Како омогућити скривени администраторски налог у систему Windows 11

Windows 11 укључује уграђени, скривени администраторски налог који је, из безбедносних разлога, подразумевано онемогућен. Овај посебан налог има још више привилегија од корисничких налога који припадају групи администратори и углавном се користи за задатке одржавања, поправку система или припрему опреме пре испоруке крајњем кориснику.

Проблем настаје када изгубимо приступ налогу са администраторским привилегијамаОво се може десити зато што је налог погрешно конфигурисан, лозинка је заборављена или су направљене грешке приликом креирања налога. У овом сценарију, многе опције система Windows су блокиране: програми се не могу инсталирати, Контрола корисничких налога (UAC) спречава кориснике да унесу своје корисничко име и лозинку, а тип налога се не може променити из Подешавања. Стога је веома корисно знати све могуће начине за омогућавање скривеног администраторског налога у систему Windows 11 и стварна ограничења сваке методе.

Шта је скривени администраторски налог у оперативном систему Windows 11 и за шта се користи?

У свим модерним Windows инсталацијама постоји уграђени налог који се обично назива „Администратор“ или „Администратор“Ово није обичан кориснички налог, већ интерни системски налог са повећаним привилегијама, намењен за:

• Направите дубоке промене у оперативном систему без интервенције контроле корисничких налога (UAC).
• Припремите нову опрему од стране произвођача (произвођача оригиналне опреме) или интегратора пре креирања налога крајњих корисника.
• Решавање озбиљних проблема са Windows-ом када други администраторски налози не функционишу исправно.

У старијим верзијама система Windows (пре Висте) овај налог је био видљив и оперативан подразумевано.и све што је било потребно било је знати њихову лозинку за пријаву. Од Windows Viste надаље, Microsoft је одлучио да је подразумевано онемогући како би смањио безбедносне ризике, па:

Током инсталације система Windows 11, креира се кориснички налог који се придружује групи „Администратори“.И ово је онај који користимо за свакодневну употребу. То је налог са повећаним привилегијама, али је подложан Контроли корисничких налога (UAC), која нас упозорава када програм или радња могу променити важна подешавања.

С друге стране, уграђени администраторски налог ради без уобичајених UAC ограничења.Готово свака трансакција се извршава без упозорења или потврда. Ово је веома погодно за захтевне административне задатке, али и изузетно опасно ако се користи као обичан налог или ако падне у погрешне руке.

Због тога се препоручује да се активира само када је то апсолутно неопходно.поставите јаку лозинку за њега, користите је ел тиемпо неопходан и поново га онемогућити чим завршимо задатке одржавања или опоравка.

Типични сценарији проблема: када немате оперативног администратора

Прилично узнемирујућа ситуација је када останете само са стандардним налогом без администраторских привилегија.На пример, на лаптопу са оперативним системом Windows 11 где:

• Креирана су два налога, један стандардни и један администраторски.
• Администраторски налог је постао недоступан (грешка при креирању, заборављена лозинка, оштећен профил итд.).
• Када покушавате да инсталирате програм или направите измене, систем тражи администраторске акредитиве, али Поље за унос корисничког имена и лозинке се не појављује.само опција да притиснете „Не“.

У Подешавањима > Налози се приказује само стандардни налог.без могућности промене типа налога или креирања нових налога са повећаним правима, управо зато што су за извршење тих промена већ потребне администраторске дозволе.

У овој ситуацији, многи корисници траже решења на интернету на основу команде попут „мрежни корисник“ извршен у ЦМДграфички алати, измене у регистру или измене безбедносне политике. Велики проблем је у томе што Већина тих метода већ захтева администраторске привилегије да функционишете, па улазите у зачарани круг из којег је веома тешко изаћи.

Стручњаци за подршку компаније Microsoft јасно стављају до знања: Windows 11 не би требало да дозволи да систем остане без иједног активног администратора.Али ако се то деси и једини преостали налог је стандардни, обично нема лаког излаза. „Трикови“ које можемо видети често неће функционисати јер:

• Не можете отворити командни редак повишен (CMD као администратор).
• Административни алати се не могу покренути као што су lusrmgr.msc или secpol.msc са привилегијама.
• Сам UAC вам спречава да уносите акредитиве са другог налога. јер интерфејс за акредитиве није приказан.

Ако се систем већ нормално покренуо и ниједан администратор није доступанЈедини заиста поуздан начин је обично да направите резервну копију личних датотека, а затим наставите са чиста инсталација оперативног система Виндовс 11, почевши од УСБ инсталација креирана помоћу званичног Мајкрософтовог алата (Media Creation Tool).

Међутим, ако и даље можемо да приступимо администраторским налогима или да покренемо систем у посебним режимима (ВинРЕ, режим ревизије, итд.)Да, можемо искористити методе које ћемо видети у наставку да бисмо омогућили скривени администраторски налог и повратили потпуну контролу над системом.

Активирајте администраторски налог помоћу команде net user

Најдиректнији и најпознатији метод за активирање уграђеног администраторског налога у систему Windows 11 Састоји се од коришћења алата командне линије net user из командне линије са повишеним привилегијама.

Први корак је отварање командне линије као администратор. За то:

• Притисните тастер Windows и откуцајте cMD у траци за претрагу у менију „Старт“.
• Кликните десним тастером миша на „Командна линија“ и изаберите опцију „Покрени као администратор“ (Покрени као администратор).
• Прихватите UAC захтев кликом на да.

Ако овај корак не може бити завршен (јер је ваш корисник стандардни и немате начин да унесете администраторске акредитиве)Стога, ова метода више није одржива на том рачунару у садашњем стању. Биће вам потребан други администратор или ћете морати да поново инсталирате систем.

Са већ отвореном CMD конзолом са администраторским привилегијамаДа бисте омогућили уграђени администраторски налог у оперативном систему Windows 11, можете користити два приступа:

1. Активирајте налог без постављања лозинке (типично за енглеске системе, са именом „Администратор“):

Команда: net user administrator /active:yes

У системима који говоре шпански језик, име налога је обично „Администратор“Дакле, команда би била, на пример:

Команда (ES): net user administrador /active:yes

Ако се команда успешно изврши, Windows ће приказати поруку као што је „Команда је успешно завршена“.Од тог тренутка, интегрисани налог ће се приказивати као активан и можете се пријавити помоћу њега са екрана за пријаву.

2. Активирајте налог и доделите лозинку у једном коракушто је безбедније јер спречавамо да налог остане незаштићен:

Потребна је лозинка: net user administrador TuContraseñaSegura /active:yes

Замените „YourSecurePassword“ лозинком коју желите да подеситеПоред тога, лозинку можете дефинисати или променити и засебно помоћу:

Постави лозинку: net user administrador *

У овом последњем случају, конзола ће вас замолити да унесете нову лозинку и потврдите је.Нећете видети никакве знакове на екрану док куцате (то је нормално из безбедносних разлога). Ако све прође како треба, поново ћете добити поруку да је команда успешно завршена.

Ако у било ком тренутку желите поново да деактивирате скривени администраторски налог, само трчи:

Деактивирај: net user administrador /active:no

Такође можете проверити стање свог налога помоћу:

Цхецк: net user administrador

У излазу команде видећете релевантне информације, као што су:

• Активан налог: Да / Не, што показује да ли је омогућено или онемогућено.
• Потребна лозинка: Да / Не, што указује на то да ли налог има додељену лозинку.

Када се интегрисани налог активира, на екрану за пријаву на Windows 11 требало би да се појави нови унос са именом „Администратор“.Можете је изабрати, унети лозинку коју сте поставили (или оставити празно ако је нисте поставили, што се не препоручује) и први пут се пријавити са овим супер администраторским налогом.

Након првог пријављивања, веома је добра идеја да промените или подесите лозинку са самог администраторског налога., притиском Цтрл + други + Избриши и избор Промените лозинку (Промените лозинку).

Активирајте администраторски налог помоћу напредних графичких алата

Ако више волите да не користите команде, Windows 11 нуди неколико графички алати да ради са корисничким налозима и безбедносним политикама. Уз то речено, у скоро свим случајевима Такође их морате покренути са администраторским привилегијама.

Локални корисници и групе (lusrmgr.msc)

Конзола „Локални корисници и групе“ (lusrmgr.msc) је веома моћан алат за управљање налозима и групама на рачунарима који нису део домена (и углавном у Pro/Enterprise верзијама).

Да бисте га отворили, можете користити дијалог прозор „Покрени“. (Windows + R) и откуцајте:

Отворено: lusrmgr.msc

Отвориће се прозор подељен на три панела. где ћете, са леве стране, видети фасцикле Корисници y Групе. при избору КориснициСви локални налози су приказани у централном панелу, укључујући и онај за Администратор.

Када је уграђени администраторски налог онемогућен, појављује се са малом иконом. са белом стрелицом у доњем десном углу. Да бисте изменили његова својства:

• Кликните десним тастером миша на налог. Администратор и изабери својства.
• На картици Општеопозовите избор у пољу „Налог је онемогућен“.
• Кликните на прихватити.

Када се вратите на листу, црна стрелица на икони ће нестати.Ово указује да је налог већ активан. Да бисте додали лозинку:

• Кликните десним тастером миша поново на Администратор и изабрати „Постави лозинку…“.
• Појавиће се упозорење које указује да промена лозинке може довести до тога да корисник изгуби приступ подацима шифрованим претходном лозинком.

У случају интегрисаног налога који никада није коришћен, не постоји стварни ризик од губитка података.Тако можете да наставите са миром у души, два пута укуцате нову лозинку и завршите чаробњака.

Након тога, интегрисани налог ће бити активиран и заштићен лозинком., спреман за употребу са екрана за пријаву или за рад са UAC без закључавања.

Локална безбедносна директива (secpol.msc)

Други начин за контролу статуса администраторског налога је коришћење локалне безбедносне политике, доступно преко:

Трцати: secpol.msc

Након отварања (такође са администраторским правима), у левом панелу ћете морати да одете до:

• Локалне директиве > Опције сигурности.

У десном панелу потражите политику под називом „Налози: Статус администраторског налога“Десним кликом на њега и избором својстваВидећете две основне опције:

• Омогућено
• онеспособљени

Избор опције „Омогућено“ и чување променаИнтегрисани администраторски налог ће постати активан без потребе за коришћењем команде net userОва опција је посебно корисна у окружењима где се управља многим централизованим безбедносним политикама.

У сваком случају, чак и ако користите secpol.msc да бисте га активиралиОстаје неопходно доделите јаку лозинку на налог, било из lusrmgr.msc, или из командне линије са повишеним привилегијама net user administrador *, или директно након пријављивања помоћу њега.

Омогући администраторски налог током инсталација без надзора (датотека одговора)

У напреднијим сценаријима, посебно у компанијама или за произвођаче опремеУобичајено је користити инсталације оперативног система Windows 11 без надзора користећи датотеке одговора (unattend.xml). У тим случајевима, уграђени администраторски налог може се аутоматски омогућити.

Ово користи, између осталих компоненти, „Microsoft-Windows-Shell-Setup“ унутар датотеке одговора. Коришћењем алата као што је Windows System Image Manager (Windows SIM), део комплета за процену и развој (ADK), могуће је дефинисати параметре за:

• Аутоматско пријављивање, тако да се систем аутоматски пријављује са уграђеним администраторским налогом за одређени број покретања.
• Кориснички налози\Администраторска лозинка, да бисте подесили уграђену администраторску лозинку.

Типичан исечак конфигурације за омогућавање и коришћење овог налога током фазе подешавања може да садржи елементе као што су:

• Корисничко име = Администратор у оквиру аутоматског пријављивања.
• Омогућено = тачно да бисте омогућили аутоматско пријављивање.
• Бројач пријава да би се одредило колико пута ће се извршити аутоматско пријављивање.
• Вредност и обичан текст у оквиру AdministratorPassword да бисте дефинисали приступни кључ.

Дакле, када се инсталира слика система Windows 11, интегрисани налог је омогућен. и приступа му се аутоматски током режима ревизије или у одређеним фазама инсталације, чак и ако ручно састављена администраторска лозинка још није подешена.

Ако не желимо да нам се поново тражи уграђена администраторска лозинка након почетног искуства одмах по покретању система (OOBE), а да је претходно нисмо дефинисалиВажно је утврдити вредност Кориснички налози\Администраторска лозинка у кораку конфигурације ообеСистемОво осигурава да налог има познату лозинку, чак и ако се касније онемогући пре него што се опрема испоручи крајњем кориснику.

Коришћење администраторског налога у режиму ревизије и серверским системима

Када OOBE (Out-Of-Box Experience) још није завршенWindows вам омогућава да покренете систем режим ревизијеОвај режим је првенствено намењен произвођачима оригиналне опреме (OEM) и администраторима који припремају прилагођене слике. возачи, унапред инсталиране апликације итд.

Ако уређај није прошао кроз OOBE (Откључавање из првог подешавања), можете поново ући у режим ревизије. и приступите уграђеном администраторском налогу одатле. То је савршено окружење за покретање скрипти, инсталирање основног софтвера или примену конфигурација без мешања редовних корисничких налога.

На Windows серверима, управљање интегрисаним администраторским налогом се често врши из MMC конзоле „Локални корисници и групе“., слично ономе што је већ описано у lusrmgr.msc. У овим системима:

• Отвара се MMC конзола и додатак је додат Локални корисници и групе.
• Налогу се приступа Администратор, његова својства су уређена и поље је неозначено Налог је онемогућен.
• Конфигурација је сачувана и MMC је затворен, чиме је омогућен интегрисани административни приступ.

У овим серверским издањима, веома је уобичајено користити уграђени администраторски налог. у одређеним почетним фазама подешавања, иако препорука за безбедност остаје да се ограничи његова свакодневна употреба и заштити веома јаким лозинкама.

Онемогућите уграђени администраторски налог и управљајте његовом лозинком

Када се радови на одржавању или припрема опреме завршеНајразумнији начин деловања је поново онемогућити уграђени администраторски налог, посебно на рачунарима које ће користити нетехнички крајњи корисници.

У новим инсталацијама система Windows 11, након креирања првог корисничког налога у OOBE-у, уграђени налог је подразумевано онемогућен.Међутим, у ажурирањима претходних верзија може се десити следеће:

• Интегрисани администраторски налог остаје омогућен ако нема другог активног локалног администратора.
• Рачунар није придружен домену.Ово поткрепљује одлуку да се систем одржи оперативним како не би остао без администрације.

Да бисмо га ручно онемогућили у било ком тренутку, можемо користити команде или графичке алате. На пример:

• са net user administrator /active:no (или „администратор“ у шпанским системима).
• Провера кутије „Налог је онемогућен“ у lusrmgr.msc.
• Постављање директиве „Налози: Статус администраторског налога“ en онеспособљени из датотеке secpol.msc.

У окружењима масовног распоређивања, други начин да се онемогући је покретање команде „sysprep /generalize“Када се покрене

Sysprep: sysprep /generalize

У том контексту, приликом покретања након sysprep-а, систем може приказати захтев за поновну конфигурацију лозинке., у зависности од издања и начина на који је конструисана датотека одговора која се користи у распоређивању.

Произвођачи оригиналне опреме (OEM) и монтажери су дужни да испоручују опрему са онемогућеним уграђеним администраторским налогом.Да би то урадили, они могу:

• Користите sysprep /generalize у свом производном процесу.
• Покрените „net user administrator /active:no“ пре предаје уређаја.

Што се тиче лозинке, веома је важно разумети да Sysprep може да је ресетује и остави празну у одређеним издањима.Зато се увек препоручује Поставите јаку лозинку након било ког процеса који може утицати на интегрисани налог, ако ће остати омогућено, чак и ако је то само привремено.

Ограничења и ризици скривања или блокирања администраторског налога

Постоје веома специфични сценарији у којима је потребан локални администраторски налог. која се не користи за директно пријављивање, али је и даље важећа за унос лозинке када је то затражи Контрола корисничких налога (UAC). Ово је уобичајено у компанијама које желе да:

• Спречите кориснике да се директно пријављују као администратори.
• Дозволите стандардним корисницима да обављају радње са повишеним привилегијама уносом лозинке за тај налог. када отворите поље за UAC акредитиве.

Типичан покушај сакривања администраторског налога од пријаве је коришћење регистра, у кључу „WinLogon\SpecialAccounts\UserList“обележавањем тог налога као скривеног. Проблем је у томе што су, као што су многи администратори открили, Ово такође узрокује да налог нестане као опција у прозорима за управљање корисничким уносом.спречавање његове употребе за ескалацију привилегија и отежање откривања скривених процеса.

Други приступ је коришћење Директиве о локалној безбедности да би се спречило локално пријављивање. на тај администраторски налог (на пример, из secpol.msc, додавањем у „Забрани локалну пријаву“). Али:

На тај начин, иако налог и даље постоји и има лозинку, када се акредитиви унесу у UAC промпт, систем на крају одбија операцију. са ускраћивањем приступа, јер политика спречава било какво локално пријављивање, укључујући и оно повезано са ескалацијом привилегија.

Windows није дизајниран тако да се локални администраторски налог може користити само за UAC, али не и за пријављивање уопште.Покушај форсирања ове ситуације често доводи до чудног понашања или блокада, па је препоручљиво пажљиво размотрити безбедносни модел који желимо да имплементирамо пре него што применимо ову врсту ограничења.

Оно што је разумно, и препоручљиво у многим окружењима, јесте да уграђени администраторски налог остане онемогућен скоро све време.Активирање само када је потребно за одређене задатке одржавања и деактивирање накнадно, увек уз добру политику лозинки и, ако је могуће, уз ревизију коришћења.

Познавање свих ових могућности, од основних команди „мрежног корисника“ до датотека одговора, режима ревизије, lusrmgr.msc, secpol.msc и sysprepМного је лакше доносити паметне одлуке приликом омогућавања или онемогућавања скривеног администраторског налога у оперативном систему Windows 11, решавања проблема који настају због недостатка функционалног администратора и, пре свега, одржавања разумне равнотеже између практичности и безбедности на дневној бази.