Slēptais administratora konts operētājsistēmā Windows 11 ir viens no tiem sistēmas "noslēpumiem", par kuriem daudzi cilvēki nezina, taču tas var palīdzēt izvairīties no vairākām sarežģītām situācijām. Tas nav administratora konts, ko parasti izmantojat, bet gan iekšējs profils, kas pēc noklusējuma ir paslēpts, ar maksimālās atļaujas veikt jebkādas izmaiņas iekārtā...pat visdelikātākās. Tieši tāpēc Microsoft to atspējo: ja to izmanto nepareizi, tas var apgriezt sistēmu kājām gaisā.
Ja veidojat datoru, jums ir jāremontē Windows sistēma, kas ir zaudējusi administratora privilēģijas, vai vienkārši vēlaties, lai jums būtu pa rokai "ārkārtas" konts, ir noderīgi zināt, kā to iespējot, aizsargāt un pēc tam atspējot. Šajā rokasgrāmatā mēs soli pa solim un izmantojot dažādas metodes, redzēsim, kā... Kā iespējot, lietot un atspējot slēpto administratora kontu operētājsistēmā Windows 11, kādus riskus tas ietver, kā arī to, ko varat darīt, ja jums vairs nav konta ar administratora privilēģijām.
Kas ir iebūvētais administratora konts operētājsistēmā Windows 11?
Operētājsistēmā Windows 11 ir divu veidu konti ar paaugstinātām privilēģijām: lietotāju konti, kas pieder administratoru grupai, un lietotāju konti, kas pieder... iebūvētais administratora kontsŠis pēdējais ir izveidots no pašas sistēmas, tas ir paslēpts un atspējots drošības apsvērumu dēļ.
Lai gan "parasts" administratora lietotāja konts ir pakļauts lietotāja konta kontrolei (UAC), iebūvētais konts darbojas atšķirīgi: Veicot administratīvus uzdevumus, tas nerāda UAC uzvednesJebkura programma, ko palaižat šajā sesijā, tostarp potenciālie draudi, piemēram, ļaunprogrammatūra, slēptie procesi un rootkitTas darbosies ar pilnām atļaujām, neko jums neprasot.
Šī iemesla dēļ Microsoft iesaka iebūvēto administratora kontu izmantot tikai reizēm, piemēram, diagnosticēt problēmas, sagatavot aprīkojumu pirms piegādes vai veikt audita uzdevumusun ka tas tiek atkal deaktivizēts pēc intervences pabeigšanas. Tas nav paredzēts lietošanai kā ikdienas darba konts.
Kam tiek izmantots iebūvētais administratora konts?
Visbiežāk sastopamie scenāriji, kuros šī konta aktivizēšana ir lietderīga, ir diezgan specifiski un atšķiras no parastas lietošanas mājās. Tipiski piemēri ir šādas situācijas: iekārtu ražošana vai sagatavošana, nopietnu incidentu risināšana vai padziļināta administrēšana Windows sistēmām.
Oriģinālo iekārtu ražotāji (OEM), tehniskie dienesti un sistēmu administratori bieži izmanto integrēto kontu, kad vien vēlas. palaist skriptus, instalēt lietotnes vai veikt testus Tas tiek darīts, pirms gala lietotājs izveido savu kontu sākotnējās lietošanas pieredzes (OOBE) laikā. To bieži izmanto arī auditēšanas vidēs, kur ir nepieciešams vairākas reizes pieteikties sistēmā un iziet no tās ar paaugstinātām privilēģijām, neizmantojot sveiciena vedni.
Turklāt šis konts kalpo kā pēdējais līdzeklis, ja sistēmai ir problēmas ar atļaujām, piemēram, datoros, kuros Vienīgais atlikušais konts ir zaudējis administratora privilēģijas. Nav pieteikšanās konfliktu. Tomēr, ja nav palicis neviens konts ar administratora tiesībām un integrētais konts joprojām ir atspējots, iespējas ir ievērojami samazinātas, un, kā redzēsim vēlāk, parasti ir nepieciešama atkārtota instalēšana.
Paplašinātā metode: integrētā konta iespējošana ar neuzraudzītu atbildes failu
Profesionālā vidē viens no jaudīgākajiem veidiem, kā strādāt ar iebūvēto administratora kontu, ir izmantot neuzraudzītas instalēšanas atbildes fails (unattend.xml)Šī pieeja ir paredzēta tiem, kas izvieto daudzas iekārtas un vēlas automatizēt iestatīšanas procesu, tostarp integrētā konta aktivizēšanu.
Lai izveidotu šo failu, tiek izmantots Windows sistēmas attēlu pārvaldnieka (Windows SIM) rīks, kas ir iekļauts komplektā. Windows novērtēšanas un izvietošanas komplekts (ADK)Šī utilīta ģenerē XML failu, kas definē instalēšanas parametrus: lietotāju kontus, administratora paroli, automātisko pieteikšanos utt.
Knifs slēpjas komponenta konfigurēšanā. Microsoft-Windows-Shell-Setup un tās ietvaros sadaļa AutoLogon lai sistēma sagatavošanās fāžu laikā startētos tieši ar administratora kontu. Lietotājvārds tiek iestatīts kā AdministratorIr atlasīts iespējotais atribūts, un tiek norādīts sesijas automātisko sākšanās reižu skaits.
Tajā pašā XML blokā tiek pievienota sadaļa. Lietotāju konti un tās iekšpusē ieeja AdministratorPasswordkur ir definēta iegultā konta parole. Paroles vērtība ir norādīta faila etiķetē. <Value> un norāda, vai saturs ir vienkāršā tekstā (<PlainText>true</PlainText>) vai šifrēšanu.
Tipiska Shell-Setup komponenta konfigurācija ietvertu kaut ko līdzīgu šim: lietotājs administrators, droša parole atkārtota abos AutoLogon kā AdministratorPassword, opcija <Enabled>true</Enabled> un LogonCount kas norāda, cik reižu šis konts tiks automātiski pieteikts sistēmas iestatīšanas laikā.
Lai nodrošinātu, ka pēc sākotnējās lietošanas pieredzes (OOBE) pabeigšanas iegultā konta parole nav jāievada atkārtoti, vērtība Administratora parole Tas ir jādefinē konfigurācijas fāzē. oobeSystemŠajā atbildes faila solī bloks <UserAccounts><AdministratorPassword>... Tā ir atbildīga par kontam definētās paroles paslēpšanu.
Piekļūstiet integrētajam administratora kontam no audita režīma
Sistēmai Windows ir īpašs sāknēšanas režīms, ko sauc par audita režīmsŠis režīms ir īpaši izstrādāts iekārtu sagatavošanai un pārbaudei pirms piegādes gala lietotājam. Ja iekārta vēl nav izgājusi sākotnējo lietošanas pamācību (OOBE), to var startēt šajā režīmā, nodrošinot tiešu piekļuvi integrētajam administratora kontam.
Izmantojot audita režīmu, sistēma Automātiska pieteikšanās ar savu integrēto kontuļaujot instalēt lietojumprogrammas, lietot skriptus un izmantot rīki, piemēram, PsList vai pielāgot iestatījumus, vēl neizveidojot regulārus lietotāju kontus. Šajā kontekstā ir visjēdzīgāk, lai integrētais konts būtu aktīvs, jo ierīce vēl nav gala lietotāja rokās.
Kad konfigurācijas uzdevumi ir pabeigti, rīks parasti tiek palaists. Sysprep ar pareizajām iespējām (piemēram, sysprep /generalizeTas ir paredzēts sistēmas sagatavošanai un atgriešanai stāvoklī, kurā klients var veikt OOBE un izveidot savu kontu. Kā redzēsim citā sadaļā, šis process ietekmē arī integrētā konta stāvokli.
Iebūvētā konta iespējošana un atspējošana lokālajiem lietotājiem un grupām (servera un atbalstītajos izdevumos)
Dažos Windows izdevumos (galvenokārt servera vai Pro/Enterprise versijas noteiktos gadījumosIebūvēto administratora kontu var viegli pārvaldīt no lokālās lietotāju un grupu konsoles (MMC). Šī opcija nav pieejama visās mājas versijās, taču, ja tāda ir pieejama, tas ir ļoti skaidrs risinājums.
Lai piekļūtu, atveriet atbilstošo MMC konsoli (piemēram, palaižot lusrmgr.msc (no loga “Palaist”) un atlasiet Vietējie lietotāji un grupasKreisajā panelī atveriet mapi Lietotāji, kur parādās konts, ko parasti sauc par "Administrators".
Ar peles labo pogu noklikšķinot uz šī konta un izvēloties opciju īpašībasAtveras vispārīgo īpašību logs. Cilnē Vispārīgi ir lodziņš ar nosaukumu “Konts ir atspējots“(vai “Konts ir atspējots”). Ja izvēles rūtiņa ir atzīmēta, kontu nevar izmantot; vienkārši noņemiet atzīmi, lai to iespējotu un atkal padarītu darbību.
Pēc izmaiņu ieviešanas un konsoles aizvēršanas sistēmai tagad ir integrētais konts ir aktivizētsKopš tā brīža varat piešķirt paroli, pieteikties ar to no sveiciena ekrāna vai izmantot to darbībās, kurām nepieciešamas administratora atļaujas, bez UAC iejaukšanās.
Aktivizējiet slēpto administratora kontu, izmantojot komandrindu (cmd)
Iespējams, ātrākais un ērtākais veids pieredzējušam lietotājam ir iespējot integrēto kontu, izmantojot Komandrinda ar administratora privilēģijāmŠī procedūra darbojas gan mājas, gan profesionālos datoros, ja vien jums jau ir konts ar aktīvām administratora tiesībām.
Lai sāktu, nospiediet Windows taustiņu, ierakstiet cmd Izvēlnē Sākt, kad parādās “Komandrinda”, atlasiet “Palaist kā administratoram”. Lietotāja konta kontrole parādīs brīdinājumu; apstipriniet ar “Jā”, lai atvērtu konsoli ar paaugstinātām privilēģijām.
Atverot komandrindas logu kā administratoram, Tiek izpildīta šāda komanda Lai iespējotu iebūvēto Windows 11 kontu:
Komanda, lai aktivizētu: net user administrator /active:yes
Komanda spāņu valodā: net user administrador /active:yes
Pēc Enter nospiešanas konsolē vajadzētu parādīties tipiskajam ziņojumam "Komanda ir veiksmīgi izpildīta"Tas nozīmē, ka integrētais konts tagad ir aktīvs un tam vajadzētu parādīties sveiciena ekrānā kā papildu kontam, kas ir pieejams pieteikšanās reizē.
Iestatiet drošu paroli integrētajam kontam
Pēc aktivizēšanas nākamais un absolūti nepieciešamais solis ir iestatīt spēcīgu paroli integrētajam kontamAtstājot to bez paroles, īpaši ierīcēs, kas izveido savienojumu ar tīkliem, ir ļoti nopietns drošības risks.
Komanda paroles maiņai: net user administrador *
Līdzvērtīga komanda: net user administrator *
Sistēma lūgs ievadīt jauno paroli un apstiprināt to otro reizi. Rakstot, ekrānā neredzēsiet rakstzīmes.Šī ir normāla drošības darbība. Pēc apstiprināšanas sistēma atkal parādīs ziņojumu "Komanda veiksmīgi pabeigta", ja viss noritēja labi.
Ir vēl viena iespēja, kas ļauj aktivizēt kontu un iestatīt paroli tieši vienā solī. Šī alternatīva ir noderīga automatizācijai. Piemēram:
Ātrs piemērs: net user administrador TuContraseñaSegura /active:yes
Šajā gadījumā tas tiek aizstāts YourSecurePassword Varat izmantot jebkuru paroli. Tā ir ātra metode, lai gan mazāk ieteicama vidēs, kur var reģistrēt komandas, jo parole paliek redzama konsoles vēsturē vai skriptos.
Pārbaudīt statusu: net user administrador
Parādītajā informācijā jāiekļauj tādi lauki kā “Aktīvs konts — jā” y “Parole nepieciešama — jā”Ja kāds no tiem norāda "Nē", ieteicams to pārskatīt un labot, jo šāda veida konts bez paroles ir īsts siets.
Piesakieties sistēmā Windows 11 ar iebūvēto administratora kontu
Pēc integrētā konta aktivizēšanas un paroles piešķiršanas tagad varat Piesakieties ar to no Windows 11 sākuma ekrāna.Parasti dažādie pieejamie konti tiks parādīti apakšējā kreisajā stūrī (vai atkarībā no bloķēšanas ekrāna dizaina), tostarp ieraksts “Administrators”.
Ja to neredzat, restartējiet datoru. Pēc tam jaunajam kontam vajadzētu parādīties starp opcijām. Kad tas ir redzams, vienkārši atlasiet to, ievadiet iestatīto paroli un nospiediet taustiņu Enter.
Pirmo reizi piesakoties ar šo kontu, Windows izveidos jūsu lietotāja profilu, kas var aizņemt nedaudz ilgāku laiku nekā parasti. No šī brīža jums būs pilnvērtīga darbvirsma un jūs varēsiet veikt šādas darbības: sistēmas izmaiņas, neparādot UAC uzvednesTas ir ļoti ērti, bet arī potenciāli bīstami, ja jums nav labas izpratnes par to, kādu programmatūru jūs izmantojat.
Ja iespējojat iebūvēto kontu, lai palīdzētu citam lietotāja kontam, kuram iepriekš nebija atļauju, tas izmanto šo sesiju, lai izveidot jaunu standarta administratora lietotāju vai labot esošo kontu atļaujas. Kad problēma ir atrisināta, ieteicams izrakstīties un vēlreiz deaktivizēt integrēto kontu, lai mazinātu riskus.
Iespējot integrēto kontu no drošības politikām (secpol.msc)
Windows 11 Pro un Enterprise izdevumos slēptā konta statusu var pārraudzīt arī, izmantojot Vietējās drošības direktīvasLai piekļūtu, nospiediet Windows taustiņu, ierakstiet secpol.msc un darbojas kā administrators.
Konsoles iekšpusē, kreisajā panelī, jūs varat pārvietoties pa Vietējās politikas > Drošības opcijasLabajā panelī tiek parādīts ar konta un sistēmas drošību saistīto politiku saraksts. Starp tām ir politika ar nosaukumu “Konti: administratora konta statuss”.
Veicot dubultklikšķi uz šīs politikas (vai ar peles labo pogu noklikšķinot uz > Rekvizīti), tiek atvērts logs, kurā varat izvēlēties starp “Iespējots"vai "Atspējots". Ja ir atlasīta un lietota opcija Iespējots, iebūvētais administratora konts kļūst aktīvs. Ja ir atlasīta opcija Atspējots, tā kļūst neaktīva.
Šī metode ir īpaši noderīga, ja vēlaties ievērot korporatīvās drošības politika Ir skaidrs, ka integrētā konta aktivizēšanu kontrolē politikas, nevis atsevišķas komandas. Tomēr tai vienmēr jāpievieno spēcīga parole un plāns tā deaktivizēšanai, kad tas vairs nav nepieciešams.
Pārbaudiet integrētā konta statusu vadības panelī
Lai gan iepriekš minētās metodes ir tiešākas, varat izmantot arī klasisko Vadības panelis lai pārbaudītu iebūvētā administratora konta esamību un pamata statusu, īpaši mājas datoros.
Izvēlnē Sākt atveriet vadības paneli un ievadiet sadaļu Lietotāju kontiAtlasot opciju “Mainīt konta veidu”, tiek uzskaitīti datorā pieejamie lokālie konti. Šajā sarakstā, ja iebūvētais konts ir redzams, tas tiks parādīts kā “Administrators” un, ja ir iestatīta parole, atzīmēts ar uzrakstu “Aizsargāts ar paroli".
Šī pārbaude ir ierobežotaLūdzu, ņemiet vērā, ka šī saskarne ne vienmēr parāda iebūvēto kontu, ja tas ir atspējots vai paslēpts, izmantojot citas metodes. Tomēr tā kalpo kā vienkārša pārbaude, lai pārliecinātos, vai iebūvētais administratora lietotājs ir pareizi aktivizēts un tam ir pamata aizsardzība.
Atspējojiet iebūvēto administratora kontu un tā darbību jaunās instalācijās un jauninājumos
Microsoft iesaka, ka pēc integrētā konta neregulāras lietošanas beigām atkal ir atspējotsTas jo īpaši attiecas uz datoriem, kas tiks piegādāti klientiem vai kas būs daļa no korporatīvā tīkla. Faktiski jaunās Windows 11 instalācijās, kad gala lietotājs OOBE laikā izveido savu pirmo kontu, pati sistēma parasti atkal deaktivizē iebūvēto kontu.
Jaunināšanas instalēšanas laikā (piemēram, jauninot no iepriekšējās Windows versijas) darbība var atšķirties. Parasti iebūvētais administratora konts paliek iespējots tikai tad, ja Nav cita aktīva lokālā administratora. un dators nav pievienots domēnam. Tas ļauj saglabāt "drošības tīklu", kas neļauj sistēmai palikt bez administratoriem.
Ja vēlaties to manuāli atspējot pēc lietošanas, jums ir vairākas iespējas. Varat vēlreiz izmantot komandu tīkla lietotājs.Bet šoreiz norādot, ka tas ir jādeaktivizē:
Deaktivizēt ar: net user administrador /active:no
Deaktivizēt (angļu valodā): net user administrator /active:no
Atkal, ja darbība beidzas ar ziņojumu “Komanda ir veiksmīgi izpildīta”, konts tiks deaktivizēts vēlreiz. Šī ir ļoti izplatīta prakse. iekārtu ražotāji un montētājiViņi aktivizē kontu sagatavošanās fāzē, izmanto to programmatūras instalēšanai un tieši pirms datora piegādes klientam izpilda šo komandu, lai to atspējotu.
Sysprep izmantošana un integrētā konta paroles atiestatīšana
Rīks Sysprep Tas ir galvenais Windows izvietošanas vidēs. Palaižot to ar modifikatoru /generalizeTas sagatavo sistēmu klonēšanai vai piegādei gala lietotājam, attīrot daudz specifiskas informācijas no iekārtas vai lietotāja.
Starp darbībām, ko tā veic, Sysprep Atiestata iebūvētā administratora konta paroliWindows servera izdevumos šis rīks var pat izdzēst iebūvēto konta paroli, lai nākamajā palaišanas reizē instalācijas programma lūgtu iestatīt jaunu paroli šim kontam.
Tomēr klientu izdevumos (tipiskajās darbvirsmas versijās) darbība nav tieši tāda pati, un iebūvētā konta parole ne vienmēr tiek dzēsta vienādi. Pat ja tā, ir svarīgi to paturēt prātā, ja strādājat ar pielāgotiem attēliem. Pēc Sysprep /generalize ieteicams pārbaudīt integrētā konta statusu. un pārliecinieties, ka tas nepaliek aktīvs bez paroles.
Izveidojiet “slēptu” administratora kontu lietotāju pārvaldīšanai (UAC) un privilēģiju eskalācijai
Papildus integrētajam kontam daži cilvēki vēlas arī lokālā administratora konts, kas netiek parādīts pieteikšanās ekrānāTomēr tam joprojām vajadzētu būt izmantojamam akreditācijas datu ievadīšanai UAC uzvednēs, kad nepieciešamas paaugstinātas atļaujas. Ideja ir izveidot "pakalpojuma" kontu, kas tiek izmantots tikai sistēmas darbību apstiprināšanai, un tas nav redzams parastai pieteikšanās reizei.
Daži lietotāji mēģina to panākt, izveidojot žurnāla ierakstu HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserListJa pievienosiet konta nosaukumu un piešķirsiet tam atbilstošu vērtību, konts var vairs neparādīties sveiciena ekrānā. Tomēr šim trikam ir svarīga blakusparādība: Šis konts arī vairs netiek rādīts kā opcija UAC uzvednēs.Tāpēc jūsu paroli nevar izmantot privilēģiju eskalācijai.
Vēl viena iespēja, ko daži varētu mēģināt izdarīt, ir atvērt lokālo drošības politikas redaktoru (secpol.msc) un liegt kontam tiesības pieteikties lokāliŠīs pieejas problēma ir līdzīga: ja lietotājam tiek liegts interaktīvi pieteikties, tad mēģinājums izmantot šo kontu UAC lodziņā arī novedīs pie atteikuma, un tāpēc tas vairs nav noderīgs paredzētajam mērķim.
Praksē Windows nepiedāvā tīru un atbalstītu veidu, kā izveidot kontu, kas pieteikšanās ekrānā ir pilnībā paslēpts un vienlaikus var izmantot bez ierobežojumiem UAC augstuma diagrammāsJa administratīviem uzdevumiem ir nepieciešams "pakalpojuma konts", vislabāk ir izveidot parastu administratora lietotāju, aizsargāt to ar spēcīgu paroli un vienkārši neizmantot to ikdienas darbam.
Ko darīt, ja operētājsistēmā Windows 11 vairs nav administratora kontu?
Viens no delikātākajiem scenārijiem ir tad, kad sistēmai tiek atstāta Tikai standarta konti bez administratora privilēģijāmTas var notikt, piemēram, ja, izveidojot vairākus kontus, tiek nepareizi konfigurēts galvenais konts vai ja vienīgais konts ar paaugstinātām tiesībām tiek kļūdas dēļ atspējots.
Šādā situācijā persona, kas izmanto datoru, konstatē, ka, mēģinot instalēt programmu vai veikt svarīgas izmaiņas, Windows parāda tipisko UAC uzvedni, kurā tiek prasīti administratora akreditācijas dati, bet Nav teksta lodziņa, kurā varētu ievadīt savu lietotājvārdu un paroli.Vienkārši sakot, vienīgā piedāvātā iespēja ir nospiest "Nē", un turpināt nav atļauts.
Arī lietotnē Iestatījumi > Konti nav daudz ko darīt, jo pašreizējam kontam nav atļaujas veikt šādas darbības. mainīt citu kontu veidu nedz arī neveidot jaunus administratorus. Komandas, piemēram, net user Vai arī līdzīgas utilītas nedarbosies, jo tām ir nepieciešamas administratora privilēģijas, kas vairs nav pieejamas.
Lai cik vilinoši nebūtu uzticēties noteiktiem internetā atrodamiem “maģiskiem risinājumiem”, patiesība ir tāda, ka šajā brīdī sistēma atrodas sava veida stāvoklī strupceļšBez vismaz viena konta ar paaugstinātām atļaujām iebūvēto kontu nevar aktivizēt, izmantojot komandas, modificēt politikas vai efektīvi ietekmēt reģistru.
Godīgākais ieteikums šajā gadījumā ir dublēt personiskos failus (dokumentus, fotoattēlus utt.) un sagatavot tīra Windows 11 instalēšanaLai to izdarītu, no Microsoft vietnes ir jālejupielādē multivides izveides rīks, jāizveido startējams USB disks (vismaz 8 GB) un pēc tam jāstartē dators no šī USB diska, lai atkārtoti instalētu sistēmu.
Tīras instalēšanas laikā Windows izveidos jaunu sākotnējo administratora kontu, no kura var atjaunot dublējuma failus un pārkonfigurēt datoru. Tas ir radikāls risinājums, taču, ja nav aktīvu administratoru un iebūvētais konts ir atspējots, Nav atbalstīta un uzticama veida, kā atgūt kontroli bez atkārtotas instalēšanas..
Apgūstiet integrēto administratora kontu un dažādos veidus, kā to iespējot vai atspējot, izmantojot atbildes failus, audita režīmu, komandas net userkonsoles, piemēram lusrmgr.msc vai drošības politikas, sniedz jums ļoti precīzu kontroli pār Windows 11 un to, kā sagatavot vai atkopt sistēmas; galvenais ir to izmantot tikai kā īpašu ārkārtas rīku, vienmēr aizsargājot to ar paroli un deaktivizējot to, tiklīdz esat pabeidzis, izvairoties no tā padarīšanas par ikdienas kontu, lai nepakļautu datoru nevajadzīgiem riskiem. Dalieties ar šo informāciju, lai vairāk cilvēku varētu uzzināt par šo tēmu.