Андрей Смирнов
Время чтения: ~12 мин.
Просмотров: 0

Как управлять учетными записями Windows 10?

Информация к новости

  • Просмотров: 67 409
  • Автор: admin
  • Дата: 3-10-2017

3-10-2017

Категория: Учётные записи и пароли / Функционал Windows

Самый лучший способ сделать так, чтобы никто из домочадцев не испытывал интерес к вашему личному компьютеру – купить каждому из них по своему компьютеру. Но, увы, не каждая семья может себе позволить такую роскошь. Ведь если покупать не ноутбук, а десктоп, нужно ещё и позаботиться об обустройстве компьютерного места в доме. Если своё виртуальное пространство всё же приходится делить с близкими, чтобы не накалять обстановку, тогда как хотя бы защитить его? Как минимум от ненамеренных действий детей или взрослых людей, но полных новичков. Ниже рассмотрим 5 способов такой защиты, реализуемых в среде Windows 10. Итак…

5 способов ограничить возможности пользователя Windows 10

1. Тип учётной записи «Стандартный пользователь»

При установке любой версии Windows всегда создаётся учётная запись администратора, а внутри неё уже можно формировать сколь угодно учётных записей типа «Стандартный пользователь». Именно посредством таких и нужно делить компьютер с неопытными домочадцами. В Windows 10 создать другим пользователям отдельную среду для работы с компьютером можно в приложении «Параметры», в разделе «Учётные записи».

1506970030_skrin-1.jpg

Тогда как с учётной записи администратора с Windows можно делать практически всё – устанавливать и запускать какой угодно софт, вносить в систему свои настройки, удалять любые, даже некоторые системные файлы, с учётной записи стандартного пользователя эти действия будут блокироваться. Стандартный пользователь сможет работать с Интернетом и программами, запуск которых неограничен получением разрешения на запрос UAC.

1506970009_skrin-2.jpg

Подробнее о создании учётных записей в среде Windows 10 читайте здесь.Такой подход не решит всех проблем, которые порождает совместное использование технологий в доме, но как минимум снизит риск заражения компьютера вирусами. И в части случаев предотвратит сбой работы Windows. По всем вопросам запуска программ, требующих прав администратора, стандартному пользователю придётся обращаться к вам. И вы сможете контролировать действия того, кому доверили своё устройство.

2. Блокировка установки десктопного ПО

Права стандартного пользователя в актуальной версии Windows 10 (обновлённой до Creators Update) можно ещё больше ограничить, запретив установку в систему десктопного ПО. В учётной записи администратора открываем приложение «Параметры» и проходим в раздел «Приложения». В первой вкладке раздела нам нужна функция «Установка приложений». В её выпадающем перечне выбираем опцию, разрешающую установку на компьютер только универсальных приложений из магазина Windows Store.

1506970029_skrin-3.jpg

Для администратора это ограничение действовать не будет. А вот стандартный пользователь теперь не сможет установить в Windows ни одну десктопную программу. Как только он запустит инсталлятор, увидит такое вот сообщение.

1506970063_skrin-4.jpg

В плане исследования новинок ему придётся довольствоваться только выбором контента из Windows Store. Ну или искать портативные программы, не требующие разрешения UAC.

3. Только одно приложение из Windows Store

Свести совсем уж к минимуму возможности стандартного пользователя можно, ограничив его работу только с одним универсальным приложением. Редакция Windows 10 Pro предусматривает доступ к одному из приложений только из числа универсальных.  А вот в редакциях системы Enterprise и Education в качестве единственного окна доступа учётной записи можно назначать браузер или десктопную программу. Такое ограничение настраивается в разделе управления учётными записями внутри приложения «Параметры».

1506970087_skrin-5.jpg

В настройках ограниченного доступа необходимо указать учётную запись стандартного пользователя и единственное доступное ему приложение.

1506970081_skrin-6.jpg

Выход из учётной записи, работающей в режиме ограничения, осуществляется клавишами Ctrl+Alt+Del.Примечание: друзья, в предыдущих версиях Windows существовал ещё один тип учётной записи — «Гость». Microsoft её специально предусмотрела для случаев временной работы встречных-поперечных пользователей, которым владелец компьютера вынужден давать его на время попользоваться, чтобы не прослыть скупердяем. В версии системы 10 этот тип учётной записи упразднён, но при желании её всё же можно организовать. Как это делается, читайте в этой статье.

4. Отключение и ограничение использования Интернета

Более гибкие настройки ограничения использования Интернета может предложить ПО типа «Родительский контроль», в том числе и штатный функционал Windows 10, который будет рассмотрен ниже. Пока же такое ПО в системе не настроено, от случая к случаю ограничивать стандартных пользователей в работе с Интернетом можно за счёт отключения сетевой карты или Wi-Fi адаптера и правки файла hosts. Включение/отключение сетевых устройств и замена редакции файла hosts требуют наличия прав администратора. Следовательно, стандартному пользователю без пароля администраторской учётной записи эти ограничения никак не удастся обойти.Чтобы полностью отключить Интернет на компьютере, на значке сети в системном трее вызываем контекстное меню и отправляемся раздел сетевых настроек системы.

1506970004_skrin-7.jpg

Переключаемся на раздел «Изменение параметров адаптера» и с помощью контекстного меню отключаем активность сетевой карты или Wi-Fi.

1506970034_skrin-8.jpg

Включаем, соответственно, обратным способом.Чтобы ограничить доступ только к отдельным интернет-сайтам, жмём клавиши Win+R, вводим:%systemroot%system32driversetc

1506970072_skrin-9.jpg

После нажатия «Ок» в системном проводнике обнаружим путь хранения файла hosts. Открываем его с помощью любого редактора TXT-файлов, например, штатного блокнота.

1506970039_skrin-10.jpg

В самом низу файла вносим записи блокировки сайтов по типу:127.0.0.1 домен_сайтаДомен указывается через пробел после цифровых значений, как показано на скриншоте. После чего сохраняем файл как текстовый в любом месте компьютера.

1506970091_skrin-11.jpg

Включаем в проводнике отображение расширений файлов и переименовываем (клавиша F2) — убираем из имени «hosts.txt» расширение, то есть часть имени «.txt». Жмём Enter.

1506970014_skrin-12.jpg

Теперь отправляемся по пути нахождения исходного файла hosts, удаляем его (или перемещаем куда-нибудь для хранения в качестве резервной копии), а на его место переносим только что отредактированный файл hosts с заблокированными сайтами. Для возврата настроек системы в исходное состояние либо возвращаем на место первую редакцию файла hosts, либо таким же образом правим текст существующей редакции и удаляем значения блокировки сайтов.

5. Родительский контроль Windows 10

Каждое ПО, реализуемое в среде Windows функцию родительского контроля, имеет свои особенности. Возможности такой функции в составе Windows 10 позволяют гибко устанавливать и снимать ограничения для детских учётных записей, причём ещё и удалённо по Интернету — из веб-интерфейса учётной записи Microsoft. Правда, без Интернета управлять этой функцией нельзя. Применение к учётной записи родительского контроля позволит гибко ограничивать пользователя в действиях:

  • Разрешать или запрещать доступ к определённому перечню сайтов;
  • Запрещать покупку приложений из Windows Store;
  • Разрешать доступ к компьютеру по графику;
  • Блокировать запуск отдельного ПО (причём как универсальных приложений, так и десктопных программ);
  • Отслеживать действия пользователя и т.п.

Для использования штатной функции родительского контроля и у родителя, и у ребёнка должны быть зарегистрированы учётные записи Microsoft. И, соответственно, с помощью последней должен быть выполнен вход в систему. В разделе управления семейными учётными записями добавляем нового члена семьи.

1506969995_skrin-13.jpg

Указываем, что это ребёнок, вводим адрес электронной почты, к которой подвязана его учётная запись Microsoft.

1506970052_skrin-14.jpg

Затем заходим в почтовый ящик ребёнка и по ссылке в письме от Microsoft подтверждаем его присоединение к семье. После этого в разделе «Семья» веб-интерфейса учётной записи Microsoft взрослого откроется доступ к настройкам родительского контроля ребёнка.

1506970044_skrin-15.jpg

Продолжение в статье: Ограничения пользователей компьютера с помощью локальной групповой политики

ВернутьсяКомментариев: 10 Дорогой посетитель, Вы можете задать на сайте любой вопрос и обязательно получите ответ!

Причём не только методами создания учётных записей со статусом стандартного пользователя, лишённого прав администратора. Обладая правами последнего, возможности по использованию компьютера для отдельных людей, чьи неопытные или намеренные действия могут приводить к проблемам, можно урезать в большей степени.

Как в среде Windows 10 задействовать ограниченные учётные записи?

1. Запуск только одного UWP-приложения

Учётные записи со статусом стандартного пользователя можно максимально ограничить, позволив с них запуск только одного UWP-приложения. Делается это в приложении «Параметры» из учётки администратора.

Единственным доступным приложением при таком раскладе может быть любое UWP-приложение – хоть штатное, хоть установленное в Microsoft Store, но только не браузер Edge. Тем не менее если пользователю нужно дать ограниченную среду для веб-сёрфинга, в Microsoft Store можно установить сторонний UWP-браузер.

Такая ограниченная учётная запись будет работать по принципу терминала. Выйти из неё можно нажатием Ctrl+Alt+Del.

Более гибко настроить ограничения для отдельных пользователей можно с помощью функционала редакций Windows 10, начиная с Pro.

2. Режим гостя

Для встречных-поперченных людей, которым вроде как и неудобно отказать в просьбе дать на пару минут зайти в соцсеть, но и не очень хочется подпускать к своим личным данным, в панели управления Windows 7 можно было включить специальную учётную запись гостя. В «Десятке» она никуда не делась, вот только включается чуть сложнее. В режиме гостя используется в большей степени ограниченная учётная запись, чем таковая со статусом стандартного пользователя. Гостю нельзя делать всё то, что требует прав администратора – устанавливать, удалять, запускать программы, удалять системные данные, смотреть содержимое каталогов профиля других пользователей. Нельзя использовать OneDrive. Доступ к настройкам в UWP-формате ограждён невозможностью запуска приложения «Параметры».

Чтобы включить учётку гостя в Windows 10, запускаем штатную утилиту:

lusrmgr.msc

Раскрываем каталог «Пользователи», в нём двойным кликом кликаем по «Гостю». В отрывшихся свойствах убираем все установленные галочки. Применяем.

Теперь нужно кое-что подправить в локальных групповых политиках. Открываем редактор:

gpedit.msc

Раскрываем путь, указанный на скриншоте. Открываем параметр, запрещающий локальный вход.

Удаляем гостя.

И тем самым активируем его учётную запись.

3. Особенный гость

Обезличенная учётка «Гость» — универсальное решение, удобное, если часто приходится принимать у себя гостей, которым всегда нужно срочно войти на пару минут в свою соцсеть. Если круг гостей узкий, можно сделать приятно, например, любимой бабушке, создав её личную учётку гостя. В той же утилите lusrmgr.msc нужно в меню «Действие» выбрать нового пользователя, дать ему имя и убрать галочку необходимости смены пароля (чтобы учётка была незапароленной). Затем нажать «Создать».

Затем делаем двойной клик на бабушкиной учётке и в окне свойств переключаемся на вкладку «Членство в группах». Удаляем группу «Пользователи».

И добавляем группу «Гости».

Если бабушка станет реже приходить, её учётку, чтобы она не болталась на экране блокировки, можно временно отключать. Делается это в том же окошке свойств учётной записи.

***

Ещё больше урезать возможности гостя или стандартного пользователя можно с помощью локальных групповых политик. Ограничения, введённые ими в окне редактора gpedit.msc, будут работать для всех учётных записей компьютера. А чтобы ограничения не касались администратора и применялись только для отдельных пользователей, с политиками нужно работать через консоль MMC.

Запускаем её:

mmc.exe

Необходимо добавить новую оснастку.

Кликаем «Редактор объектов групповой политики». Нажимаем «Добавить», затем — «Обзор».

Выбираем нужного пользователя.

Готово.

Закрываем форму добавления оснасток. Оснастку gpedit.msc, созданную для выбранного пользователя только что, сохраняем в удобном месте.

С этого места и будем впредь запускать эту оснастку. И ограничивать в ней права юзеров. Например, тройкой предложенных ниже способов.

4. Запрет панели управления

Режим гостя, как упоминалось, защищён от вмешательства в настройки, находящиеся в приложении «Параметры». А вот панель управления в части настроек, не требующих прав администратора, гостю доступна. Это легко можно исправить и запретить её запуск.

В созданной оснастке раскрываем путь, показанный на скриншоте. Открываем параметр, запрещающий работу с панелью управления.

Включаем его.

В учётке со статусом стандартного пользователя этот параметр ещё и отключит приложение «Параметры».

5. Запуск только UWP-приложений

Чтобы дать человеку возможность работать только с UWP-приложениями и закрыть ему доступ к десктопным EXE-программам, можно воспользоваться параметром выполнения только указанных приложений.

Будучи включённым, этот параметр позволит поимённо указать только разрешённые для запуска EXE-программы. Нужно указать хотя бы одну такую программу, например, штатный блокнот.

6. Запуск только отдельных программ

Используя параметр выполнения только указанных приложений, можно расширить перечень разрешённых пользователю EXE-программ.

А можно сделать иначе и разрешить использовать все EXE-программы, кроме некоторых.

При попытке запуска запрещённых программ гость увидит такое вот сообщение.

—>

Область применения

  • Windows 10

Обзор и ссылки на сведения о параметрах политики безопасности назначения прав пользователей, доступных в Windows. Пользовательские права управляют методами, с помощью которых пользователь может войти в систему. Права пользователей применяются на локальном уровне устройства и позволяют пользователям выполнять задачи на устройстве или в домене. Права пользователей включают права и разрешения на вход. Права на вход в систему, которые уполномочено входить на устройство и как они могут войти в систему. Разрешения на доступ к ресурсам компьютера и домена управляют доступом пользователей, а также могут переопределять разрешения, заданные для определенных объектов. Управление правами пользователей осуществляется с помощью групповой политики в элементе назначения прав пользователей .

Каждому пользователю справа присвоено постоянное имя и связанное с ним имя групповой политики. Имена констант используются для ссылки на права пользователя в журнале событий. Вы можете настроить параметры назначения прав пользователя в следующем расположении в консоли управления групповыми политиками (GPMC) в разделе Конфигуратионвиндовс Сеттингссекурити Сеттингслокал ПолиЦиесусер Rights (компьютер). локальное устройство с помощью редактора локальных групповых политик (gpedit. msc).

Сведения о настройке политик безопасности можно найти в разделе Настройка параметров политики безопасности.

В следующей таблице приведены ссылки на каждый параметр политики безопасности и указаны константы для каждого из них. В описаниях параметров содержатся справочные сведения, рекомендации по настройке параметров политики, значения по умолчанию, различия между версиями операционной системы и рекомендации по управлению политикой и безопасности.

Параметр групповой политики Имя константы
Доступ к диспетчеру учетных данных от имени доверенного вызывающего Сетрустедкредманакцесспривилеже
Доступ к этому компьютеру из сети Сенетворклогонригхт
Работа в режиме операционной системы Сеткбпривилеже
Добавление рабочих станций к домену Семачинеаккаунтпривилеже
Настройка квот памяти для процесса Сеинкреасекуотапривилеже
Локальный вход в систему Сеинтерактивелогонригхт
Разрешить вход в систему через службу удаленных рабочих столов Серемотеинтерактивелогонригхт
Архивация файлов и каталогов Себаккуппривилеже
Обход перекрестной проверки Сечанженотифипривилеже
Изменение системного времени Сесистемтимепривилеже
Изменение часового пояса Сетимезонепривилеже
Создание файла подкачки Секреатепажефилепривилеже
Создание маркерного объекта Секреатетокенпривилеже
Создание глобальных объектов Секреатеглобалпривилеже
Создание постоянных общих объектов Секреатеперманентпривилеже
Создание символических ссылок Секреатесимболиклинкпривилеже
Отладка программ Седебугпривилеже
Отказ в доступе к компьютеру из сети Седенинетворклогонригхт
Отказ во входе в качестве пакетного задания Седенибатчлогонригхт
Отказать во входе в качестве службы Седенисервицелогонригхт
Запретить локальный вход Седенинтерактивелогонригхт
Запретить вход в систему через службу удаленных рабочих столов Седениремотеинтерактивелогонригхт
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Синабледелегатионпривилеже
Принудительное удаленное завершение работы Серемотешутдовнпривилеже
Создание аудитов безопасности Сеаудитпривилеже
Имитация клиента после проверки подлинности Сеимперсонатепривилеже
Увеличение рабочего набора процесса Сеинкреасеворкингсетпривилеже
Увеличение приоритета выполнения Сеинкреасебасеприоритипривилеже
Загрузка и выгрузка драйверов устройств Селоаддриверпривилеже
Блокировка страниц в памяти Селоккмеморипривилеже
Вход в качестве пакетного задания Себатчлогонригхт
Вход в качестве службы Сесервицелогонригхт
Управление журналом аудита и безопасности Право
Изменение метки объекта Серелабелпривилеже
Изменение параметров среды изготовителя Сесистеменвиронментпривилеже
Выполнение задач по обслуживанию томов Семанажеволумепривилеже
Профилирование одного процесса Сепрофилесинглепроцесспривилеже
Профилирование производительности системы Сесистемпрофилепривилеже
Отключение компьютера от стыковочного узла Сеундоккпривилеже
Замена маркера уровня процесса Сеассигнпримаритокенпривилеже
Восстановление файлов и каталогов Сересторепривилеже
Завершение работы системы Сешутдовнпривилеже
Синхронизация данных службы каталогов Сесинкажентпривилеже
Смена владельцев файлов и других объектов Сетакеовнершиппривилеже

Еще по теме

—>Используемые источники:

  • https://remontcompa.ru/windows/uchetnye-zapisi-i-paroli/1356-5-sposobov-ogranichit-vozmozhnosti-polzovatelya-windows-10.html
  • https://www.white-windows.ru/ogranichennye-uchyotnye-zapisi-windows-10/
  • https://docs.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/user-rights-assignment

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации
Тимофей Белов
Консультант сайта
Здравствуйте. Если у вас остались вопросы, вы можете можете задать их мне.