    Отдельных учёток для членов семьи нет.
    На фирме у всех стоит Windows и все работают из-под ограниченной учётки, даже начальство)) Пароль админа только у меня. Единственное неудобство возникло, когда дизайнер попросил, чтобы Photoshop запускался без запроса пароля. Ох и натанцевался я с бубном((

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 21:06

      Сергей, а что тут танцевать? Для обычного пользователя на клиенте только небезопасное решение есть. Безопасное — в направлении RemoteApp.

      Ваша оценка: Thumb up Thumb down 0
  20. RednaxelA

    01.03.2016 в 21:20

    Windows 7
    Встроенная учетка Администратора отключена (пароль изменен). Имею 3 учетных записи: одна с правами администратора — для установки софта, работы т.п.; вторая учетка — обычный пользователь, пароль (для себя) — повседневное использование, третья учетка — обычный пользователь, простой пароль — для жены.

    Ваша оценка: Thumb up Thumb down 0
  21. Матвей Солодовников

    01.03.2016 в 23:36

    1. На домашнем компьютере работаю с правами администратора. Пароль есть. UAC включен.
    2. У жены есть на моем компьютере отдельная учетка с ограниченными правами. Пароль есть. Также у жены есть свой ноутбук, там все как и на стационарном: я админ, она пользователь. UAC включен.
    В общем, полная диктатура. Зато за пять лет ни одного зловреда не проскочило.

    P. S. И да, ура — Холмс! Читал с удовольствием!

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      01.03.2016 в 23:38

      Да уж, года три не было :) Спасибо, Матвей!

      Ваша оценка: Thumb up Thumb down 0
  22. Николай

    02.03.2016 в 00:46

    Вадим, классная запись, спасибо! :)
    1. Дома Windows 10. С давних времен Windows 2000 и на работе и дома работаю с обычными правами. UAC включен с параметрами по-умолчанию. Пароль простой, настроен автоматический вход.
    Для административных дел созданы две учетки: admin и резервный admin2 с одинаковыми паролями посложнее. Частый ввод пароля на запрос UAC совершенно не напрягает, да и лишний раз задуматься над тем, что собираешься сделать никогда не помешает.
    2. Отдельные учетки для домашних не создаю. Полное доверие, секретов нет.
    3. Все работают под той же ограниченной учетной записью и знают, что если я отошел, а на компе выполнен вход под админом, то там работать нельзя.

    P.S.
    Когда у народа стала появляться Vista и посыпались жалобы на эту UAC, можно сказать заочно ее возненавидел. :) Однако, к тому моменту, когда компьютер был наконец обновлен и появилась Windows 8.1 были прочитаны разные интернеты и главным из них стал Ваш блог с соответствующими статьями про UAC, поэтому мысли об ее отключении уже не возникали. :) Спасибо.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      02.03.2016 в 12:44

      Николай, интересно, как ваши домашние вникают, под каким пользователем у вас выполнен вход. И не проще ли вам блокировать систему…

      Ваша оценка: Thumb up Thumb down 0
  23. Ramkulov

    02.03.2016 в 05:45

    У меня так было в Windows 2000 на домашнем компьютере.

    Установил Windows заново.

    Ваша оценка: Thumb up Thumb down 0
  24. Алексей

    02.03.2016 в 09:43

    Очень занимательный стиль изложения, хорошо разбавляет рабочие будни. Да и материал полезный, спасибо!

    На вопросы:
    1) Работаю с админскими правами, UAC на уровне 2 (второй уровень снизу). Пробовал, по многочисленным наставлениям, работать в Win7 с пользовательскими правами, ой как намучился в работе. Я всё же сам админ, а не пользователь, могу разобраться, выстрелю ли я себе в ногу или нет. Проблем с этим не было. Пользователи мои на работе всегда с пользовательскими правами, им много не надо, а если что, попросят.
    2) Дома конечно, на свой компьютер пускаю только под отдельной учёткой.
    3) Права домашних тоже админские, ничего плохого никто не наворотит, тут уже вопрос доверия и общения, если что надо, меня сами попросят поставить. С пользовательскими правами очень много проблем, особенно когда меня нет рядом.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      02.03.2016 в 13:04

      Рад, что вам понравилось, Алексей.

      Ваша оценка: Thumb up Thumb down 0
    • Николай

      02.03.2016 в 21:53

      Алексей: С пользовательскими правами очень много проблем, особенно когда меня нет рядом.
      »

      Не могли бы Вы уточнить, какие именно проблемы. Сколько работаем с ограниченными правами, никаких проблем. Что мы делаем не так?

      Ваша оценка: Thumb up Thumb down 0
      • Алексей

        03.03.2016 в 03:40

        Давайте начнём с главного: в Windows7 механизм ограничения прав подразумевает наличие администратора в «шаговой доступности», либо физически, либо удалённо. А ты можешь быть на работе или где-то ещё, когда твоим близким может понадобиться от компьютера что-то новое, например, обновить что-то или установить игру, или поставить программку, которая нужна прям немедленно.
        В корпоративной среде подобные ограничения очень важны, как защита от человеческого фактора в первую очередь, подразумевается, что пользователь работает в уже настроенной среде и ничего нового ему в принципе не понадобится, а если что, есть администратор.
        Но, по сути, единственная разница работы администратора и пользователя, при включенном UAC, это табличка с кнопочкой «Да» либо ввод пароля админа. И домашним ты в любом случае сам выдашь пароль админа, так что смысла с этого нет.
        Любое ограничение для ребёнка это лишь вызов для него, а для мамы-бабушки это лишняя проблема, которую может возникнуть потребность срочно решать по телефону, чего я бы и врагу не пожелал…

        Ваша оценка: Thumb up Thumb down 0
  25. виталий чернышов

    02.03.2016 в 09:49

    Дома комп с windows 10, использую учетную запись microsoft для входа. UAC включен, настройки по умолчанию, пароль учетной записи microsoft 18 символов из генератора keepass, для входа пинкод. Считаю себя продвинутым пользователем, поэтому учетка админа не смущает, программы ставлю новые довольно редко, по странным варезным сайтам не ищу, внезапное появление окна UAC да еще от программы без подписи сразу бы смутило. Раз в месяц проверяю комп утилиткой от касперского, ничего не находило последние лет 5 точно.

    У матушки ноутбук с windows 7, UAC так же включен, матушка работает под ограниченной учетной записью, чтобы случайно что то не поломала, да и меньше шансов что вирус убьет систему. Документы хранить приучил матушку в дропбоксе, даже если поймает какой локер то у дропбокса есть версии, можно откатить к предыдущей, несколько раз выручало. Автообновления включены, firefox обновляется сам даже из под ограниченной записи, у флеша есть служба и он так же обновляется сам. Создана учетка админа с паролем для обслуживания, пользуюсь ей когда подключаюсь через. teamviewer

    Вообще считаю что отключать UAC и работать под админом это верх идиотизма, для полного счастья не хватает только отключить корзину и предупреждения об удалении. Тогда будет полный комплект для выстрела себе в ногу. Записывать в системные папки и удалять из них рядовому пользователю требуется редко, не сложно и пароль/пинкод ввести, а для игр/браузера/офиса окно UAC вообще никогда не выскочит.

    Ваша оценка: Thumb up Thumb down +1
    • Vadim Sterkin

      02.03.2016 в 12:59

      виталий чернышов: пароль учетной записи microsoft 18 символов из генератора keepass »

      Виталий, видать, вы никогда его не вводили на других устройствах, где вашей базы KeePass нет. Это быстро отучает от излишне безопасных паролей. Лучше вменяемый пароль + двухфакторная аутентификация.

      Ваша оценка: Thumb up Thumb down 0
      • виталий чернышов

        02.03.2016 в 14:29

        Виталий, видать, вы никогда его не вводили на других устройствах, где вашей базы KeePass нет.

        Vadim Sterkin, такое крайне маловероятно, копия базы всегда со мной в кармане в телефоне.
        Использую связку dropbox+keepass для синхронизации между телефоном и компьютером. Одна база на компе, вторая на телефоне, еще одна копия в папке onedrive, она расшарена между мной и матушкиным ноутбуком, чтобы уменьшить шанс потерять всю базу в том маловероятном случае если помрут одновременно и телефон и компьютер в один день. Синхронизация между onedrive и dropbox сделана самым простым способом — хардлинком в каталог onedrive.

        Возможно кто то скажет что это излишняя паранойя, а кто то наоборот что база паролей болтается много где. Но мне нужно лишь помнить пароль+ключевой файл, пароль устойчивый, а ключевой файл это, скажем так, небольшой файлик чуть меньше 10кб который можно всегда скачать из интернета за минуту с огромного кол-ва разных сайтов воспользовавшись гуглом. Главное знать именно это и есть ключевой файл, на нем же не написано. Вдруг это d3dx9.dll или command.com?

        Да, конечно, вводить рандомный пароль на компе с экрана телефона не очень удобно, но это требуется не так уж и часто. Самое ценное, а это почта на гугле, к которой привязано все, и потеря будет равносильна катастрофе, и аккаунт dropbox — там пароль+двухфакторная авторизация. Очень удобно что dropbox работает с приложением Google Authenticator, не нужно доп. программ ставить на телефон.

        Двухфакторную защиту учетной записи microsoft не делал, т.к. она не работает с приложением гугла, ставить еще один генератор кодов просто неохота. Надежный пароль выручает, по крайней мере пока не пойдут в массы квантовые компьютеры. На домашнем компьютере пароль от учетной записи вводится один раз, далее пинкод. Еще раз ввел чтобы авторизоваться в этом блоге, т.к. пишу с работы :) Больше не помню чтобы руками вводил пароль.

        Ваша оценка: Thumb up Thumb down +1
        • Vadim Sterkin

          02.03.2016 в 16:07

          Виталий, для 2ФА Microsoft на Android есть прекрасное приложение Microsoft Account, удобнее гугловского.

          Ваша оценка: Thumb up Thumb down 0
        • Dmitriy Safronov

          13.03.2016 в 01:30

          Странно, но у меня учётная запись Microsoft именно с приложением Google Authentificator и работает. А за наводку на дружащий с ним же Dropbox — спасибо!

          Ваша оценка: Thumb up Thumb down 0
  26. Alexander O.

    02.03.2016 в 11:36

    Дома на своём ПК решил перейти с использования ограниченной учётной записи на администраторскую, НО с одной оговоркой — я выставил политику «Контроль учётных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором» на «Запрос учётных данных» (пароль от личной УЗ у меня установлен, автологин не настроен).

    В моём случае это избавляет от проблем с некоторым ПО, которое имеет манеру делать настройки только в рамках того профиля, под которым оно получило повышение привилегий, при этом сохраняя должный уровень безопасности.

    Все домашние же сидят под ограниченными учётными записями, соответственно и проблем минимум.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      02.03.2016 в 12:54

      Alexander O.: В моём случае это избавляет от проблем с некоторым ПО, которое имеет манеру делать настройки только в рамках того профиля, под которым оно получило повышение привилегий, при этом сохраняя должный уровень безопасности. »

      Непонятно, что меняет ввод пароля. Профиль один и тот же ведь.

      Ваша оценка: Thumb up Thumb down 0
      • Alexander O.

        02.03.2016 в 13:12

        Vadim Sterkin:
        Непонятно, что меняет ввод пароля. Профиль один и тот же ведь.
        »

        Раньше у меня было две учётные записи — условно admin и user, так вот при запуске некоторых приложений из-под user выводился запрос на повышение прав, права поднимались при помощи учётки admin и все изменения уже фактически вносились именно в профиль этого самого admin-а, под которым мне не хотелось работать.

        Ваша оценка: Thumb up Thumb down 0
        • Vadim Sterkin

          02.03.2016 в 13:42

          А, если одна УЗ, то все понятно.

          Ваша оценка: Thumb up Thumb down 0
  27. Herz Mein

    02.03.2016 в 12:22

    Все стандартно. Если нужен админ поднимаю права в консоли:

    start-process powershell -verb runas
    
    Ваша оценка: Thumb up Thumb down 0
  28. Сергей Казнадей

    02.03.2016 в 14:41

    Привычка работать только с обычными правами. Учеток две — моя на live.ru с простыми правами и жены на outluck.com тоже с простыми правами. Встроенная учетная запись Администратор запаролена и переименована. Разные учетки у меня и жены для удобной настройки панели быстрого запуска и начального экрана, ассоциаций файлов и программ.

    Ваша оценка: Thumb up Thumb down 0
  29. Сергей Казнадей

    02.03.2016 в 15:14

    Vadim, вопрос из раздела вечных. Когда Microsoft уберет одну из основных лазеек для вирусов — галочку в «Скрывать рассширения для зарегистрированных типов файлов»? Среди моих знакомых три четверти попались именно на том, что запускали видео или фото, а получили екзешник.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      02.03.2016 в 16:05

      Сергей, никакая это не лазейка. Если ваши знакомые отключили контроль учетных записей или одобрили запуск зловреда своими руками, они сами виноваты. Уяснить это поможет статья Программа PsExec, контроль учетных записей и границы защищенной зоны.

      Ваша оценка: Thumb up Thumb down 0
  30. Сергей Анваров

    02.03.2016 в 16:32

    Все еще Windows 7. Единственная учетка админа — встроенная, и та переименована. Все остальные (жена, дети и сам) — отдельные учетки с правами пользователя. UAC включен. Для детей еще дополнительные ограничения: сайты по категориям (в зависимости от возраста) — через антивирус, время работы — через отдельную программу.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      02.03.2016 в 17:19

      Единственная учетка админа — встроенная, и та переименована.

      Сергей, без уточнений это значит, что UAC отключен. И при этом вы занимаетесь переименованием встроенного админа, SID которого хорошо известен :)

      Ваша оценка: Thumb up Thumb down 0
      • Сергей Анваров

        03.03.2016 в 18:29

        Для меня это не очевидный вывод. Тем более, что при работе возникают запросы повышения прав, это значит, что UAC включен, что я и написал. Со мной согласна и Windows, когда в параметрах настройки контроля учетных записей сообщает, что «Служба контроля учетных записей всегда будет выдавать уведомления и ожидать ответные действия».
        Не очень понял, при чем здесь известный SID пользователя. Регистрация (предположительно, нежелательная) идет, обычно, через имя/пароль. Простой способ лишить уже имени повышает уровень безопасности, заодно позволяя правильно разложить иконки в окне приветствия, которые располагаются в алфавитном порядке учеток (имен, не названий).

        Ваша оценка: Thumb up Thumb down 0
        • Vadim Sterkin

          03.03.2016 в 22:32

          Сергей, поясняю.

          1. Если вы работаете под встроенным админом и не распространили на него UAC политикой (о чем вы ничего не сказали), то никаких запросов UAC нет, вы постоянно работаете с полными правами.

          2. Известный SID пользователя при том, что хакерские атаки могут использовать его вместо имени пользователя. Непонятно, от чего вы защищаетесь переименованием на домашнем ПК. Домашним имя пользователя все равно известно, а извне… как вы себе представляете атаку перебором на ваш ПК?

          Ваша оценка: Thumb up Thumb down 0
          • Сергей Анваров

            03.03.2016 в 23:23

            1. Фраза

            …и сам) — отдельные учетки с правами пользователя

            означает, что я работаю не от имени встроенного администратора, и с правами пользователя. Заходить в профиль админа почти никогда не приходится: достаточно запроса UAC в случае необходимости.
            2. Переименование имеет смысл как раз только для защиты от внешних угроз. Если я уже внутри (хоть почти бесправный), то узнать всех пользователей и их SIDы уже не представляет проблемы. Даже если вероятность эксплуатации известного имени почти нулевая, то простота способа «переименовать» оправдывает усилия ради этого почти. К тому же есть и вторая причина (как я указал ранее).

            Ваша оценка: Thumb up Thumb down 0
          • Vadim Sterkin

            04.03.2016 в 11:00

            Теперь понял. Что ж, тогда все укладывается в общую параноидальность :)

            Ваша оценка: Thumb up Thumb down 0
  31. Николай

    02.03.2016 в 21:04

    Vadim Sterkin: Николай, интересно, как ваши домашние вникают, под каким пользователем у вас выполнен вход. И не проще ли вам блокировать систему…
    »

    Очень просто. На Рабочем столе ограниченной учетной записи красивые обои из набора Footpaths
    http://windows.microsoft.com/en-ca/windows/footpaths-download-theme
    а у админской Рабочий стол однотонный и с другими ярлыками.
    Систему иногда блокирую когда приезжает племянница и, например, не делает уроки. :) Еще иногда блокирую чтобы посмотреть новый фон экрана блокировки, который закачала Windows 10. :)

    Ваша оценка: Thumb up Thumb down 0
  32. Алексей

    03.03.2016 в 10:28

    Алексей, я верю в границы защищенной зоны. Поэтому приведите пример шифровальщика, способного заблокировать систему без прав администратора.

    Прошу прощения, почему-то кнопка «ответить» на том комментарии недоступна.

    Я, к сожалению, не собираю коллекцию зловредов, но 3-4-5 лет назад я довольно часто сталкивался именно с блокировщиками системы, той или иной степени зловредности. Хотя страшны не они, сейчас довольно часто люди ловят шифровальщиков, которым не нужны права администратора, я это имел в виду. И они просто шифруют всё, до чего дотянутся, включая сетевые каталоги.
    Впрочем, спорить, возможно ли обойти безопасность Windows, находясь в ограниченной среде, я не буду, не хакер и не безопасник, соответственно, не смогу предметно вести диалог.
    Но лишняя заслоночка на пути к зловредам никогда не помешает, в любом случае.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      03.03.2016 в 11:13

      Вы не спорите, вы просто повторяете тезис без доказательств. В этом блоге такое не катит.

      Ваша оценка: Thumb up Thumb down 0
  33. Артём Жечев

    03.03.2016 в 15:33

    На моё ПК одна учётка, а вот отцу на ноутбуке сделал две: админа и юзера. Когда пришлось распечатать с него, подключив принтер, нужно было установить драйвера. При вводе пароля админа ничего не происходило. Так и не поставил из-под юзера, пришлось логиниться в админа.
    Некогда разбираться со всеми этими правами, но судя по моему немногочисленному опыту, работает эта система в 2016-м году не совсем корректно, мягко говоря.

    Ваша оценка: Thumb up Thumb down 0
  34. Mr.Logan

    04.03.2016 в 02:23

    Учетка с правами админа, пришлось включить UAC потому что без него не запускался калькулятор командой calc, работаю за ПК сам, UAC всегда выключал на 8.1, мешают постоянные запросы на запуск приложений, сам себе голова, лишнего не пропущу. Упустил момент возможности отката до 8.1, теперь страдаю от непонятных зависаний раз в пару недель. Возможно из-за разгона цп до 4.5ггц, но на 8.1 все работало как часы. Остался образ 8.1 акронисом, но нужно переписать кучу нужного барахла с диска С.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      04.03.2016 в 15:23

      И какие же приложения у вас постоянно требуют повышения прав?

      Ваша оценка: Thumb up Thumb down 0
      • Mr.Logan

        07.03.2016 в 14:49

        На вин10 все изменения в фаерволе nod32 smart security требовали подтверждения + на win8.1 только что проверил — punto switcher, nod32view, ammy admin, aida 64, aomei partition assistant и еще маленькая тележка, которых сходу не вспомню.

        Ваша оценка: Thumb up Thumb down 0
        • Vadim Sterkin

          07.03.2016 в 16:17

          Ни одно приложение не подразумевает регулярного запуска. Ammy Admin — может быть, но зачем ему полные права — большой вопрос. А работа Punto Switcher с полными правами — вообще нонсенс.

          Ваша оценка: Thumb up Thumb down 0
  35. Виталий Морозов

    04.03.2016 в 14:20

    Работаю в 8-10 с уз Microsoft, имеющей права локального администратора.
    UAC всегда был по умолчанию, даже на Висте.
    У каждого дома есть свой ПК, только у ребенка и мамы нет root пароля.

    Ваша оценка: Thumb up Thumb down 0
  36. Игорь

    04.03.2016 в 19:36

    Перейдя с ХР на 7-ку так и не смог привыкнуть к учёткам и контролю. Обхожусь. Устанавливая 8-ку первым делом привожу всё к админу. На случай сбоев храню образа систем, причём не только свои, но и тех, кому ставил ОСь. Это, разумеется крайний случай, но переустановка за 20 минут не сложна. Как ни странно, но пригодилось только раз, и то, когда с паралельным Линуксом накосячил. Может я не прав. Но мне так удобно. Однако за интересный рассказ спасибо! Как пить дать- пригодится!

    Ваша оценка: Thumb up Thumb down 0
    • Эдуард Пысларук

      09.04.2016 в 11:33

      Игорь: На случай сбоев храню образа систем »

      в Красном углу дома с лампадками и свечами. :)

      Ваша оценка: Thumb up Thumb down 0
  37. Алексей Литвинов

    07.03.2016 в 23:58

    Напишите пожалуйста статью, о том, как правильно установить windows -> последовательность установки драйверов — > и настройки системы для пользователей. В общем — последовательность установки и настройки windows для нескольких пользователей. Это было бы познавательной инструкцией для многих, кто читает ваш форум.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      08.03.2016 в 11:57

      Алексей, все необходимые драйверы ставятся автоматически с Windows Update, пока вы рабочий стол рассматриваете. Так что не о чем тут писать.

      И у меня точно не форум :) А для предложений есть форма обратной связи, ссылка аж дважды на каждой странице.

      Ваша оценка: Thumb up Thumb down +1
  38. Артём Родин

    21.03.2016 в 12:10

    Только что столкнулся со схожей проблемой в Windows 7: добавил в

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

    обе учетные записи администраторов чтобы скрыть их из окна приветствия. После этого запуск от имени администратора начал показывать окно аналогичное тому, которое указано в посте — без возможности ввести логин или пароль администратора. Если попробовать запустить из под «другого пользователя» с зажатым шифтом, система выдавала ошибку о том, что файл не найден (в случае, например, с regedit). Однако, мне удалось запустить таким образом cmd.exe и уже из неё всё что мне нужно. Чем принципиально запуск cmd.exe отличается от regedit я не понял, однако устранить проблему мне удалось.

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      21.03.2016 в 16:10

      Это уже выше обсуждалось. В данном случае проще, потому что права админа сохраняются, а запустить консоль — дело техники (#2).

      Ваша оценка: Thumb up Thumb down 0
  39. SAM

    31.03.2016 в 08:12

    Vadim Sterkin: Не открываются у встроенного администратора, если не изменены политики. »

    Вадим, а какие политики нужно изменить для этого?

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      31.03.2016 в 09:46

      О которых рассказал Холмс…

      Ваша оценка: Thumb up Thumb down 0
  40. Max Fon Zoidberg

    29.04.2016 в 17:00

    Странно что нет ещё блога от Стеркина — «100 причин почему windows 10 лучше всех остальных ОС»

    Ваша оценка: Thumb up Thumb down 0
    • Vadim Sterkin

      29.04.2016 в 19:23

      В этом блоге свыше 300 причин. Когда вникните в них и захотите еще что-то написать, обращайте внимание на надпись «Добавить толковый комментарий» над формой.

      Ваша оценка: Thumb up Thumb down +1
      • Дмитрий Караван

        11.01.2017 в 20:29

        Вадим , помогите пожалуйста. Столкнулся вот с какой бедой. У меня WINDOWS 7 MAX. Я в один прекрасный день обнаружил на компьютере при входе две учетные записи , -одна админская ,-другая -гость! Кто ее создал неясно ! Жена и ребенок клянутся что этого не делали! Да и они сами страдают от этого потому как ничего сделать или установить невозможно! Дисковод перестал отвечать . Как только я ставлю диск , и нажимаю кнопку закрыть, диск закрывается но тут же открывается. Флешки нет . Все мои попытки разблокировать комп по всем мудрым советам натыкаются на одно и тоже-В доступе отказано! Я стал постоянно наблюдать чью то активность в системе С 90 Гб на диске С осталось 1.5 Гб!!!! Чем забит неясно! Попытка зайти в самые тяжолые папки- В доступе отказано!!!! Есть ли какой способ удалить этого админа?????

        Ваша оценка: Thumb up Thumb down 0
        • Vadim Sterkin

          11.01.2017 в 21:39

          Вам в http://www.forum.oszone.net

          Ваша оценка: Thumb up Thumb down 0

Навигация по комментариям

1 2 Далее →

Обсуждение завершено.

Subscribers

Популярные записи

  • О роли головного мозга в защите операционной системы (246)
  • Что мешает Windows 10 уйти в сон (26)
  • Как Microsoft раскатывает новые версии Windows 10 (36)
  • Откуда берутся нежелательные программы (64)
  • Как удалить неудаляемые языки в Windows 10 (9)
  • 15 сочетаний клавиш, которые делают жизнь проще (89)
  • Как бесплатно получить Windows 10 (вопросы и ответы) (445)
  • Еще →

Свежие комментарии

  • Виктор Гораев к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Vadim Sterkin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Stanislav Vershinin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Vadim Sterkin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Vadim Sterkin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Diogen к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Alexander Kuzin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Vadim Sterkin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки

Рекомендую ресурсы

  • Windows 10, etc — канал этого блога в Telegram
  • Инсайдеры Windows 10 — чат блога в Telegram
  • Community — новости предварительных сборок
  • Николай Павлов — тайны планеты Excel
  • Вадимс Поданс — PKI, PowerShell и Тера Патрик
  • Василий Гусев — PowerShell и другие скрипты
  • Kazun — PowerShell для взрослых

Реклама

Измененная тема eleven40 Pro на платформе Genesis · Архивы и метки · Правила (16+) · О рекламе · Обратная связь · Вход

Допускается копирование материалов без изменений, с указанием имени автора и гиперссылки на сайт.