كيفية تفعيل حساب المسؤول المخفي في ويندوز 11

يتضمن Windows 11 حساب مسؤول مخفي مدمج وهو مُعطّل افتراضيًا لأسباب أمنية. يتمتع هذا الحساب الخاص بصلاحيات أكبر من حسابات المستخدمين التابعة لمجموعة المسؤولين، ويُستخدم بشكل رئيسي لمهام الصيانة، وإصلاح النظام، أو تجهيز المعدات قبل تسليمها للمستخدم النهائي.

تظهر المشكلة عندما نفقد الوصول إلى حساب يتمتع بامتيازات المسؤولقد يحدث هذا بسبب خطأ في تهيئة الحساب، أو نسيان كلمة المرور، أو حدوث أخطاء أثناء إنشاء الحسابات. في هذه الحالة، تُعطّل العديد من خيارات Windows: يتعذّر تثبيت البرامج، ويمنع التحكم بحساب المستخدم (UAC) المستخدمين من إدخال اسم المستخدم وكلمة المرور، ولا يمكن تغيير نوع الحساب من الإعدادات. لذلك، من المفيد جدًا معرفة جميع الطرق الممكنة لتفعيل حساب المسؤول المخفي في Windows 11 والقيود الفعلية لكل طريقة.

ما هو حساب المسؤول المخفي في ويندوز 11 وما هي استخداماته؟

في جميع تثبيتات Windows الحديثة يوجد حساب مدمج يسمى عادةً "المسؤول" أو "المسؤول"هذا ليس حساب مستخدم عادي، بل هو حساب نظام داخلي ذو امتيازات مرتفعة، مصمم لـ:

• إجراء تغييرات عميقة على نظام التشغيل بدون تدخل التحكم في حساب المستخدم (UAC).
• تحضير المعدات الجديدة من قبل الشركات المصنعة (OEMs) أو المدمجين قبل إنشاء حسابات المستخدم النهائي.
• استكشاف مشاكل Windows الخطيرة وإصلاحها عندما لا تعمل الحسابات الإدارية الأخرى بشكل صحيح.

في الإصدارات الأقدم من Windows (قبل Vista) كان هذا الحساب مرئيًا وقابلًا للتشغيل افتراضيًاوكل ما كان يتطلبه الأمر هو معرفة كلمة المرور لتسجيل الدخول. بدءًا من نظام التشغيل Windows Vista، قررت Microsoft تعطيل هذه الميزة افتراضيًا لتقليل المخاطر الأمنية، لذلك:

أثناء تثبيت Windows 11، يتم إنشاء حساب مستخدم ينضم إلى مجموعة "المسؤولين".وهذا هو الحساب الذي نستخدمه يوميًا. إنه حساب ذو صلاحيات عالية، ولكنه يخضع للتحكم في حساب المستخدم (UAC)، الذي يُنبهنا عند احتمال تغيير برنامج أو إجراء إعدادات مهمة.

من ناحية أخرى، يعمل حساب المسؤول المدمج دون قيود التحكم بحساب المستخدم المعتادة.تُنفَّذ جميع المعاملات تقريبًا دون تحذيرات أو تأكيدات. يُعدّ هذا مفيدًا جدًا للمهام الإدارية المُكثَّفة، ولكنه خطير للغاية أيضًا إذا استُخدم كحساب عادي أو إذا وقع في أيدي غير أمينة.

ولهذا السبب فإن التوصية هي تفعيله فقط عند الضرورة القصوىقم بتعيين كلمة مرور قوية لها واستخدمها تيمبو لا غنى عنها ونقوم بتعطيلها مرة أخرى بمجرد الانتهاء من مهام الصيانة أو الاسترداد.

سيناريوهات المشكلة النموذجية: عندما لا يكون لديك مسؤول تشغيلي

إن الموقف المزعج إلى حد ما هو أن يتم تركك مع حساب قياسي فقط بدون امتيازات المسؤول.على سبيل المثال، على جهاز كمبيوتر محمول يعمل بنظام التشغيل Windows 11 حيث:

• تم إنشاء حسابين، واحد قياسي وواحد مسؤول.
• أصبح حساب المسؤول غير قابل للوصول (حدث خطأ أثناء إنشائه، أو نسيت كلمة المرور، أو تلف الملف الشخصي، وما إلى ذلك).
• عند محاولة تثبيت برنامج أو إجراء تغييرات، يطلب النظام بيانات اعتماد المسؤول، ولكن لا يظهر مربع إدخال اسم المستخدم وكلمة المرور.فقط خيار الضغط على "لا".

في الإعدادات > الحسابات، يظهر الحساب القياسي فقط.دون إمكانية تغيير نوع الحساب أو إنشاء حسابات جديدة بحقوق مرتفعة، وذلك على وجه التحديد لأن إجراء هذه التغييرات يتطلب الحصول على أذونات المسؤول بالفعل.

في هذه الحالة، يبحث العديد من المستخدمين عن حلول على الإنترنت بناءً على أوامر مثل "net user" تم إعدامه في CMDالأدوات الرسومية، أو تغييرات في السجل، أو تغييرات في سياسة الأمان. المشكلة الكبرى هي أن تتطلب معظم هذه الطرق بالفعل امتيازات المسؤول للعمل، وبالتالي تدخل في حلقة مفرغة من الصعب جدًا الخروج منها.

يؤكد خبراء دعم Microsoft الأمر بوضوح: لا ينبغي لنظام التشغيل Windows 11 أن يسمح بترك النظام بدون أي مسؤولين نشطين.لكن إذا حدث ذلك وكان الحساب الوحيد المتبقي هو الحساب العادي، فعادةً ما يكون هناك حلٌّ صعب. غالبًا ما لا تنجح "الحيل" التي نراها لأن:

• لا يمكنك فتح موجه الأوامر مُرتفع (CMD كمسؤول).
• لا يمكن تشغيل الأدوات الإدارية مثل lusrmgr.msc أو secpol.msc مع الامتيازات.
• يمنعك نظام التحكم بحساب المستخدم (UAC) من إدخال بيانات الاعتماد من حساب آخر. لأن واجهة بيانات الاعتماد غير معروضة.

إذا بدأ النظام بشكل طبيعي بالفعل ولم يتوفر أي مسؤولالطريقة الوحيدة الموثوقة حقًا هي عادةً عمل نسخة احتياطية للملفات الشخصية ثم المتابعة إلى تثبيت نظيف لنظام التشغيل Windows 11، بدءًا من ذراع USB‏ تم إنشاء التثبيت باستخدام أداة Microsoft الرسمية (أداة إنشاء الوسائط).

ومع ذلك، إذا كان لا يزال بإمكاننا الوصول إلى مسؤول أو التمهيد في أوضاع خاصة (WinRE(وضع التدقيق، وما إلى ذلك)نعم، يمكننا الاستفادة من الطرق التي سنراها أدناه لتمكين حساب المسؤول المخفي واستعادة السيطرة الكاملة على النظام.

قم بتنشيط حساب المسؤول باستخدام الأمر net user

الطريقة الأكثر مباشرة والمعروفة لتفعيل حساب المسؤول المدمج في Windows 11 وهو يتكون من استخدام أداة سطر الأوامر net user من موجه الأوامر مع امتيازات مرتفعة.

الخطوة الأولى هي فتح موجه الأوامر كمسؤول. لذلك:

• اضغط على مفتاح Windows واكتب كمد في شريط البحث في قائمة ابدأ.
• انقر بزر الماوس الأيمن على "موجه الأوامر" واختر الخيار "تنفيذ كمسؤول" (تشغيل كمسؤول).
• اقبل مطالبة التحكم بحساب المستخدم (UAC) بالنقر فوق نعم.

إذا لم تتمكن من إكمال هذه الخطوة (لأن المستخدم الخاص بك قياسي وليس لديك طريقة لإدخال بيانات اعتماد المسؤول)لذلك، لم تعد هذه الطريقة مجدية على هذا الكمبيوتر. ستحتاج إلى مسؤول آخر أو تلجأ إلى إعادة تثبيت النظام.

مع فتح وحدة التحكم CMD بالفعل مع امتيازات المسؤوللتفعيل حساب المسؤول المدمج في Windows 11، يمكنك استخدام طريقتين:

1. قم بتفعيل الحساب دون تعيين كلمة مرور حتى الآن (نموذجي في الأنظمة الإنجليزية، باسم "المسؤول"):

أمر: net user administrator /active:yes

في الأنظمة الناطقة باللغة الإسبانية، يكون اسم الحساب عادةً "المسؤول"لذا فإن الأمر سيكون، على سبيل المثال:

الأمر (ES): net user administrador /active:yes

إذا تم تنفيذ الأمر بنجاح، سيعرض Windows رسالة مثل "تم تنفيذ الأمر بنجاح".من تلك اللحظة، سيظهر الحساب المتكامل نشطًا ويمكنك تسجيل الدخول به من شاشة تسجيل الدخول.

2. تفعيل الحساب وتعيين كلمة مرور في خطوة واحدةوهو أكثر أمانًا لأننا نمنع ترك الحساب دون حماية:

كلمة المرور مطلوبة: net user administrador TuContraseñaSegura /active:yes

استبدال "YourSecurePassword" بكلمة المرور التي تريد تعيينهابالإضافة إلى ذلك، يمكنك أيضًا تحديد كلمة المرور أو تغييرها بشكل منفصل باستخدام:

تعيين كلمة المرور: net user administrador *

في هذه الحالة الأخيرة، سيطلب منك وحدة التحكم إدخال كلمة المرور الجديدة وتأكيدها.لن ترى أي أحرف على الشاشة أثناء الكتابة (هذا أمر طبيعي لأسباب أمنية). إذا سارت الأمور على ما يرام، فستتلقى رسالةً تُفيد بنجاح تنفيذ الأمر.

إذا كنت تريد في أي وقت إلغاء تنشيط حساب المسؤول المخفي مرة أخرى، فقط قم بتشغيل:

تعطيل: net user administrador /active:no

يمكنك أيضًا التحقق من حالة حسابك من خلال:

تحقق: net user administrador

في مخرجات الأمر سوف ترى المعلومات ذات الصلة، مثل:

• الحساب النشط: نعم / لا، مما يشير إلى ما إذا كان ممكّنًا أم معطلاً.
• مطلوب كلمة المرور: نعم / لا، مما يشير إلى ما إذا كان الحساب لديه كلمة مرور معينة.

بمجرد تنشيط الحساب المتكامل، يجب أن يظهر إدخال جديد باسم "المسؤول" على شاشة تسجيل الدخول إلى Windows 11.يمكنك تحديده، وإدخال كلمة المرور التي قمت بتعيينها (أو تركها فارغة إذا لم تقم بتعيين واحدة، وهو أمر غير مستحسن) وتسجيل الدخول لأول مرة باستخدام حساب المسؤول الفائق هذا.

بعد تسجيل الدخول الأول، من الجيد جدًا تغيير كلمة المرور أو تعيينها من حساب المسؤول نفسه.، ملحة CTRL + قديم + سوبر والاختيار تغيير كلمة المرور (تغيير كلمة المرور).

تفعيل حساب المسؤول باستخدام الأدوات الرسومية المتقدمة

إذا كنت تفضل عدم استخدام الأوامر، فإن Windows 11 يوفر لك العديد من أدوات رسومية للتعامل مع حسابات المستخدمين وسياسات الأمان. مع ذلك، في معظم الحالات يجب عليك أيضًا تشغيلها بامتيازات المسؤول.

المستخدمون والمجموعات المحلية (lusrmgr.msc)

"وحدة التحكم "المستخدمين والمجموعات المحلية" (lusrmgr.msc) هي أداة قوية جدًا" لإدارة الحسابات والمجموعات على أجهزة الكمبيوتر التي ليست جزءًا من المجال (وخاصةً في إصدارات Pro/Enterprise).

لفتحه، يمكنك استخدام مربع الحوار "تشغيل". (Windows + R) واكتب:

افتح: lusrmgr.msc

سيتم فتح نافذة مقسمة إلى ثلاث لوحات. حيث سترى المجلدات على اليسار المستخدمين y مجموعات. عند الاختيار المستخدمينيتم عرض جميع الحسابات المحلية في اللوحة المركزية، بما في ذلك الحساب الخاص بـ مدير.

عندما يتم تعطيل حساب المسؤول المدمج، فإنه يظهر مع أيقونة صغيرة. مع سهم أبيض في الزاوية اليمنى السفلية. لتعديل خصائصه:

• انقر بزر الماوس الأيمن على الحساب. مدير واختر خصائص.
• في علامة التبويب أسئلة عامةقم بإلغاء تحديد المربع "تم تعطيل الحساب".
• اضغط على استعرض.

عند عودتك إلى القائمة، سيختفي السهم الأسود الموجود على الرمز.هذا يشير إلى أن الحساب نشط بالفعل. لإضافة كلمة مرور:

• انقر بزر الماوس الأيمن مرة أخرى على مدير و اختار "تعيين كلمة المرور…".
• سيظهر تحذير يشير إلى أن تغيير كلمة المرور قد يؤدي إلى فقدان المستخدم القدرة على الوصول إلى البيانات المشفرة بكلمة المرور السابقة.

في حالة وجود حساب متكامل لم يتم استخدامه مطلقًا، لا يوجد خطر حقيقي لفقدان البيانات.لكي تتمكن من الاستمرار براحة البال، اكتب كلمة المرور الجديدة مرتين وأكمل المعالج.

بعد ذلك سيتم تفعيل الحساب المتكامل وحمايته بكلمة مرور.جاهز للاستخدام من شاشة تسجيل الدخول أو للعمل مع التحكم بحساب المستخدم دون حظر.

التوجيه الأمني ​​المحلي (secpol.msc)

هناك طريقة أخرى للتحكم في حالة حساب المسؤول وهي استخدام نهج الأمان المحلي، يمكن الوصول إليها عبر:

تنفيذ: secpol.msc

بعد فتحه (أيضًا بحقوق المسؤول)، في اللوحة اليسرى، سيتعين عليك الانتقال إلى:

• التوجيهات المحلية > خيارات الأمان.

في اللوحة اليمنى، ابحث عن السياسة المسماة "الحسابات: حالة حساب المسؤول"عن طريق النقر بزر الماوس الأيمن عليه واختيار خصائصسوف ترى خيارين أساسيين:

• ممكن
• ديسهيلادا

تحديد "تمكين" وحفظ التغييراتسيصبح حساب المسؤول المتكامل نشطًا دون الحاجة إلى استخدام الأمر net userيعد هذا الخيار مفيدًا بشكل خاص في البيئات التي تتم فيها إدارة العديد من سياسات الأمان المركزية.

على أية حال، حتى لو كنت تستخدم secpol.msc لتنشيطهلا يزال ضروريا تعيين كلمة مرور قوية إلى الحساب، إما من lusrmgr.msc، أو من CMD مرتفع مع net user administrador *، أو مباشرة بعد تسجيل الدخول إليه.

تمكين حساب المسؤول أثناء التثبيتات غير المراقبة (ملف الاستجابة)

في السيناريوهات الأكثر تقدمًا، وخاصةً في الشركات أو لمصنعي المعداتمن الشائع استخدام ملفات الإجابات (unattend.xml) لتثبيت Windows 11 دون مراقبة. في هذه الحالات، يُمكن تفعيل حساب المسؤول المُدمج تلقائيًا.

يستخدم هذا، من بين مكونات أخرى، "Microsoft-Windows-Shell-Setup" ضمن ملف الاستجابة. باستخدام أدوات مثل Windows System Image Manager (Windows SIM)، وهو جزء من مجموعة التقييم والتطوير (ADK)، يُمكن تحديد معلمات لما يلي:

• السيارات تسجيل الدخول، بحيث يقوم النظام بتسجيل الدخول تلقائيًا باستخدام حساب المسؤول المدمج لعدد محدد من عمليات بدء التشغيل.
• حسابات المستخدم\كلمة مرور المسؤول، لتعيين كلمة مرور المسؤول المضمنة.

مقتطف تكوين نموذجي لتمكين هذا الحساب واستخدامه أثناء مرحلة الإعداد قد تتضمن عناصر مثل:

• اسم المستخدم = المسؤول داخل AutoLogon.
• مُمكّن = صحيح للسماح بتسجيل الدخول التلقائي.
• عدد مرات تسجيل الدخول لتحديد عدد مرات حدوث تسجيل الدخول التلقائي.
• القيمة والنص العادي داخل AdministratorPassword لتحديد مفتاح الوصول.

وبالتالي، عند نشر صورة Windows 11، يتم تمكين الحساب المتكامل. ويتم الوصول إليه تلقائيًا أثناء وضع التدقيق أو في مراحل محددة من التثبيت، حتى لو لم يتم تعيين كلمة مرور المسؤول المجمعة يدويًا بعد.

إذا لم نرغب في أن يُطلب منا كلمة مرور المسؤول المضمنة مرة أخرى بعد التجربة الأولية الجاهزة للاستخدام (OOBE) دون تعريفهامن المهم تحديد قيمة حسابات المستخدم\كلمة مرور المسؤول في خطوة التكوين نظام oobeويضمن هذا أن يكون للحساب كلمة مرور معروفة، حتى لو تم تعطيلها لاحقًا قبل تسليم الجهاز للمستخدم النهائي.

استخدام حساب المسؤول في وضع التدقيق وأنظمة الخادم

عندما لم تكتمل تجربة OOBE (تجربة خارج الصندوق) بعديسمح لك Windows بالتمهيد إلى وضع التدقيقتم تصميم هذا الوضع في المقام الأول لمصنعي المعدات الأصلية والمسؤولين الذين يقومون بإعداد صور مخصصة. السائقين، التطبيقات المثبتة مسبقًا، وما إلى ذلك.

إذا لم يمر الجهاز عبر OOBE، فيمكنك إعادة الدخول إلى وضع التدقيق. ويمكنك الوصول إلى حساب المسؤول المدمج من هناك. إنها بيئة مثالية لتشغيل البرامج النصية، أو تثبيت البرامج الأساسية، أو تطبيق الإعدادات دون الحاجة إلى حسابات المستخدمين العادية.

في خوادم Windows، تتم إدارة حساب المسؤول المتكامل غالبًا من MMC "المستخدمين والمجموعات المحلية".على غرار ما تم وصفه سابقًا في lusrmgr.msc. في هذه الأنظمة:

• يتم فتح وحدة التحكم MMC وتمت إضافة الإضافة مستخدمين محليين و مجموعات.
• تم الوصول إلى الحساب مدير، يتم تعديل خصائصه ويتم إلغاء تحديد المربع الحساب معطل.
• تم حفظ التكوين وإغلاق MMC، مما يتيح الوصول الإداري المتكامل.

في إصدارات الخادم هذه، من الشائع جدًا استخدام حساب المسؤول المدمج. في بعض مراحل الإعداد الأولية، على الرغم من أن التوصية الأمنية تظل تقضي بتقييد الاستخدام اليومي وحمايته بكلمات مرور قوية للغاية.

تعطيل حساب المسؤول المدمج وإدارة كلمة المرور الخاصة به

بمجرد اكتمال أعمال الصيانة أو تحضير المعداتإن الإجراء الأكثر حكمة هو تعطيل حساب المسؤول المدمج مرة أخرى، وخاصة على أجهزة الكمبيوتر التي سيتم استخدامها من قبل المستخدمين النهائيين غير الفنيين.

في تثبيتات Windows 11 الجديدة، بعد إنشاء حساب المستخدم الأول في OOBE، يتم تعطيل الحساب المدمج بشكل افتراضي.ومع ذلك، في التحديثات من الإصدارات السابقة، قد يحدث ما يلي:

• يظل حساب المسؤول المتكامل ممكّنًا إذا لم يكن هناك أي مسؤول محلي نشط آخر.
• الكمبيوتر غير مرتبط بمجال.وهذا يعزز القرار بإبقائه قيد التشغيل حتى لا يبقى النظام دون إدارة.

لتعطيله يدويًا في أي وقت، يمكننا استخدام الأوامر أو الأدوات الرسومية. على سبيل المثال:

• مع net user administrator /active:no (أو "المسؤول" في الأنظمة الإسبانية).
• التحقق من المربع "تم تعطيل الحساب" في lusrmgr.msc.
• ضبط التوجيه "الحسابات: حالة حساب المسؤول" en ديسهيلادا من secpol.msc.

في بيئات النشر الجماعي، هناك طريقة أخرى لتعطيله وهي تشغيل الأمر "sysprep /generalize"عندما يتم إطلاقه

Sysprep: sysprep /generalize

في هذا السياق، عند التشغيل بعد sysprep، قد يعرض النظام مطالبة لإعادة تكوين كلمة المرور.، اعتمادًا على الإصدار وكيفية إنشاء ملف الاستجابة المستخدم في النشر.

يجب على الشركات المصنعة للمعدات الأصلية (OEMs) والمجمعين تسليم المعدات مع تعطيل حساب المسؤول المدمج.وللقيام بذلك، يمكنهم:

• استخدم sysprep/generalize في عملية التصنيع الخاصة بك.
• قم بتشغيل "net user administrator /active:no" قبل تسليم الجهاز.

فيما يتعلق بكلمة المرور، من المهم جدًا أن تفهم أن Sysprep يمكنه إعادة تعيينها وتركها فارغة في إصدارات معينة.لهذا السبب يوصى به دائمًا تعيين كلمة مرور قوية بعد أي عملية قد تؤثر على الحساب المتكامل، إذا كان من المقرر أن يظل ممكّنًا، حتى ولو مؤقتًا.

القيود والمخاطر المترتبة على إخفاء أو حظر حساب المسؤول

هناك سيناريوهات محددة للغاية حيث يكون مطلوبًا الحصول على حساب مسؤول محلي. لا يُستخدم لتسجيل الدخول مباشرةً، ولكنه يبقى صالحًا لإدخال كلمة المرور عند طلبها من خلال نظام التحكم بحساب المستخدم (UAC). هذا شائع في الشركات التي ترغب في:

• منع المستخدمين من تسجيل الدخول مباشرة كمسؤولين.
• السماح للمستخدمين القياسيين بأداء إجراءات مرتفعة عن طريق إدخال كلمة المرور الخاصة بهذا الحساب. عند فتح مربع بيانات اعتماد UAC.

تتمثل إحدى المحاولات النموذجية لإخفاء حساب المسؤول عن تسجيل الدخول في استخدام السجل، في المفتاح "WinLogon\SpecialAccounts\UserList"بإخفاء هذا الحساب. المشكلة، كما اكتشف العديد من المسؤولين، هي ويؤدي هذا أيضًا إلى اختفاء الحساب كخيار في نوافذ التحكم بحساب المستخدم.منع استخدامه لتصعيد الامتيازات وجعل الكشف أكثر صعوبة العمليات الخفية.

هناك نهج آخر وهو استخدام التوجيه الأمني ​​المحلي لرفض تسجيل الدخول المحلي. إلى حساب المسؤول (على سبيل المثال، من secpol.msc، وإضافته إلى "رفض تسجيل الدخول المحلي"). ولكن:

من خلال القيام بذلك، على الرغم من أن الحساب لا يزال موجودًا ولديه كلمة مرور، عندما يتم إدخال بيانات الاعتماد في موجه التحكم بحساب المستخدم، ينتهي الأمر بالنظام إلى رفض العملية. مع رفض الوصول، لأن السياسة تمنع أي تسجيل دخول محلي، بما في ذلك تسجيل الدخول المرتبط بتصعيد الامتيازات.

لم يتم تصميم Windows بحيث يمكن استخدام حساب المسؤول المحلي للتحكم بحساب المستخدم فقط، ولكن ليس لتسجيل الدخول على الإطلاق.إن محاولة فرض هذا الوضع غالبًا ما تؤدي إلى سلوكيات غريبة أو انسدادات، لذا فمن المستحسن أن نفكر بعناية في نموذج الأمان الذي نريد تنفيذه قبل تطبيق هذا النوع من القيود.

ما هو معقول ومستحسن في العديد من البيئات هو أن يظل حساب المسؤول المدمج معطلاً طوال الوقت تقريبًا.تفعيله فقط عند الحاجة لمهام صيانة محددة وإلغاء تفعيله بعد ذلك، مع اتباع سياسة كلمة مرور جيدة دائمًا، وإذا أمكن، مع تدقيق الاستخدام.

معرفة كل هذه الاحتمالات، من أوامر "مستخدم الشبكة" الأساسية إلى ملفات الاستجابة ووضع التدقيق وlusrmgr.msc وsecpol.msc وsysprepيصبح اتخاذ القرارات الذكية أسهل بكثير عند تمكين حساب المسؤول المخفي أو تعطيله في نظام التشغيل Windows 11، واستكشاف المشكلات الناجمة عن عدم وجود مسؤول وظيفي، والأهم من ذلك، الحفاظ على توازن معقول بين الراحة والأمان على أساس يومي.