Принудительные ограничения входа пользователей
Описание рекомендаций, расположения, значений, управления политиками и рекомендаций по обеспечению безопасности для параметра политики безопасности Принудительное применение ограничений входа пользователей .
Справочные материалы
Параметр политики Принудительное использование ограничений для входа в систему определяет, проверяет ли центр распространения ключей Kerberos версии 5 каждый запрос на запрос на вход в сеанс с политикой прав пользователя учетной записи пользователя. Проверка каждого запроса для билета сеанса необязательна, так как дополнительный шаг занимает время и может замедлить сетевой доступ к службам.
Возможные значения для этого групповая политика параметра:
- Enabled
- Отключено
- Не определено
Рекомендации
- Если этот параметр политики отключен, пользователям могут быть предоставлены билеты сеанса для служб, которые они не имеют права использовать. Рекомендуется установить для параметра Принудительное использование ограничений для входа пользователей в значение Включено.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Enabled |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | Неприменимо |
| Действующие параметры по умолчанию контроллера домена | Enabled |
| Действующие параметры по умолчанию для рядового сервера | Неприменимо |
| Действующие параметры по умолчанию для клиентского компьютера | Неприменимо |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Перезапуск устройства не требуется, чтобы этот параметр политики вступил в силу.
Групповая политика
Клиентские устройства получат новый параметр во время следующего запланированного и успешного групповая политика обновления. Но для немедленного назначения этих новых параметров контроллерами домена требуется gpupdate.exe /force. На локальном устройстве подсистема конфигурации безопасности обновит этот параметр примерно через пять минут.
Параметры применяются в следующем порядке через объект групповая политика , который перезаписывает параметры на локальном компьютере при следующем обновлении групповая политика:
- Параметры локальной политики
- Параметры политики сайта
- Параметры политики домена
- Параметры политики подразделения
Если локальный параметр выделен серым цветом, он указывает, что объект групповой политики в настоящее время управляет этим параметром.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Если этот параметр политики отключен, пользователи могут получать билеты сеанса для служб, которые они больше не имеют права использовать, так как право было удалено после входа в систему.
Противодействие
Включите параметр Применить ограничения входа пользователей .
Возможное влияние
Нет. Это состояние не влияет на конфигурацию по умолчанию.
Связанные темы
Обратная связь
Были ли сведения на этой странице полезными?
Обратная связь
Отправить и просмотреть отзыв по
Назначение прав пользователя
Содержит обзор и ссылки на сведения о параметрах политики безопасности назначения прав пользователя, доступных в Windows. Права пользователя определяют методы, с помощью которых пользователь может войти в систему. Права пользователей применяются на уровне локального устройства и позволяют пользователям выполнять задачи на устройстве или в домене. К правам пользователя относятся права на вход и разрешения. Права входа определяют, кто имеет право на вход на устройство и как они могут войти в систему. Разрешения прав пользователя управляют доступом к ресурсам компьютера и домена, а также могут переопределять разрешения, заданные для определенных объектов. Права пользователя управляются в групповая политика в разделе Назначение прав пользователя.
Каждое право пользователя имеет постоянное имя и связанное с ним имя групповая политика. Имена констант используются при ссылке на пользователя в событиях журнала. Параметры назначения прав пользователя можно настроить в следующем расположении в консоли управления групповая политика (GPMC) в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя или на локальном устройстве с помощью редактора локальных групповая политика (gpedit.msc).
Сведения о настройке политик безопасности см. в разделе Настройка параметров политики безопасности.
В следующей таблице приведены ссылки на каждый параметр политики безопасности и указаны имена констант для каждого из них. Описания параметров содержат справочные сведения, рекомендации по настройке параметра политики, значения по умолчанию, различия между версиями операционной системы и рекомендации по управлению политиками и безопасности.
| Параметр групповая политика | Имя константы |
|---|---|
| Доступ к диспетчеру учетных данных от имени доверенного вызывающего | SeTrustedCredManAccessPrivilege |
| Доступ к этому компьютеру из сети | SeNetworkLogonRight |
| Работа в режиме операционной системы | SeTcbPrivilege |
| Добавление рабочих станций к домену | SeMachineAccountPrivilege |
| Настройка квот памяти для процесса | SeIncreaseQuotaPrivilege |
| Локальный вход в систему | SeInteractiveLogonRight |
| Разрешить вход в систему через службу удаленных рабочих столов | SeRemoteInteractiveLogonRight |
| Архивация файлов и каталогов | SeBackupPrivilege |
| Обход перекрестной проверки | SeChangeNotifyPrivilege |
| Изменение системного времени | SeSystemtimePrivilege |
| Изменение часового пояса | SeTimeZonePrivilege |
| Создание файла подкачки | SeCreatePagefilePrivilege |
| Создание маркерного объекта | SeCreateTokenPrivilege |
| Создание глобальных объектов | SeCreateGlobalPrivilege |
| Создание постоянных общих объектов | SeCreatePermanentPrivilege |
| Создание символических ссылок | SeCreateSymbolicLinkPrivilege |
| Отладка программ | SeDebugPrivilege |
| Отказ в доступе к компьютеру из сети | SeDenyNetworkLogonRight |
| Отказ во входе в качестве пакетного задания | SeDenyBatchLogonRight |
| Отказать во входе в качестве службы | SeDenyServiceLogonRight |
| Запретить локальный вход | SeDenyInteractiveLogonRight |
| Запретить вход в систему через службу удаленных рабочих столов | SeDenyRemoteInteractiveLogonRight |
| Разрешение доверия к учетным записям компьютеров и пользователей при делегировании | SeEnableDelegationPrivilege |
| Принудительное удаленное завершение работы | SeRemoteShutdownPrivilege |
| Создание аудитов безопасности | SeAuditPrivilege |
| Имитация клиента после проверки подлинности | SeImpersonatePrivilege |
| Увеличение рабочего набора процесса | SeIncreaseWorkingSetPrivilege |
| Увеличение приоритета выполнения | SeIncreaseBasePriorityPrivilege |
| Загрузка и выгрузка драйверов устройств | SeLoadDriverPrivilege |
| Блокировка страниц в памяти | SeLockMemoryPrivilege |
| Вход в качестве пакетного задания | SeBatchLogonRight |
| Вход в качестве службы | SeServiceLogonRight |
| Управление журналом аудита и безопасности | SeSecurityPrivilege |
| Изменение метки объекта | SeRelabelPrivilege |
| Изменение параметров среды изготовителя | SeSystemEnvironmentPrivilege |
| Получение маркера олицетворения для другого пользователя в том же сеансе | SeDelegateSessionUserImpersonatePrivilege |
| Выполнение задач по обслуживанию томов | SeManageVolumePrivilege |
| Профилирование одного процесса | SeProfileSingleProcessPrivilege |
| Профилирование производительности системы | SeSystemProfilePrivilege |
| Отключение компьютера от стыковочного узла | SeUndockPrivilege |
| Замена маркера уровня процесса | SeAssignPrimaryTokenPrivilege |
| Восстановление файлов и каталогов | SeRestorePrivilege |
| Завершение работы системы | SeShutdownPrivilege |
| Синхронизация данных службы каталогов | SeSyncAgentPrivilege |
| Смена владельцев файлов и других объектов | SeTakeOwnershipPrivilege |
Связанные темы
Ограниченные учётные записи Windows 10
Делить с кем-то из близких или сотрудников по работе один компьютер – не самая приятная задача. Чтобы упредить споры, каждый из имеющих право пользования компьютером в среде Windows может создать свою, с парольной защитой учётную запись. И таким образом хоть как-то оградить своё личное виртуальное пространство. Полноправные владельцы компьютеров вправе ограничивать тех, кто время от времени использует их Windows-устройства.
Причём не только методами создания учётных записей со статусом стандартного пользователя, лишённого прав администратора. Обладая правами последнего, возможности по использованию компьютера для отдельных людей, чьи неопытные или намеренные действия могут приводить к проблемам, можно урезать в большей степени.
Как в среде Windows 10 задействовать ограниченные учётные записи?
1. Запуск только одного UWP-приложения
Учётные записи со статусом стандартного пользователя можно максимально ограничить, позволив с них запуск только одного UWP -приложения. Делается это в приложении «Параметры» из учётки администратора.
Единственным доступным приложением при таком раскладе может быть любое UWP -приложение – хоть штатное, хоть установленное в Microsoft Store, но только не браузер Edge . Тем не менее если пользователю нужно дать ограниченную среду для веб-сёрфинга, в Microsoft Store можно установить сторонний UWP -браузер.
Такая ограниченная учётная запись будет работать по принципу терминала. Выйти из неё можно нажатием Ctrl + Alt + Del .
Более гибко настроить ограничения для отдельных пользователей можно с помощью функционала редакций Windows 10, начиная с Pro.
2. Режим гостя
Для встречных-поперченных людей, которым вроде как и неудобно отказать в просьбе дать на пару минут зайти в соцсеть, но и не очень хочется подпускать к своим личным данным, в панели управления Windows 7 можно было включить специальную учётную запись гостя. В «Десятке» она никуда не делась, вот только включается чуть сложнее. В режиме гостя используется в большей степени ограниченная учётная запись, чем таковая со статусом стандартного пользователя. Гостю нельзя делать всё то, что требует прав администратора – устанавливать, удалять, запускать программы, удалять системные данные, смотреть содержимое каталогов профиля других пользователей. Нельзя использовать OneDrive . Доступ к настройкам в UWP -формате ограждён невозможностью запуска приложения «Параметры».
Чтобы включить учётку гостя в Windows 10, запускаем штатную утилиту:
lusrmgr.msc
Раскрываем каталог «Пользователи», в нём двойным кликом кликаем по «Гостю». В отрывшихся свойствах убираем все установленные галочки. Применяем.
Теперь нужно кое-что подправить в локальных групповых политиках. Открываем редактор:
gpedit.msc
Раскрываем путь, указанный на скриншоте. Открываем параметр, запрещающий локальный вход.
И тем самым активируем его учётную запись.
3. Особенный гость
Обезличенная учётка «Гость» — универсальное решение, удобное, если часто приходится принимать у себя гостей, которым всегда нужно срочно войти на пару минут в свою соцсеть. Если круг гостей узкий, можно сделать приятно, например, любимой бабушке, создав её личную учётку гостя. В той же утилите lusrmgr.msc нужно в меню «Действие» выбрать нового пользователя, дать ему имя и убрать галочку необходимости смены пароля (чтобы учётка была незапароленной) . Затем нажать «Создать».
Затем делаем двойной клик на бабушкиной учётке и в окне свойств переключаемся на вкладку «Членство в группах». Удаляем группу «Пользователи».
И добавляем группу «Гости».
Если бабушка станет реже приходить, её учётку, чтобы она не болталась на экране блокировки, можно временно отключать. Делается это в том же окошке свойств учётной записи.
Ещё больше урезать возможности гостя или стандартного пользователя можно с помощью локальных групповых политик. Ограничения, введённые ими в окне редактора gpedit.msc , будут работать для всех учётных записей компьютера. А чтобы ограничения не касались администратора и применялись только для отдельных пользователей, с политиками нужно работать через консоль MMC .
mmc.exe
Необходимо добавить новую оснастку.
Кликаем «Редактор объектов групповой политики». Нажимаем «Добавить», затем — «Обзор».
Выбираем нужного пользователя.
Закрываем форму добавления оснасток. Оснастку gpedit.msc , созданную для выбранного пользователя только что, сохраняем в удобном месте.
С этого места и будем впредь запускать эту оснастку. И ограничивать в ней права юзеров. Например, тройкой предложенных ниже способов.
4. Запрет панели управления
Режим гостя, как упоминалось, защищён от вмешательства в настройки, находящиеся в приложении «Параметры». А вот панель управления в части настроек, не требующих прав администратора, гостю доступна. Это легко можно исправить и запретить её запуск.
В созданной оснастке раскрываем путь, показанный на скриншоте. Открываем параметр, запрещающий работу с панелью управления.
В учётке со статусом стандартного пользователя этот параметр ещё и отключит приложение «Параметры».
5. Запуск только UWP-приложений
Чтобы дать человеку возможность работать только с UWP -приложениями и закрыть ему доступ к десктопным EXE -программам, можно воспользоваться параметром выполнения только указанных приложений.
Будучи включённым, этот параметр позволит поимённо указать только разрешённые для запуска EXE -программы. Нужно указать хотя бы одну такую программу, например, штатный блокнот.
6. Запуск только отдельных программ
Используя параметр выполнения только указанных приложений, можно расширить перечень разрешённых пользователю EXE -программ.
А можно сделать иначе и разрешить использовать все EXE -программы, кроме некоторых.
При попытке запуска запрещённых программ гость увидит такое вот сообщение.
Как в Windows 10 ограничить права доступа к реестру для отдельных пользователей
Чтобы исключить возможность применения твиков на корпоративных компьютерах, системные администраторы ограничивают права на редактирование реестра или отключают к нему доступ. Вы можете сделать то же самое на домашнем компьютере, но в более мягкой форме, ограничив пользователям доступ только к конкретным разделам или даже ветвям реестра. Это нетрудно, нужно только помнить, что все устанавливаемые вами разрешения могут наследоваться, то есть распространяться на вложенные элементы раздела или подраздела.
Ограничение прав доступа на целый раздел, скажем, HKCU , может привести к тому, что запускаемые от имени другого пользователя программы не смогут сохранять в реестре свои локальные настройки.
А теперь к делу.
Откройте командой regedit редактор реестра и перейдите к нужному вам ключу, пусть это будет HKLM\Software\Microsoft\Windows\CurrentVersion\Run , отвечающему за добавление элементов автозагрузки на глобальном уровне. Если же вы хотите ограничить доступ к ветке HKCU , то вам нужно будет войти в соответствующую учетную запись и выполнять действия уже в ней.
Итак, кликните ПКМ по разделу и выберите в меню «Разрешения».
В открывшемся окошке в блоке «Группы или пользователи» укажите пользователя, а если его там нет, нажмите «Добавить».
Далее «Дополнительно».
Далее «Поиск» и выберите в нижней области окна «Выбор «Пользователи» или «Группы»» учетную запись, для которой желаете ограничить доступ. Чисто для примера мы выбрали текущего Администратора.
Внизу окна разрешений нажмите «Дополнительно».
И выберите в открывшемся окне нужного пользователя. Как видите, сейчас юзер Администратор имеет к ключу полный доступ. Нажмите «Отключение наследования».
После «Преобразовать унаследованные разрешения».
После этого у вас станет доступной кнопка «Изменить», нажмите ее.
В новом окне кликните по ссылке «Отображение дополнительных разрешений»,
а когда они станут доступны, тип в выпадающем меню выберите «Запретить» и установите птички для нужных разрешений.
Например, если вы хотите запретить пользователю создавать подразделы и устанавливать значение параметров, установите галки в пунктах «Задание значение» и «Создание подраздела», нажмите «OK», заново включите наследование (можно, кстати и не включать, если на предыдущем шаге вы применили эти разрешения к объектам и контейнерам только внутри этого контейнера) .
Если вы или юзер, для которого вы задали ограничения, теперь попробуете создать в подразделе Run новый подраздел или параметр, то получите ошибку.