Учетные записи: состояние гостевой учетной записи — параметр политики безопасности
Описывает рекомендации, расположение, значения и рекомендации по безопасности для параметра политики безопасности Учетные записи: состояние гостевой учетной записи .
Справочные материалы
Параметр политики Учетные записи: состояние гостевой учетной записи определяет, включена или отключена учетная запись гостя. Эта учетная запись позволяет пользователям сети без проверки подлинности получить доступ к системе, выполнив вход в качестве гостя без пароля. Несанкционированные пользователи могут получить доступ к любым ресурсам, доступным для гостевой учетной записи по сети. Эта привилегия означает, что все сетевые общие папки с разрешениями, разрешающими доступ к учетной записи гостя, группе «Гости» или группе «Все», будут доступны по сети. Такая доступность может привести к раскрытию или повреждению данных.
Возможные значения
- Enabled
- Отключено
- Не определено
Рекомендации
Установите значение Accounts: Guest account status (Учетные записи: состояние гостевой учетной записи ) в значение Отключено, чтобы встроенная учетная запись гостя больше не была доступна для использования. Все пользователи сети должны пройти проверку подлинности, прежде чем они смогут получить доступ к общим ресурсам в системе. Если учетная запись гостя отключена, а модель общего доступа и безопасности для локальных учетных записей имеет значение Только гость, то сетевые входы, такие как входы, выполняемые службой SMB, завершатся ошибкой.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | Отключено |
| Действующие параметры по умолчанию контроллера домена | Отключено |
| Действующие параметры по умолчанию для рядового сервера | Отключено |
| Действующие параметры по умолчанию для клиентского компьютера | Отключено |
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Учетная запись гостя по умолчанию позволяет пользователям сети без проверки подлинности входить в качестве гостя без пароля. Эти неавторизованные пользователи могут получить доступ к любым ресурсам, доступным для гостевой учетной записи по сети. Эта возможность означает, что все общие папки с разрешениями, разрешающими доступ к гостевой учетной записи, группе «Гости» или группе «Все», доступны по сети, что может привести к раскрытию или повреждению данных.
Противодействие
Отключите параметр «Учетные записи: состояние гостевой учетной записи «, чтобы нельзя было использовать встроенную учетную запись гостя.
Возможное влияние
Все пользователи сети должны пройти проверку подлинности, прежде чем они смогут получить доступ к общим ресурсам. Если учетная запись гостя отключена, а для параметра Сетевой доступ: модель общего доступа и безопасности задано значение Только гость, вход в сеть, например, выполняемый службой Microsoft Network Server (SMB), завершится ошибкой. Этот параметр политики не должен влиять на большинство организаций, так как он используется по умолчанию, начиная с Windows Vista и Windows Server 2003.
Настройка общего или гостевого устройства с Windows
Общий компьютер предлагает варианты для упрощения управления и оптимизации общих устройств. Настройки, предлагаемые общим компьютером, перечислены в следующей таблице.
- Этот параметр управляет API : IsEnabled
- DeletionPolicy
- DiskLevelDeletion
- DiskLevelCaching
- InactiveThreshold
AccountModel: этот параметр определяет, какие типы пользователей могут входить на устройство, и может использоваться для включения гостевых учетных записей и учетных записей киоска. Дополнительные сведения см. в документации по поставщику служб CSP для общего компьютера.
KioskModeAUMID: настраивает приложение (называемое идентификатором модели пользователя приложения — AUMID) для автоматического выполнения, когда учетная запись киоска используется для входа. Будет создана новая учетная запись, использующая назначенный доступ только для запуска приложения, указанного по AUMID. Найдите идентификатор модели пользователя приложения установленного приложения.
- Этот параметр управляет API : IsEducationEnvironment.
SleepTimeout: указывает все тайм-ауты для времени ожидания компьютера в спящем режиме.
SignInOnResume: если этот параметр включен, указывает, требуется ли пользователю войти с паролем при выходе компьютера из спящего режима.
MaintenanceStartTime: по умолчанию время начала обслуживания (то есть при выполнении автоматических задач обслуживания, таких как клиентский компонент Центра обновления Windows или индексирование поиска) равно полуночи. Начальное время периода обслуживания можно изменить, указав новое время в минутах после полуночи. Подробный список параметров, включенных в MaintenanceStartTime, см. в техническом справочнике по общему компьютеру.
MaxPageFileSizeMB: настраивает максимальный размер файла подкачки в МБ. С помощью этого параметра можно настраивать поведение файла подкачки, особенно на устаревших компьютерах.
- Этот параметр управляет API: ShouldAvoidLocalStorage
Настройка общего компьютера
Общий компьютер можно настроить с помощью следующих методов:
- Microsoft Intune/MDM
- Пакет подготовки (PPKG)
- Скрипт PowerShell
Следуйте приведенным ниже инструкциям, чтобы настроить устройства, выбрав вариант, который лучше всего соответствует вашим потребностям.
Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте параметры, перечисленные в категории Shared PC :
Назначьте политику группе безопасности, содержащей в качестве участников устройства или пользователей, которые требуется настроить.
Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP SharedPC.
Чтобы настроить устройства с помощью пакета подготовки, создайте пакет подготовки с помощью WCD и используйте параметры, перечисленные в категории SharedPC :
Список и описание параметров CSP, предоставляемых в Designer конфигурации Windows, см. в справочнике по WCD SharedPC.
Чтобы применить созданный пакет, выполните инструкции в статье Применение пакета подготовки.
Чтобы настроить устройства с помощью скрипта PowerShell, можно использовать поставщик WMI моста MDM.
Скрипты PowerShell можно выполнять как запланированные задачи с помощью групповая политика.
Для всех параметров устройства клиент WMI Bridge должен выполняться как учетная запись SYSTEM (LocalSystem).
Чтобы протестировать сценарий PowerShell, можно:
- Скачивание средства psexec
- Откройте командную строку с повышенными привилегиями и выполните следующую команду: psexec.exe -i -s powershell.exe
- Запуск сценария в сеансе PowerShell
Измените следующий пример скрипта PowerShell, чтобы настроить параметры, которые нужно настроить:
$namespaceName = "root\cimv2\mdm\dmmap" $parentID="./Vendor/MSFT/Policy/Config" $className = "MDM_SharedPC" $cimObject = Get-CimInstance -Namespace $namespaceName -ClassName $className if (-not ($cimObject)) < $cimObject = New-CimInstance -Namespace $namespaceName -ClassName $className -Property @> $cimObject.EnableSharedPCMode = $True $cimObject.SetEduPolicies = $True $cimObject.SetPowerPolicies = $True $cimObject.MaintenanceStartTime = 0 $cimObject.SignInOnResume = $True $cimObject.SleepTimeout = 0 $cimObject.EnableAccountManager = $True $cimObject.AccountModel = 2 $cimObject.DeletionPolicy = 1 $cimObject.DiskLevelDeletion = 25 $cimObject.DiskLevelCaching = 50 $cimObject.RestrictLocalStorage = $False $cimObject.KioskModeAUMID = "" $cimObject.KioskModeUserTileDisplayText = "" $cimObject.InactiveThreshold = 0 Set-CimInstance -CimInstance $cimObject Рекомендации для учетных записей на компьютерах, работающих в режиме общего ПК
- Если устройство настроено в режиме общего компьютера с политикой удаления по умолчанию, учетные записи будут кэшироваться автоматически, пока не будет недостаточно места на диске. Затем учетные записи удаляются для освобождения места на диске. Эта операция управления учетной записью выполняется автоматически. Таким образом управляется как Microsoft Entra идентификаторами, так и учетными записями домена Active Directory. Все учетные записи, созданные с помощью гостевого и киоска , будут автоматически удалены при выходе.
- Локальные учетные записи, которые уже существуют на компьютере, не будут удалены при включении режима общего компьютера. Новые локальные учетные записи, созданные с помощью параметров > Учетные > записи Другие пользователи > . Добавление других пользователей на этот компьютер после включения режима общего компьютера не будут удалены. Однако все новые гостевые учетные записи, созданные с помощью параметров «Гость» и «Киоск» на экране входа (если они включены), будут автоматически удалены при выходе. Чтобы задать общую политику для всех локальных учетных записей, можно настроить следующий параметр локальной групповая политика: Конфигурация> компьютераАдминистративные шаблоны>Системные>профили пользователей: Удаление профилей пользователей старше указанного числа дней при перезапуске системы.
- Служба управления учетными записями поддерживает учетные записи, на которые не распространяется удаление. Учетную запись можно пометить как исключенную из удаления, добавив идентификатор безопасности учетной записи в раздел реестра: HKEY_LOCAL_MACHINE\SOFTARE\Microsoft\Windows\CurrentVersion\SharedPC\Exemptions\ . Чтобы добавить идентификатор безопасности учетной записи в раздел реестра с помощью PowerShell, используйте следующий пример в качестве ссылки:
$adminName = "LocalAdmin" $adminPass = 'Pa$$word123' invoke-expression "net user /add $adminName $adminPass" $user = New-Object System.Security.Principal.NTAccount($adminName) $sid = $user.Translate([System.Security.Principal.SecurityIdentifier]) $sid = $sid.Value; New-Item -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\SharedPC\Exemptions\$sid" -Force Устранение неполадок с общим компьютером
Чтобы устранить неполадки с общим компьютером, можно использовать следующие средства:
- Проверка журнала C:\Windows\SharedPCSetup.log
- Проверьте разделы реестра в разделе HKLM\Software\Microsoft\Windows\CurrentVersion\SharedPC
- AccountManagement ключ содержит параметры управления профилями
- NodeValues содержит значения, заданные для функций, управляемых общим компьютером.
Технический справочник
- Список параметров, настроенных различными параметрами режима общего компьютера, см. в техническом справочнике по общему компьютеру.
- Список параметров, предоставляемых поставщиком службы конфигурации SharedPC, см. в разделе Поставщик служб конфигурации SharedPC.
- Список параметров, предоставляемых Designer конфигурации Windows, см. в разделе SharedPC CSP.
Учетная запись Гость в Windows 10
Учетная запись «Гость» в Windows позволяет предоставить временный доступ к компьютеру пользователям без возможности для них устанавливать и удалять программы, изменять настройки, устанавливать оборудование, а также открывать приложения из Магазина Windows 10. Также при гостевом доступе пользователь не сможет просмотреть файлы и папки, находящиеся в пользовательских папках (Документы, Изображения, Музыка, Загрузки, Рабочий стол) других пользователей или удалить файлы из системных папок Windows и папок Program Files.
В этой инструкции пошагово описаны два простых способа включить учетную запись Гость в Windows 10 с учетом того факта, что с недавних пор встроенный пользователь «Гость» в Windows 10 перестал работать (начиная со сборки 10159).
Включение пользователя Гость Windows 10 с помощью командной строки
Как было отмечено выше, неактивная учетная запись «Гость» присутствует в Windows 10, но не работает так, как это было в предыдущих версиях системы.
Его можно включить несколькими способами, такими как gpedit.msc, «Локальные пользователи и группы» или команда net user Гость /active:yes — при этом он не появится на экране входа в систему, но будет присутствовать в переключении пользователей меню пуск других пользователей (без возможности входа под Гостем, при попытке сделать это вы вернетесь на экран входа в систему).
Тем не менее в Windows 10 сохранилась локальная группа «Гости» и она работоспособна, таким образом, чтобы включить учетную запись с гостевым доступом (правда, назвать её «Гость» не получится, так как это имя занято за упомянутой встроенной учетной записью), потребуется создать нового пользователя и добавить его в группу Гости.
Самый простой способ сделать это — использовать командную строку. Шаги по включению записи Гость будут выглядеть следующим образом:
- Запустите командную строку от имени администратора (см. Как запустить командную строку от имени Администратора) и по порядку используйте следующие команды, нажимая Enter после каждой из них.
- net user Имя_пользователя /add (здесь и далее Имя_пользователя — любое, кроме «Гость», которое вы будете использовать для гостевого доступа, у меня на скриншоте — «Гостевой»).
- net localgroup Пользователи Имя_пользователя /delete (удаляем вновь созданную учетную запись из локальной группы «Пользователи». Если у вас изначально англоязычная версия Windows 10, то вместо Пользователи пишем Users).
- net localgroup Гости Имя_пользователя /add (добавляем пользователя в группу «Гости». Для англоязычной версии пишем Guests).
Готово, на этом учетная запись Гость (а точнее — созданная вами учетная запись с правами Гостя) будет создана, и вы сможете войти в Windows 10 под ней (при первом входе в систему некоторое время будут настраиваться параметры пользователя).
Как добавить учетную запись Гостя в «Локальные пользователи и группы»
Еще один способ создать пользователя и включить для него гостевой доступ, подходящий только для версий Windows 10 Профессиональная и Корпоративная — использование инструмента «Локальные пользователи и группы».
- Нажмите клавиши Win+R на клавиатуре, введите lusrmgr.msc для того, чтобы открыть «Локальные пользователи и группы».
- Выберите папку «Пользователи», нажмите правой кнопкой мышки в пустом месте списка пользователей и выберите пункт меню «Новый пользователь» (или используйте аналогичный пункт в панели «Дополнительные действия» справа).
- Укажите имя для пользователя с гостевым доступом (но не «Гость»), остальные поля заполнять не обязательно, нажмите кнопку «Создать», а затем — «Закрыть».
- В списке пользователей дважды кликните по вновь созданному пользователю и в открывшемся окне выберите вкладку «Членство в группах».
- Выберите в списке групп «Пользователи» и нажмите «Удалить».
- Нажмите кнопку «Добавить», а затем в поле «Выберите имена выбираемых объектов» введите Гости (или Guests для англоязычных версий Windows 10). Нажмите «Ок».
На этом необходимые шаги закончены — можно закрыть «Локальные пользователи и группы» и войти под учетной записью Гостя. При первом входе некоторое время займет настройка параметров для нового пользователя.
Дополнительная информация
После входа в учетную запись Гостя вы можете заметить два нюанса:
- То и дело появляющееся сообщение о том, что OneDrive невозможно использовать с учетной записью Гостя. Решение — убрать OneDrive из автозагрузки для этого пользователя: правый клик по значку «облака» в панели задач — параметры — вкладка «параметры», убрать отметку автоматического запуска при входе в Windows. Также может пригодиться: Как отключить или удалить OneDrive в Windows 10.
- Плитки в меню пуск будут выглядеть как «стрелки вниз», иногда сменяющиеся надписью: «Скоро выйдет отличное приложение». Связано это с невозможностью устанавливать приложения из магазина «под Гостем». Решение: правый клик по каждой такой плитке — открепить от начального экрана. В результате меню пуск может показаться слишком пустым, но вы можете исправить это, изменив его размер (края меню пуск позволяют изменять его размер).
А вдруг и это будет интересно:
- Лучшие бесплатные программы для Windows
- Мышь без границ — используем одну мышь на нескольких компьютерах одновременно
- Как очистить журнал защиты Windows
- Что такое MPRT в характеристиках монитора?
- MinerSearch — поиск и удаление майнера в Windows
- Program в автозагрузке Windows — что это и можно ли удалить?
- Windows 11
- Windows 10
- Android
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Установка с флешки
- Настройка роутера
- Всё про Windows
- В контакте
- Одноклассники
-
Стос 23.03.2017 в 13:17
- domenix 17.11.2019 в 22:02
Как создать учетную запись для гостей в Windows 10
Концепция гостевой учетной записи не так уж плоха: заблокированная учетная запись, которую вы можете позволить другим людям использовать на вашем компьютере для доступа в интернет, запуска приложений и многого другого – и всё это с сохранением ваших файлов, настроек и всего остального в безопасности (в теории). Но когда Microsoft выпустила Windows 10, учетная запись «Гость» исчезла.
Вы можете включить её несколькими способами, но вы не сможете использовать гостевую учетную запись. Она даже не будет отображаться на экране входа. Тем не менее, элементы, необходимые для создания гостевой учетной записи, всё еще присутствуют в Windows 10, что позволяет создать свою собственную ограниченную учетную запись, чтобы гости могли использовать ваш компьютер.
В этом руководстве по Windows 10 мы расскажем, как использовать командную строку для создания гостевой учетной записи на вашем компьютере.
Как создать гостевую учетную запись
- Откройте командную строку от имени администратора.
- Введите следующую команду для создания новой учетной записи и нажмите Enter : net user Visitor /add /active:yes Помните, что мы используем Visitor в качестве имени учетной записи, потому что Guest – это зарезервированное имя в Windows 10, и вы не можете его использовать. Тем не менее, вы можете назвать учетную запись как угодно.
- Введите следующую команду, чтобы создать пароль для новой учетной записи, и нажмите Enter : net user Visitor *
- Если вам не нужен пароль для этой учетной записи, поэтому просто дважды нажмите Enter , чтобы создать пустой пароль.
- Введите следующую команду, чтобы удалить новую учетную запись пользователя из группы пользователей по умолчанию, и нажмите Enter : net localgroup Пользователи Visitor /delete
- Введите следующую команду, чтобы добавить новую учетную запись пользователя в группу «Гости», и нажмите Enter : net localgroup Гости Visitor /add
- Закройте командную строку, чтобы завершить задачу.
Используя описанные выше действия, вы создаете традиционную стандартную учетную запись, но удаляете её из группы «Пользователи» и добавляете в группу «Гости» – это то, что дает учетной записи все те же разрешения, что и в старой учетной записи «Гость».
После того, как вы выполнили эти шаги, вам нужно всего лишь выйти из своей текущей учетной записи, на экране входа выбрать учетную запись гостя и нажать кнопку «Вход» – пароль не требуется.
Теперь, после создания новой ограниченной учетной записи, вы можете безопасно делиться своим компьютером с гостями. Они смогут выходить в интернет и использовать определенные приложения, но не смогут изменять настройки, устанавливать программы и получать доступ к вашим файлам.
Если вам больше не нужна учетная запись, вы можете перейти в «Параметры» → «Учетные записи» → «Семья и другие люди», выбрать учетную запись гостя и нажать кнопку «Удалить», чтобы удалить учетную запись.