Kako omogočiti skriti skrbniški račun v sistemu Windows 11

Windows 11 vključuje vgrajen, skriti skrbniški račun ki je zaradi varnostnih razlogov privzeto onemogočen. Ta poseben račun ima še več privilegijev kot uporabniški računi, ki pripadajo skupini administratorjev, in se uporablja predvsem za vzdrževalna opravila, popravilo sistema ali pripravo opreme pred dostavo končnemu uporabniku.

Težava nastane, ko izgubimo dostop do računa s skrbniškimi pravicami.Do tega lahko pride, ker je bil račun napačno konfiguriran, je bilo geslo pozabljeno ali pa so bile pri ustvarjanju računov storjene napake. V tem primeru je veliko možnosti sistema Windows blokiranih: programov ni mogoče namestiti, nadzor uporabniških računov (UAC) uporabnikom preprečuje vnos uporabniškega imena in gesla, vrste računa pa ni mogoče spremeniti v nastavitvah. Zato je zelo koristno poznati vse možne načine za omogočanje skritega skrbniškega računa v sistemu Windows 11 in dejanske omejitve posamezne metode.

Kaj je skriti skrbniški račun v sistemu Windows 11 in za kaj se uporablja?

V vseh sodobnih namestitvah sistema Windows obstaja vgrajen račun, ki se običajno imenuje »Administrator« ali »Administrator«.To ni običajen uporabniški račun, temveč interni sistemski račun s povišanimi privilegiji, namenjen za:

• Naredite korenite spremembe v operacijskem sistemu brez posredovanja nadzora uporabniških računov (UAC).
• Pripravite novo opremo s strani proizvajalcev (OEM) ali integratorjev, preden ustvarijo račune končnih uporabnikov.
• Odpravljanje resnih težav z operacijskim sistemom Windows ko drugi skrbniški računi ne delujejo pravilno.

V starejših različicah sistema Windows (pred Visto) je bil ta račun privzeto viden in delujoč.in vse, kar je bilo potrebno za prijavo, je bilo poznavanje gesla. Od sistema Windows Vista naprej se je Microsoft odločil, da ga privzeto onemogoči, da bi zmanjšal varnostna tveganja, zato:

Med namestitvijo sistema Windows 11 se ustvari uporabniški račun, ki se pridruži skupini »Skrbniki«.In to je tisti, ki ga uporabljamo za vsakodnevno uporabo. Gre za račun s povečanimi privilegiji, vendar je podvržen Nadzoru uporabniških računov (UAC), ki nas opozori, ko program ali dejanje lahko spremeni pomembne nastavitve.

Vgrajeni skrbniški račun pa deluje brez običajnih omejitev UAC.Skoraj vsaka transakcija se izvede brez opozoril ali potrditev. To je zelo priročno za zahtevna administrativna opravila, hkrati pa izjemno nevarno, če se uporablja kot običajen račun ali če pride v napačne roke.

Zaradi tega je priporočljivo, da ga aktivirate le, kadar je to nujno potrebno.nastavite močno geslo in ga uporabite čas nepogrešljivo in ga ponovno onemogočimo takoj, ko končamo z vzdrževalnimi ali obnovitvenimi nalogami.

Tipični scenariji težav: ko nimate operativnega skrbnika

Precej zaskrbljujoča situacija je, da ostane le standardni račun brez skrbniških pravic.Na primer, na prenosniku z operacijskim sistemom Windows 11, kjer:

• Ustvarjena sta bila dva računa, eden standardni in eden administratorski.
• Skrbniški račun ni več dostopen (napaka pri ustvarjanju, pozabljeno geslo, poškodovan profil itd.).
• Ko poskušate namestiti program ali narediti spremembe, sistem zahteva skrbniške poverilnice, vendar Polje za vnos uporabniškega imena in gesla se ne prikaže.samo možnost, da pritisnete »Ne«.

V Nastavitve > Računi se prikaže samo standardni račun.brez možnosti spreminjanja vrste računa ali ustvarjanja novih računov s povišanimi pravicami, ravno zato, ker so za te spremembe že potrebna skrbniška dovoljenja.

V tej situaciji mnogi uporabniki iščejo rešitve na internetu na podlagi ukazi, kot je »omrežni uporabnik« izvršen v CMDgrafična orodja, spremembe registra ali spremembe varnostne politike. Velika težava je v tem, da Večina teh metod že zahteva skrbniške pravice delovati, zato vstopite v začaran krog, iz katerega je zelo težko izstopiti.

Microsoftovi strokovnjaki za podporo jasno povedo: Windows 11 ne sme dovoliti, da sistem ostane brez aktivnih skrbnikov.Če pa se to zgodi in je edini preostali račun standardni, običajno ni lahke poti. »Triki«, ki jih pogosto vidimo, ne bodo delovali, ker:

• Ne morete odpreti ukazni poziv povišano (CMD kot skrbnik).
• Skrbniških orodij ni mogoče zagnati na primer lusrmgr.msc ali secpol.msc s privilegiji.
• UAC sam vam preprečuje vnos poverilnic iz drugega računa. ker vmesnik za poverilnice ni prikazan.

Če se je sistem že normalno zagnal in skrbnik ni na voljoEdini resnično zanesljiv način je običajno varnostno kopiranje osebnih datotek in nato nadaljevanje čista namestitev sistema Windows 11, začenši z USB namestitev, ustvarjena z uradnim Microsoftovim orodjem (Media Creation Tool).

Če pa še vedno lahko dostopamo do skrbniškega računa ali se zaženemo v posebne načine (WinRE, način revizije itd.)Da, lahko izkoristimo metode, ki jih bomo videli spodaj, da omogočimo skriti skrbniški račun in ponovno pridobimo popoln nadzor nad sistemom.

Aktivirajte skrbniški račun z ukazom net user

Najbolj neposredna in znana metoda za aktiviranje vgrajenega skrbniškega računa v sistemu Windows 11 Sestavljen je iz uporabe orodja ukazne vrstice net user iz ukaznega poziva s povišanimi privilegiji.

Prvi korak je odpiranje ukaznega poziva kot skrbnik. Za to:

• Pritisnite tipko Windows in vtipkajte cmd v iskalni vrstici menija Start.
• Z desno miškino tipko kliknite »Ukazni poziv« in izberite možnost "Izvedi kot skrbnik" (Zaženi kot skrbnik).
• Sprejmite poziv UAC s klikom na Da.

Če tega koraka ni mogoče dokončati (ker je vaš uporabnik standardni in nimate možnosti vnesti skrbniških poverilnic)Zato ta metoda v tem računalniku ni več izvedljiva. Potrebovali boste drugega skrbnika ali pa se boste morali zateči k ponovni namestitvi sistema.

Z že odprto konzolo CMD s skrbniškimi pravicamiČe želite omogočiti vgrajeni skrbniški račun v sistemu Windows 11, lahko uporabite dva pristopa:

1. Aktivirajte račun, ne da bi še nastavili geslo (značilno za angleške sisteme, z imenom »Administrator«):

Ukaz: net user administrator /active:yes

V špansko govorečih sistemih je ime računa običajno »Administrator«.Torej bi bil ukaz na primer:

Ukaz (ES): net user administrador /active:yes

Če se ukaz uspešno izvede, bo Windows prikazal sporočilo, kot je »Ukaz je bil uspešno izveden«.Od tega trenutka naprej bo integrirani račun prikazan kot aktiven in se boste z njim lahko prijavili na prijavnem zaslonu.

2. Aktivirajte račun in dodelite geslo v enem korakukar je varneje, ker preprečimo, da bi račun ostal nezaščiten:

Zahtevano geslo: net user administrador TuContraseñaSegura /active:yes

Zamenjava »VašeVarnoGeslo« z geslom, ki ga želite nastavitiPoleg tega lahko geslo določite ali spremenite tudi ločeno z:

Nastavi geslo: net user administrador *

V tem zadnjem primeru vas bo konzola pozvala, da vnesete novo geslo in ga potrdite.Med tipkanjem na zaslonu ne boste videli nobenih znakov (to je zaradi varnostnih razlogov normalno). Če bo vse potekalo v redu, boste znova prejeli sporočilo, da je bil ukaz uspešno zaključen.

Če želite kadar koli znova deaktivirati skriti skrbniški račun, samo zaženi:

Deaktiviraj: net user administrador /active:no

Stanje računa lahko preverite tudi z:

Preveri: net user administrador

V izpisu ukaza boste videli ustrezne informacije, kot so:

• Aktiven račun: Da / Ne, ki označuje, ali je omogočeno ali onemogočeno.
• Zahtevano geslo: Da / Ne, ki označuje, ali ima račun dodeljeno geslo.

Ko je integrirani račun aktiviran, se na prijavnem zaslonu sistema Windows 11 prikaže nov vnos z imenom »Administrator«.Lahko ga izberete, vnesete geslo, ki ste ga nastavili (ali pa pustite prazno, če ga še niste nastavili, kar ni priporočljivo) in se prvič prijavite s tem super administratorskim računom.

Po prvi prijavi je zelo dobro, da spremenite ali nastavite geslo iz samega skrbniškega računa., pritisnete Ctrl + druga + Izbriši in izbira Spremenite geslo (Sprememba gesla).

Aktivirajte skrbniški račun z naprednimi grafičnimi orodji

Če ne želite uporabljati ukazov, vam Windows 11 ponuja več grafična orodja za delo z uporabniškimi računi in varnostnimi pravilniki. Kljub temu pa v skoraj vseh primerih Zagnati jih morate tudi s skrbniškimi pravicami.

Lokalni uporabniki in skupine (lusrmgr.msc)

Konzola »Lokalni uporabniki in skupine« (lusrmgr.msc) je zelo zmogljivo orodje za upravljanje računov in skupin v računalnikih, ki niso del domene (in predvsem v različicah Pro/Enterprise).

Če ga želite odpreti, lahko uporabite pogovorno okno Zaženi. (Windows + R) in vnesite:

Odprto: lusrmgr.msc

Odpre se okno, razdeljeno na tri plošče. kjer boste na levi videli mape Uporabniki y Skupine. pri izbiri UporabnikiVsi lokalni računi so prikazani v osrednji plošči, vključno s tistim za Administrator.

Ko je vgrajeni skrbniški račun onemogočen, se prikaže z majhno ikono. z belo puščico v spodnjem desnem kotu. Če želite spremeniti njegove lastnosti:

• Z desno miškino tipko kliknite na račun. Administrator in izberite lastnosti.
• Tab splošnopočistite polje "Račun je onemogočen".
• Kliknite na sprejemajo.

Ko se vrnete na seznam, bo črna puščica na ikoni izginila.To pomeni, da je račun že aktiven. Če želite dodati geslo:

• Znova kliknite z desno tipko miške na Administrator in izberite "Nastavi geslo ...".
• Prikazalo se bo opozorilo, da lahko sprememba gesla povzroči, da uporabnik izgubi dostop do podatkov, šifriranih s prejšnjim geslom.

V primeru integriranega računa, ki ni bil nikoli uporabljen, ni resnične nevarnosti izgube podatkov.Tako lahko nadaljujete brez skrbi, dvakrat vnesite novo geslo in dokončajte čarovnika.

Po tem bo integrirani račun aktiviran in zaščiten z geslom., pripravljen za uporabo z zaslona za prijavo ali za delo z UAC brez zaklepanja.

Lokalna varnostna direktiva (secpol.msc)

Drug način za nadzor stanja skrbniškega računa je uporaba lokalne varnostne politike, dostopno prek:

Zaženi: secpol.msc

Ko ga odprete (tudi s skrbniškimi pravicami), boste morali v levi plošči poiskati:

• lokalne direktive > Možnosti varnosti.

V desnem podoknu poiščite pravilnik z imenom »Računi: Stanje skrbniškega računa«.Z desnim klikom nanj in izbiro lastnostiVideli boste dve osnovni možnosti:

• Omogočeno
• onemogočeno

Izbira »Omogočeno« in shranjevanje spremembIntegrirani skrbniški račun bo postal aktiven brez uporabe ukaza net userTa možnost je še posebej uporabna v okoljih, kjer se upravlja veliko centraliziranih varnostnih pravilnikov.

V vsakem primeru, tudi če za aktivacijo uporabite secpol.mscŠe vedno je bistveno dodelite močno geslo v račun, bodisi iz datoteke lusrmgr.msc bodisi iz ukazne datoteke CMD s povišanimi pravicami z net user administrador *ali neposredno po prijavi z njim.

Omogoči skrbniški račun med nenadzorovanimi namestitvami (odzivna datoteka)

V naprednejših scenarijih, zlasti v podjetjih ali za proizvajalce opremePogosto se uporabljajo nenadzorovane namestitve sistema Windows 11 z uporabo datotek z odgovori (unattend.xml). V teh primerih je mogoče vgrajeni skrbniški račun samodejno omogočiti.

To med drugim uporablja komponente »Microsoft-Windows-Shell-Setup« znotraj datoteke z odzivi. Z orodji, kot je Windows System Image Manager (Windows SIM), ki je del kompleta za ocenjevanje in razvoj (ADK), je mogoče določiti parametre za:

• Samodejna prijava, tako da se sistem za določeno število zagonov samodejno prijavi z vgrajenim skrbniškim računom.
• Uporabniški računi\Geslo skrbnika, da nastavite vgrajeno skrbniško geslo.

Tipičen delček konfiguracije za omogočanje in uporabo tega računa med fazo nastavitve lahko vključuje elemente, kot so:

• Uporabniško ime = Skrbnik znotraj samodejne prijave.
• Omogočeno = res da omogočite samodejno prijavo.
• Število prijav da določite, kolikokrat se bo izvedla samodejna prijava.
• Vrednost in navadno besedilo znotraj AdministratorPassword za določitev dostopnega ključa.

Ko je torej nameščena slika sistema Windows 11, je integrirani račun omogočen. in do njega se dostopa samodejno med načinom revizije ali na določenih stopnjah namestitve, tudi če ročno sestavljeno skrbniško geslo še ni nastavljeno.

Če ne želimo, da nas po začetnem zagonu sistema (OOBE) znova vprašajo za vdelano skrbniško geslo, ne da bi ga definiraliPomembno je določiti vrednost Uporabniški računi\Geslo skrbnika v koraku konfiguracije oobeSystemTo zagotavlja, da ima račun znano geslo, tudi če je kasneje onemogočeno, preden je oprema dostavljena končnemu uporabniku.

Uporaba skrbniškega računa v načinu revizije in strežniških sistemih

Ko OOBE (izkušnja prvega zagona) še ni končanaWindows vam omogoča zagon v način revizijeTa način je namenjen predvsem proizvajalcem originalne opreme (OEM) in skrbnikom, ki pripravljajo slike po meri. vozniki, prednameščene aplikacije itd.

Če naprava še ni bila zagnana po prvem zagonu (OOBE), lahko znova vstopite v način nadzora. in od tam dostopati do vgrajenega skrbniškega računa. To je odlično okolje za izvajanje skriptov, nameščanje osnovne programske opreme ali uporabo konfiguracij brez vmešavanja običajnih uporabniških računov.

V strežnikih Windows se upravljanje integriranega skrbniškega računa pogosto izvaja iz konzole MMC »Lokalni uporabniki in skupine«., podobno kot je bilo že opisano v lusrmgr.msc. V teh sistemih:

• Odpre se konzola MMC in dodatek je dodan Lokalni uporabniki in skupine.
• Do računa se dostopa Administrator, njegove lastnosti so urejene in polje ni označeno Račun je onemogočen.
• Konfiguracija se shrani in MMC se zapre, s čimer se omogoči integriran skrbniški dostop.

V teh strežniških izdajah je zelo pogosto uporabljati vgrajeni skrbniški račun. v nekaterih začetnih fazah namestitve, čeprav varnostno priporočilo ostaja, da se omeji njegova vsakodnevna uporaba in ga zaščiti z zelo močnimi gesli.

Onemogočite vgrajeni skrbniški račun in upravljajte njegovo geslo

Ko so vzdrževalna dela ali priprava opreme končanaNajbolj preudarno je, da vgrajeni skrbniški račun ponovno onemogočite, zlasti v računalnikih, ki jih bodo uporabljali netehnični končni uporabniki.

V novih namestitvah sistema Windows 11 je po ustvarjanju prvega uporabniškega računa v OOBE vgrajeni račun privzeto onemogočen.Vendar pa se lahko pri posodobitvah prejšnjih različic zgodi naslednje:

• Integrirani skrbniški račun ostane omogočen če ni drugega aktivnega lokalnega skrbnika.
• Računalnik ni pridružen domeni.To krepi odločitev, da se ohrani delovanje, da sistem ne bi ostal brez administracije.

Če ga želimo kadar koli ročno onemogočiti, lahko uporabimo ukaze ali grafična orodja. Na primer:

• z net user administrator /active:no (ali „administrator“ v španskih sistemih).
• Preverjanje polja "Račun je onemogočen" v datoteki lusrmgr.msc.
• Določitev direktive »Računi: Stanje skrbniškega računa« en onemogočeno iz datoteke secpol.msc.

V okoljih z množičnim uvajanjem ga lahko onemogočite tudi z zagonom ukaza »sysprep /generalize«.Ko se lansira

Sysprep: sysprep /generalize

V tem kontekstu lahko sistem pri zagonu po ukazu sysprep prikaže poziv za ponovno konfiguracijo gesla., odvisno od izdaje in načina izdelave odzivne datoteke, uporabljene pri uvajanju.

Proizvajalci originalne opreme (OEM) in sestavljavci morajo dobaviti opremo z onemogočenim vgrajenim skrbniškim računom.Da bi to storili, lahko:

• Uporabite sysprep /generalize v svojem proizvodnem procesu.
• Zaženite »net user administrator /active:no« pred predajo naprave.

Glede gesla je zelo pomembno razumeti, da ga lahko Sysprep v nekaterih izdajah ponastavi in ​​pusti prazno.Zato je vedno priporočljivo Po vsakem postopku, ki bi lahko vplival na integrirani račun, nastavite močno geslo., če bo ostalo omogočeno, četudi le začasno.

Omejitve in tveganja skrivanja ali blokiranja skrbniškega računa

Obstajajo zelo specifični scenariji, v katerih je zaželen lokalni skrbniški račun. ki se ne uporablja za neposredno prijavo, vendar je še vedno veljaven za vnos gesla, ko ga pozove Nadzor uporabniških računov (UAC). To je pogosto v podjetjih, ki želijo:

• Preprečite uporabnikom, da se prijavijo neposredno kot skrbniki.
• Standardnim uporabnikom omogočite izvajanje dejanj s povišanimi pravicami tako, da vnesejo geslo za ta račun. ko odprete polje s poverilnicami UAC.

Tipičen poskus skrivanja skrbniškega računa pred prijavo je uporaba registra v ključu »WinLogon\SpecialAccounts\UserList«.tako, da ta račun označite kot skritega. Težava je v tem, da so, kot so ugotovili mnogi skrbniki, Zaradi tega račun izgine kot možnost v oknih UAC.preprečevanje njegove uporabe za stopnjevanje privilegijev in oteževanje odkrivanja skrite procese.

Drug pristop je uporaba lokalne varnostne direktive za zavrnitev lokalne prijave. v ta skrbniški račun (na primer iz datoteke secpol.msc, če jo dodate v »Zavrni lokalno prijavo«). Vendar:

S tem se zgodi, da čeprav račun še vedno obstaja in ima geslo, sistem ob vnosu poverilnic v poziv UAC na koncu zavrne operacijo. z zavrnitvijo dostopa, ker pravilnik preprečuje vsako lokalno prijavo, vključno s tisto, povezano z eskalacijo privilegijev.

Windows ni zasnovan tako, da bi se lokalni skrbniški račun lahko uporabljal samo za UAC, ne pa tudi za prijavo.Poskus vsilitve te situacije pogosto vodi do nenavadnega vedenja ali blokad, zato je priporočljivo, da pred uporabo te vrste omejitve skrbno preučimo varnostni model, ki ga želimo implementirati.

Razumno in v mnogih okoljih priporočljivo je, da vgrajeni skrbniški račun skoraj ves čas ostane onemogočen.Aktivirajte ga le, kadar je to potrebno za določena vzdrževalna opravila, in ga nato deaktivirajte, vedno z dobro politiko gesel in, če je mogoče, z nadzorom uporabe.

Poznavanje vseh teh možnosti, od osnovnih ukazov »omrežnega uporabnika« do odzivnih datotek, načina nadzora, lusrmgr.msc, secpol.msc in sysprepVeliko lažje je sprejemati pametne odločitve pri omogočanju ali onemogočanju skritega skrbniškega računa v sistemu Windows 11, odpravljanju težav, ki izhajajo iz pomanjkanja funkcionalnega skrbnika, in predvsem pri vsakodnevnem ohranjanju razumnega ravnovesja med udobjem in varnostjo.