- Akun administrator terintegrasi ke dalam Windows 11 Ini adalah pengguna khusus dengan hak istimewa penuh, dinonaktifkan secara default karena alasan keamanan.
- Ini dapat diaktifkan dengan perintah seperti pengguna net, alat grafis (lusrmgr.msc), kebijakan keamanan (secpol.msc) atau file respons dalam penerapan lanjutan.
- Jika tidak ada akun administrator aktif yang tersisa, Windows 11 tidak mengizinkan pemulihan hak istimewa dan solusi amannya adalah menginstal ulang sistem.
- Akun ini hanya boleh digunakan sebagai sumber daya darurat, dengan kata sandi yang kuat, dan harus dinonaktifkan lagi setelah menyelesaikan tugas administratif.
Windows 11 cukup cerewet soal izin Dan jika terjadi masalah dengan akun pengguna, Anda bisa berada dalam situasi yang sangat genting: hanya memiliki akun pengguna standar, tanpa akses ke opsi administrator, dan Kontrol Akun Pengguna (UAC) memblokir perubahan signifikan apa pun. Dalam kasus ini, memahami cara kerja sistem sangatlah penting. akun administrator terintegrasi dan tersembunyi dapat membuat perbedaan antara menyimpan instalasi atau harus untuk format.
Akun administrator tersembunyi di Windows 11 Ini adalah pengguna khusus dengan hak istimewa penuh, yang dirancang untuk tugas pemeliharaan, audit, dan pemecahan masalah. Ini bukan akun "Administrator" biasa yang Anda buat saat instalasi, melainkan akun administrator. pengguna sistem internal yang dinonaktifkan karena alasan keamanan. Dalam artikel ini, kita akan melihat, langkah demi langkah, cara mengaktifkannya, cara menggunakannya dengan amanApa yang harus dilakukan jika Anda tidak lagi memiliki administrator di tim dan opsi lanjutan apa yang ada (registri, kebijakan lokal, berkas respons, mode audit, dll.).
Apa itu akun administrator bawaan di Windows 11?
Windows Vista dan yang lebih baruMicrosoft sepenuhnya mengubah manajemen hak istimewa. Sebelumnya, pengguna Administrator Anda bisa masuk asalkan tahu kata sandinya. Sekarang, akun terintegrasi itu sudah ada, tetapi... dinonaktifkan secara default dan administrasi harian jatuh ke akun yang Anda buat dan yang ditambahkan ke grup Administrator.
Akun administrator terintegrasi ini (disebut juga Administrator bawaan) berbeda dari akun administrator normal karena Tidak tunduk pada Kontrol Akun Pengguna (UAC) Demikian pula, ketika Anda bekerja dengan akun administrator "normal", setiap kali suatu proses membutuhkan izin yang lebih tinggi, jendela UAC yang familiar akan muncul meminta konfirmasi. Dengan administrator bawaan, Perubahan dilakukan tanpa meminta izin..
Ini sangat nyaman untuk tugas-tugas teknis yang berulang-ulang.Namun hal ini membawa risiko yang signifikan: program jahat apa pun yang berjalan di bawah akun tersebut akan kontrol sistem total tanpa batasanSelain itu, penting untuk mengetahui bagaimana mendeteksi proses dan rootkit tersembunyi Untuk mengurangi risiko, Microsoft menyarankan agar Anda hanya menggunakannya untuk pemeliharaan sesekali, menetapkan kata sandi yang kuat, menggunakannya hanya bila diperlukan, dan menonaktifkannya lagi segera setelah selesai.
Dalam pengaturan rumah tangga, biasanya pengguna yang Anda buat untuk instal Windows 11 Jadilah administrator lokal. Pengguna tersebut dapat melihat jendela UAC dan dapat menyetujui atau menolak perubahan. Namun, jika akun tersebut hilang, rusak, atau diturunkan ke standar secara tidak sengaja, akun bawaan tersebut dapat menjadi satu-satunya jalan menuju pemulihan, asalkan masih dapat diaktifkan menggunakan beberapa metode canggih.
Perbedaan antara akun administrator biasa dan akun administrator bawaan
Akun administrator normal Ini adalah yang Anda konfigurasikan saat instalasi atau dari Pengaturan > Akun. Ini termasuk dalam grup Administrator dan dapat menginstal program, mengubah pengaturan sistem, atau mengelola pengguna lain, tetapi di bawah pengawasan UACSetiap kali sesuatu memerlukan peningkatan, kotak dialog khas akan muncul menanyakan konfirmasi (atau nama pengguna dan kata sandi jika administrator lain).
Akun administrator terintegrasi Ia berperilaku berbeda: Tidak memerlukan konfirmasi UAC untuk sebagian besar tindakanIni seperti masuk ke GNU/Linux sebagai akar permanen. Itulah mengapa ini terutama digunakan untuk:
- Siapkan peralatan baru oleh OEM dan teknisi (memasang perangkat lunak, menerapkan skrip, dll.).
- Memecahkan masalah serius izin atau akun.
- Bekerja dalam mode audit sebelum pengguna akhir melihat pengalaman OOBE.
Pada peralatan baru, selama pembuatanOEM biasanya menggunakan akun ini untuk menjalankan aplikasi dan skrip sebelum membuat akun pengguna akhir. Akun ini dapat diaktifkan melalui berkas respons tanpa pengawasan, mode audit, atau alat manajemen seperti MMC dan kebijakan lokal.
Setelah pengguna akhir membuat akun mereka di wizard awal (OOBE), Windows 11 biasanya nonaktifkan akun terintegrasi lagi Jika setidaknya satu administrator lokal aktif sudah ada dan komputer tidak terhubung ke domain. Dalam instalasi peningkatan, akun bawaan dapat diaktifkan jika akun tersebut merupakan satu-satunya administrator yang tersedia di komputer tersebut.
Situasi bermasalah: Saya hanya memiliki akun standar
Kasus yang sangat umum Ini merujuk pada pengguna yang, ketika membuat beberapa akun, membiarkan satu sebagai administrator dan yang lainnya sebagai standar, tetapi karena suatu alasan kehilangan akses ke akun administrator (lupa kata sandi, profil rusak, terhapus secara tidak sengaja, dll.). Tiba-tiba, Mereka terjebak dalam sesi standarJika masalah Anda muncul setelah pembaruan, mungkin ada baiknya berkonsultasi dengan panduan untuk memecahkan masalah login.
Dalam skenario ini, gejala khasnya suara:
- Saat menginstal program, UAC meminta nama pengguna dan kata sandi, tetapi Kotak untuk menuliskannya tidak munculhanya pilihan "Tidak".
- Dari Pengaturan > Akun, Hanya akun standar yang muncultanpa kemungkinan mengubah jenis akun atau mengelola akun lainnya.
- Perintah untuk mengelola pengguna (
net user, Dll) mereka tidak memiliki efek karena tidak dieksekusi dengan hak istimewa yang lebih tinggi.
Pada titik ini, banyak “panduan ajaib” internet gagalkarena mereka semua berasumsi bahwa, entah bagaimana, Anda akan berhasil membukanya cmd o PowerShell "sebagai administrator." Tapi bagaimana jika tidak ada yang tersisa? tidak ada administrator aktif Dalam sistem, Windows 11 seharusnya tidak mengizinkan perubahan struktural dilakukan pada akun atau kebijakan.
Dalam praktiknya, ketika hanya akun standar yang tersisa dan tidak ada cara untuk meningkatkan izin (bahkan dari lingkungan pemulihan menggunakan metode lanjutan), itu dianggap sebagai situasi buntuPara ahli dukungan Microsoft menjelaskan dengan jelas: jika tidak ada administrator yang tersedia, Tidak ada cara resmi dan aman untuk mendapatkan kembali hak istimewa tersebut.Dalam kasus tersebut, solusi realistisnya adalah Cadangkan file pribadi dan lakukan instalasi bersih Windows 11 dari a USB de boot.
Metode untuk mengaktifkan akun administrator tersembunyi
Jika Anda masih memiliki setidaknya satu akun dengan hak istimewa administrator (atau Anda sedang mempersiapkan tim baru), ya, Anda dapat mengaktifkan akun bawaan dengan beberapa cara: dari konsol perintah, dengan alat grafis, melalui kebijakan lokal, atau bahkan dengan file respons dalam penerapan tanpa pengawasan.
Paling umum terjadi di lingkungan rumah tangga adalah menggunakan Command prompt atau PowerShell dengan hak istimewa yang lebih tinggi. Di lingkungan profesional atau pabrikan, lebih umum menggunakan File respons XML, mode audit, MMC, dan secpol.msc untuk mengontrol status akun dan kata sandi.
Sebelum mengaktifkannya, ada baiknya diingat bahwa akun ini harus:
- Gunakan hanya sebagai akun darurat atau untuk tugas tertentu.
- Miliki kata sandi yang kuatbahwa hal itu tidak boleh dibagikan dengan mudah.
- Nonaktifkan lagi ketika Anda selesai membuat perubahan pada sistem.
OEM dan perakit Mereka memiliki kewajiban untuk Kirimkan peralatan ke pelanggan dengan akun terintegrasi dinonaktifkanUntuk melakukan hal ini, mereka dapat menggunakan perintah seperti net user administrator /active:no atau lari sysprep /generalize, yang pada permulaan berikutnya akan menonaktifkan akun yang terintegrasi ke komputer klien.
Aktifkan akun administrator tersembunyi dari Command Prompt
Metode yang paling langsung dan terkenal Untuk mengaktifkan administrator bawaan di Windows 11, gunakan perintah net user, dieksekusi dari jendela CMD atau PowerShell dengan hak istimewa administrator.
1. Buka konsol sebagai administrator
Untuk melakukan ini, tekan tombol Windowsmenulis cmd o Command prompt dan, dalam daftar hasil, pilih opsi Jalankan sebagai administratorTerima jendela UAC dengan "Iya"Anda akan melihat jendela konsol dengan hak istimewa yang ditinggikan terbuka.
2. Aktifkan akun Administrator bawaan
Di konsol itu, jalankan:
net user administrator /active:yes
Jika perintah berhasil dijalankanWindows akan menampilkan pesan “Perintah telah berhasil diselesaikan”Sejak saat itu, akun administrator terintegrasi akan diaktifkan dan akan muncul di layar login.
3. Tetapkan kata sandi untuk akun terintegrasi
Demi keamanan, sangatlah penting tetapkan kata sandi untuk akun ituAnda dapat melakukannya dengan:
net user administrator *
Sistem akan meminta kata sandi Anda dua kali.Saat Anda menuliskannya, Anda tidak akan melihat karakter apa pun di layar. (Tanpa tanda bintang), yang normal. Setelah selesai, jika semuanya berjalan lancar, pesan bahwa perintah berhasil diselesaikan akan muncul lagi.
4. Aktifkan dan atur kata sandi dalam satu langkah
Jika Anda lebih suka, Anda dapat mengaktifkan akun dan mengatur kata sandi dalam satu perintah:
net user administrator TuContraseña /active:yes
Anda hanya perlu mengganti TuContraseña untuk kata sandi yang ingin Anda gunakan. Pastikan kata sandinya cukup rumit (huruf besar, huruf kecil, angka, dan simbol) untuk mencegah akses yang tidak diinginkan.
5. Nonaktifkan akun Administrator bawaan
Setelah Anda selesai menggunakannya, sangat disarankan untuk menonaktifkannya lagi. mengurangi permukaan serangan. Perintahnya adalah:
net user administrator /active:no
Sekali lagi, sistem akan mengonfirmasi Operasi telah berhasil diselesaikan. Setelah itu, akun tersebut tidak akan muncul lagi di layar masuk dan tidak dapat digunakan hingga Anda mengaktifkannya kembali.
Periksa status akun terintegrasi
Untuk memeriksa apakah akun aktif dan memiliki kata sandiAnda dapat menggunakan perintah yang sama net user tanpa parameter tambahan:
net user administrator
Di pintu keluar, lihat dua bidang utama:
- Saat aktif: akan menunjukkan Ya jika akun diaktifkan.
- Kata sandi diperlukan: akan menunjukkan Ya jika akun memiliki kata sandi yang ditetapkan.
Jika Anda melihat akun tersebut aktif tetapi tanpa kata sandiSangat penting bagi Anda untuk segera menetapkannya, karena administrator tanpa kata sandi adalah lubang keamanan yang besarterutama jika perangkat terhubung ke jaringan.
Aktifkan akun administrator tersembunyi dengan pengguna dan grup lokal
Selain konsol perintahWindows 11 (dalam edisi Pro dan yang lebih tinggi) menyertakan alat grafis canggih yang disebut Pengguna dan grup lokal, dapat diakses melalui add-on lusrmgr.mscDengannya Anda dapat mengaktifkan atau menonaktifkan akun administrator terintegrasi dan mengelola kata sandi.
1. Buka Pengguna dan Grup Lokal
pers Windows + R Untuk membuka jendela Run, ketik:
lusrmgr.msc
Tekan EnterKonsol akan terbuka Pengguna dan grup lokal, dengan panel kiri tempat Anda akan melihat folder Pengguna y Grup, panel tengah dengan daftar terkait dan panel kanan dengan tindakan yang tersedia.
2. Temukan akun Administrator
Di panel kiri, pilih folder PenggunaDi panel tengah Anda akan melihat beberapa akun, termasuk AdministratorJika Anda memiliki satu panah hitam di sudut ikon, berarti akun tersebut dinonaktifkan.
3. Ubah properti akun
klik kanan Administrator dan pilih PropertiJendela akan terbuka Properti: Administrator dengan beberapa tab; pastikan Anda berada di tab tersebut Umum.
Pada tab itu, hapus centang pada kotak “Akun dinonaktifkan” dan klik menerimaKetika Anda kembali ke jendela utama, Anda akan melihat bahwa tanda panah pada ikon telah menghilang, yang menunjukkan bahwa akun tersebut sekarang aktif.
4. Tetapkan kata sandi untuk akun tersebut
Dari daftar pengguna yang sama, klik kanan pada Administrator dan pilih Tetapkan kata sandi…Peringatan akan muncul yang menunjukkan bahwa mengubah kata sandi dapat mengakibatkan pengguna kehilangan akses ke data terenkripsi atau kata sandi yang tersimpan. Karena akun terintegrasi biasanya belum pernah digunakan sebelumnya, Ini biasanya bukan masalah.
Masukkan kata sandi baru dua kali Untuk menghindari kesalahan, konfirmasi. Terakhir, Windows akan menampilkan pesan yang menunjukkan bahwa kata sandi telah berhasil diubah. Dari sana, Anda dapat masuk dengan akun tersebut dari layar masuk.
Aktifkan akun administrator dengan kebijakan keamanan (secpol.msc)
Cara grafis lain untuk memantau status akun terintegrasi Itu melalui Arahan Keamanan Lokalmenggunakan add-on secpol.mscMetode ini memungkinkan Anda untuk mengaktifkan atau menonaktifkan akun menggunakan kebijakan tertentu.
1. Buka Kebijakan Keamanan Lokal
Tekan tombol Windowsmenulis secpol.msc dan pilih Jalankan sebagai administratorTerima UAC. Konsol kebijakan lokal akan terbuka, mirip seperti pohon konfigurasi.
2. Arahkan ke opsi yang sesuai
Di panel kiri, buka Kebijakan Lokal > Opsi KeamananDi panel kanan, cari arahan yang disebut:
Akun: Status akun administrator
3. Aktifkan akun
Klik kanan pada kebijakan itu dan pilih PropertiDi jendela yang muncul, pilih opsi Diaktifkan dan tekan menerimaIni akan mengaktifkan akun administrator terintegrasi di tingkat kebijakan lokal.
Metode ini sangat berguna Dalam lingkungan yang terkelola, di mana Anda ingin mengontrol secara terpusat apakah akun tersebut dapat digunakan atau tidak, tanpa harus menyentuh setiap komputer satu per satu di tingkat pengguna dan grup lokal.
Penggunaan file respons dan mode audit (lingkungan lanjutan)
Dalam penempatan tanpa pengawasan atau di pabrikSangat umum untuk mengaktifkan akun administrator bawaan selama instalasi menggunakan File respons XMLFile-file ini dibuat dengan alat seperti Pengelola Citra Sistem Windows (Windows SIM), termasuk dalam Kit Penilaian dan Implementasi (ADK).
Di dalam komponen Microsoft-Windows-Shell-Setupblok dapat dikonfigurasi AutoLogon sehingga sistem secara otomatis masuk ke akun tersebut administratorbahkan jika kata sandi belum ditentukan di AdministratorPasswordNilai-nilai seperti berikut ini ditentukan:
- Nama Pengguna =
Administrator - Enabled =
true - Jumlah Logon untuk menunjukkan berapa kali login otomatis akan terjadi.
Selain itu, di bagian UserAccounts, itu bisa dibangun AdministratorPassword dengan nilai tertentu dan menentukan apakah itu disimpan dalam teks biasa (PlainText = true) atau dalam bentuk terenkripsi. Pada langkah konfigurasi Sistem oobeBagian ini memungkinkan Anda untuk mengatur kata sandi yang akan dimiliki akun terintegrasi setelah pengalaman pengguna awal selesai.
Pilihan lainnya adalah mode audit.Jika komputer belum melalui pengalaman OOBE, Windows dapat dimulai di modus audityang langsung mengakses akun administrator bawaan tanpa terlebih dahulu membuat akun pengguna akhir. Dari sana, berikut ini diinstal: driver (dan itu bisa jadi Buka Pengelola Perangkat), program, skrip dieksekusi pada langkah auditUser dan perlengkapannya pun siap untuk dikirim kepada pelanggan.
Saat kamu lari sysprep /generalizeSaat sistem dinyalakan kembali, akun bawaan dinonaktifkan dan informasi sistem tertentu dibersihkan. Pada edisi server, Sysprep mengatur ulang kata sandi akun terintegrasi Dan setelah memulai ulang, akan muncul perintah untuk mengonfigurasi kata sandi baru. Pada edisi klien, perilaku kata sandi berbeda, tetapi bagaimanapun juga, OEM harus memastikan Kirimkan perangkat dengan akun ini dinonaktifkan.
Sembunyikan panel administrator bawaan saat startup tetapi gunakan untuk UAC
Di lingkungan yang lebih menuntutBeberapa orang ingin memiliki akun administrator lokal yang:
- Itu tidak terlihat di layar masuk.
- Jangan izinkan login interaktif sebagai pengguna biasa.
- Tapi aku bisa digunakan untuk meningkatkan izin di UAC (masukkan nama pengguna dan kata sandi Anda saat diminta).
Masalahnya adalah tidak semua metode penyembunyian cocok untuk tujuan ini.Misalnya, jika Anda menambahkan akun ke pendaftaran di HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList dengan nilai 0, memang Itu tidak akan muncul lagi di layar berandatapi itu juga akan berhenti tersedia sebagai opsi di prompt UAC ketika kredensial administrator diminta.
Ide lain adalah menolak login lokal ke akun itu dari secpol.msc (kebijakan “Tolak login lokal”). Namun, jika Anda mengonfigurasi ini, ketika Anda menggunakan akun tersebut dalam prompt UACSetelah memasukkan kata sandi dengan benar, login ditolak dan lift akan rusak.
Oleh karena itu, membuat akun hanya untuk peningkatan UAC, sepenuhnya tersembunyi dan tidak dapat digunakan untuk login normal.Ini lebih rumit daripada yang terlihat, dan banyak kombinasi yang akhirnya merusak fungsi UAC. Pendekatan yang paling praktis biasanya:
- Jangan tampilkan di layar login utamatapi izinkan ganti pengguna atau masuk dengan kredensial yang berbeda bila diperlukan.
- Atau gunakan akun administrator lain “teknis” dengan kata sandi yang kuat, tanpa perlu terlalu mempersulit konfigurasi kata sandi terintegrasi.
Apa yang harus dilakukan jika tidak ada yang berhasil dan tidak ada administrator
Jika situasi Anda saat ini adalah Anda hanya memiliki akun standar dan tidak ada opsi untuk menjalankan perintah sebagai administrator yang berfungsi (UAC tampaknya tidak memasukkan kredensial, Anda tidak dapat menggunakannya net user(Anda tidak memiliki akses ke lusrmgr.msc atau secpol.msc dengan elevasi, dll.), Tidak ada jalan pintas ajaib sejak Windows 11.
Para ahli dari dukungan resmi Microsoft Mereka bersikeras bahwa, dalam keadaan seperti ini, sistem tersebut telah menjalankan fungsinya: mencegah pengguna yang tidak memiliki hak istimewa naik ke administrator dengan kemampuanmu sendiriMeskipun beredar di Internet Trik bervariasi, sebagian besar berasumsi bahwa dengan cara tertentu Ya, Anda bisa mendapatkan konsol dengan hak administratoryang mana tidak terjadi pada Anda.
Pilihan paling aman dan paling dapat diandalkan melewati:
- Cadangkan semua file pribadi Anda (dokumen, foto, dll.) di drive eksternal atau di cloud.
- Buat drive USB instalasi Windows 11 dengan alat pembuatan media resmi Microsoft.
- Boot dari USB itu, format partisi sistem dan lakukan instalasi bersih Windows 11.
Untuk membuat USB yang dapat di-boot, descargas Gunakan alat dari situs web Microsoft untuk menjalankannya, pilih opsi untuk membuat media instalasi, sambungkan flash drive USB (minimal 8 GB), dan ikuti langkah-langkahnya. Kemudian, konfigurasikan BIOS/UEFI Anda untuk boot dari USB. Anda melakukan instalasi bersih.Selama proses tersebut, Anda akan membuat akun administrator baru berfungsi penuh.
Bahkan jika itu adalah solusi yang drastisIni adalah satu-satunya yang menjamin Anda dapat memperoleh kembali kontrol penuh atas peralatan tanpa harus menggunakan metode yang tidak aman atau alat pihak ketiga yang dapat membahayakan integritas sistem.
Untuk memahami sepenuhnya cara kerja akun administrator bawaan di Windows 11Perbedaannya dengan akun administrator biasa dan berbagai cara untuk mengaktifkannya (CMD, alat grafis, kebijakan, berkas respons, atau mode audit) memungkinkan Anda mengelola sistem dengan keamanan dan kemudahan yang jauh lebih baik. Jika digunakan dengan bijak, ini adalah Alat yang ampuh untuk menyelesaikan masalah perizinan dan administrasi.Jika disalahgunakan atau dibiarkan aktif tanpa kendali, hal itu dapat menjadi masalah serius, jadi sebaiknya selalu kendalikan, gunakan kata sandi yang kuat, dan nonaktifkan saat tidak diperlukan.
Penulis yang bersemangat tentang dunia byte dan teknologi secara umum. Saya suka berbagi ilmu melalui tulisan, dan itulah yang akan saya lakukan di blog ini, menunjukkan kepada Anda semua hal paling menarik tentang gadget, perangkat lunak, perangkat keras, tren teknologi, dan banyak lagi. Tujuan saya adalah membantu Anda menavigasi dunia digital dengan cara yang sederhana dan menghibur.