Локальные учетные записи

Поддерживаемые типы учетных записей

В следующей таблице перечислены типы учетных записей Windows, которые можно использовать для службы агента SQL Server.

Тип учетной записи Некластеризованный сервер Кластеризованный сервер Контроллер домена (некластеризованный)
Учетная запись домена Microsoft Windows (член группы «Администраторы» Windows) Поддерживается Поддерживается Поддерживается
Неадминистративная учетная запись домена Windows ПоддерживаетсяСм. ограничение № 1 ниже. ПоддерживаетсяСм. ограничение № 1 ниже. ПоддерживаетсяСм. ограничение № 1 ниже.
Учетная запись сетевой службы (NT AUTHORITY\NetworkService) ПоддерживаетсяСм. ограничения № 1, 2 и 4 ниже. Не поддерживается Не поддерживается
Неадминистративная учетная запись локального пользователя ПоддерживаетсяСм. ограничение № 1 ниже. Не поддерживается Неприменимо
Учетная запись Local System (NT AUTHORITY\System) ПоддерживаетсяСм. ограничение № 2 ниже. Не поддерживается ПоддерживаетсяСм. ограничение № 2 ниже.
Учетная запись локальной службы (NT AUTHORITY\NetworkService) Не поддерживается Не поддерживается Не поддерживается

Прикрепление целевого сервера к главному серверу может завершиться ошибкой, после чего появляется следующее сообщение: «Не удалось выполнить операцию прикрепления».

Чтобы устранить эту ошибку, перезапустите службы SQL Server и агента SQL Server. Дополнительные сведения см. в статье Запуск, остановка, приостановка, возобновление и перезапуск ядра СУБД, агента SQL Server или службы «Обозреватель SQL Server».

Администрирование нескольких серверов поддерживается при выполнении службы агента SQL Server с использованием учетной записи Local System только в том случае, если целевой и главный серверы расположены на одном и том же компьютере. При использовании этой конфигурации, при прикреплении целевого сервера к главному серверу, возвращается следующее сообщение:

«Убедитесь, что стартовая учетная запись агента для <имя_компьютера_целевого_сервера> имеет права для входа на сервер targetServer».

Данное сообщение можно пропустить. Операция прикрепления должна быть завершена успешно. Дополнительные сведения см. в статье Создание многосерверной среды.

При запуске агента SQL Server может произойти сбой, если служба агента SQL Server выполняется с использованием учетной записи сетевой службы, которая уже явным образом получила доступ к экземпляру SQL Server в качестве пользователя SQL Server.

Для решения этой проблемы перезагрузите компьютер, на котором работает SQL Server. Это действие необходимо выполнить однократно.

Отключение удаленных ограничений UAC

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.

Чтобы отключить удаленные ограничения UAC, выполните следующие действия:

  1. Нажмите кнопку Начните, нажмите кнопку Выполнить, введите regedit и нажмите кнопку ENTER.

  2. Найдите и откройте следующий подраздел реестра:

  3. Если записи реестра не существует, выполните следующие действия:

    1. В меню Редактирование указать значение New, а затем выберите значение DWORD.
    2. Введите LocalAccountTokenFilterPolicy и нажмите кнопку ENTER.
  4. Правой кнопкой мыши LocalAccountTokenFilterPolicy, а затем выберите Изменение.

  5. В поле Значение данных введите 1, а затем выберите ОК.

  6. Закройте редактор реестра.

Далее …

Вот и все для этого урока. В оставшейся части этой серии мы сосредоточимся на следующих областях:

Урок 2. В этом уроке объясняются такие понятия, как рабочая группа, имя компьютера, IP-адрес, местоположение в сети и домашняя группа. Вы узнаете, что они из себя представляют и какую роль они играют в совместном использовании сети.

Урок 3. Мы подробно рассмотрим все параметры общего доступа к сети, доступные в Windows, и способы их настройки в соответствии с вашими потребностями. Кроме того, вы узнаете, как изменить местоположение в сети, чтобы получать доступ к функциям общего доступа к сети только тогда, когда они необходимы.

Урок 4. В этом уроке объясняется общая папка и ее роль в совместном использовании сети. Узнав, как и когда его можно использовать, вы можете решить, имеет ли смысл его использовать или нет.

Урок 5: Мы продолжаем охват домашней группы и подробно объясняем, как ее использовать, чтобы делиться ею с другими пользователями в сети.

Урок 6: Windows включает в себя мастер общего доступа, который можно использовать для предоставления общего доступа к любой папке, которую вы хотите, как можно быстрее. В этом уроке рассказывается обо всем, что вам нужно знать о его использовании.

Урок 7. Если вы специалист по компьютерным технологиям или компьютерным специалистам, которым необходимо предоставлять общий доступ к папкам и устройствам с использованием более сложных разрешений, вам следует использовать расширенный общий доступ. Эти уроки делятся всем, что вам нужно знать об их использовании.

Урок 8. Сопоставление сетевых дисков — это простой способ доступа к папкам, доступным для других пользователей в сети. В этом уроке объясняется, как сопоставить общую папку из сети.

Урок 9: Вам наверняка понадобится поделиться устройствами, такими как принтеры, с другими пользователями в сети. Этот урок посвящен объяснению того, как делиться устройствами с другими пользователями в сети.

Урок 10. Последний урок посвящен доступу к общим папкам и сетевым ресурсам.

Разрешения RBAC в Azure

В следующей таблице содержатся разрешения Azure RBAC, связанные с этой конфигурацией.

Встроенные роли Разрешения NTFS Итоговый доступ
Читатель общей папки файловых данных хранилища SMB Полный доступ, Изменение, Чтение, Запись, Выполнение Чтение и выполнение
Чтение Чтение
Участник общей папки файловых данных хранилища SMB Полный доступ Изменение, Чтение, Запись, Выполнение
Изменить Изменить
Чтение и выполнение Чтение и выполнение
Чтение Чтение
запись запись
Участник общих папок данных SMB службы хранилища с повышенными правами Полный доступ Изменение, Чтение, Запись, Изменение разрешений, Выполнение
Изменить Изменить
Чтение и выполнение Чтение и выполнение
Чтение Чтение
запись запись

Функции компьютера сервера сайта (имя_компьютера$)

Функция Необходимые права и разрешения Примечания

Доступ к контейнерам доменных служб Active Directory во
время любого типа обнаружения Active Directory

Доступ на чтение к контейнерам, указанным для
обнаружения. Если учетная запись компьютера используется в доменах,
отличных от доменов, в которых расположен сервер сайта, эта учетная
запись должна иметь права пользователя в этих доменах.

Учетная запись должна быть членом по меньшей мере одной группы
пользователей домена или локальной группы пользователей в этих
доменах.

Доступ к DHCP-серверу для обнаружения сети DHCP

Необходимо быть членом группы пользователей DHCP на
DHCP-сервере.

Создание и заполнение контейнера System Management в
Active Directory.

Если расширить схему, включить публикацию и предоставить учетной
записи имя_компьютера$ полный доступ к контейнеру
системы и всем дочерним объектам, в нем может быть автоматически
создан контейнер System Management.

Чтобы следовать принципу наименьших прав, вручную создайте
контейнер System Management в контейнере системы, вместо того,
чтобы разрешать Configuration Manager создавать его. Затем
предоставьте учетной записи компьютера сервера сайта полные права
для контейнера System Management и всех дочерних объектов.

Доступ к исходным файлам при создании пакетов для
распространения программного обеспечения.

Разрешения на чтение и просмотр содержимого папки
для всех исходных файлов и каталогов

Обмен данными с родительским и дочерним сайтами.

Разрешения на чтение, запись, выполнение и
удаление для папки SMS\Inboxes\Despoolr.box\Receive на
сервере сайта назначения

Добавьте учетную запись адреса сайта в группу подключения сайта
к сайту на сервере сайта назначения, имеющем соответствующие
разрешения для общей папки SMS_Site.

Можно создать и использовать учетную запись адреса сайта, но
тогда потребуется вести учетную запись и пароль.

Установка дополнительных сайтов, если создание сайта
инициировано с консоли Configuration Manager.

Локальные права администратора на сервере дополнительного
сайта

Если на сервере дополнительного сайта запущена программа
установки, локальные права администратора для этой учетной записи
на сервере дополнительного сайта не требуются.

Установка удаленных систем сайтов

Локальные права администратора на удаленной системе сайта

Если системы сайтов настраиваются в удаленных не доверенных
лесах, необходимо использовать учетную запись установки системы
сайтов. Дополнительные сведения см. в разделе «Учетная запись
установки системы».

Извлечение данных из систем сайтов (если настроено)

Локальные права администратора на удаленной системе сайта

При установке на вкладке Общие параметра Разрешить
только инициированные сервером сайта передачи данных из этой
системы сайта
Configuration Manager извлекает данные из системы
сайта, вместо того, чтобы ожидать, когда система сайта
принудительно отправит эти данные. Вместо этого, если настроена
учетная запись установки системы сайтов, Configuration Manager
использует эту учетную запись.

Создание и настройка базы данных сайта

Членство в группе Sysadmins на сервере SQL Server, если база
данных сайта находится на удаленном компьютере.

Необходимо создать имя входа на сервер SQL Server для учетной
записи компьютера сервера сайта и добавить его к роли
Sysadmins.

Действия по предварительной настройке учетной записи для кластеризованной службы или приложения

Обычно проще, если вы не выполняете предварительную настройку учетной записи компьютера для кластеризованной службы или приложения, а вместо этого разрешаете создавать и настраивать учетную запись автоматически при запуске мастера высокой доступности. Однако, если требуется предварительная настройка учетных записей из-за требований в Организации, используйте следующую процедуру.

Членство в группе » Операторы учетных записей » или эквивалентной ей является минимальным требованием для выполнения этой процедуры. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в https://go.microsoft.com/fwlink/?LinkId=83477 .

Предварительная настройка учетной записи для кластеризованной службы или приложения

  1. Убедитесь, что известно имя кластера и имя, которое будет иметь кластерная служба или приложение.

  2. На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

  3. В дереве консоли щелкните правой кнопкой мыши Компьютеры или контейнер по умолчанию, в котором создаются учетные записи компьютеров в вашем домене. Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.

  4. Щелкните создать , а затем — компьютер.

  5. Введите имя, которое будет использоваться для кластеризованной службы или приложения, а затем нажмите кнопку ОК.

  6. Убедитесь, что в меню вид выбран пункт Дополнительные компоненты .

    Если выбран параметр Дополнительные функции , вкладка Безопасность отображается в свойствах учетных записей (объектов) в Active Directory пользователи и компьютеры.

  7. Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт Свойства.

  8. На вкладке Безопасность нажмите кнопку Добавить.

  9. Щелкните типы объектов и убедитесь, что выбран пункт Компьютеры , а затем нажмите кнопку ОК. Затем в разделе введите имя объекта для выборавведите учетную запись имени кластера и нажмите кнопку ОК. Если появится сообщение о том, что вы собираетесь добавить отключенный объект, нажмите кнопку ОК.

  10. Убедитесь, что выбрана учетная запись имени кластера, а затем рядом с параметром полный доступустановите флажок Разрешить .

Функции локальной системной учетной записи

Локальная системная учетная запись по своему существу
имеет все необходимые права и разрешения на локальном компьютере.
Удаление любого из этих прав или разрешений может привести к
прекращению работы Configuration Manager 2007 или операционной
системы.

Следующие службы Configuration Manager 2007, если они
используются, настроены для входа под локальной системной учетной
записью:

  • CCMSetup.exe
  • Узел агента SMS
  • Агент последовательности задач SMS
  • SMS_EXECUTIVE
  • SMS_REPORTING_POINT
  • SMS_SERVER_LOCATOR_POINT
  • SMS_SITE_BACKUP
  • SMS_SITE_VSS_WRITER
  • SMS_SITE_COMPONENT_MANAGER
  • SMS_SERVER_BOOTSTRAP_<имя_сервера>

Важно!
Изменение параметров по умолчанию службы может помешать
правильной работе основных служб. Не поддерживается изменение
параметров Тип запуска и Войти в систему как для
служб Configuration Manager 2007.. В дополнение к предоставлению контекста безопасности
для служб Configuration Manager 2007, локальная системная учетная
запись выполняет следующие функции:

В дополнение к предоставлению контекста безопасности
для служб Configuration Manager 2007, локальная системная учетная
запись выполняет следующие функции:

  • создание файлов, каталогов и служб в системах
    сайта;
  • предоставление учетной записи безопасности
    для пула приложений, необходимой системам сайта, использующим
    IIS.

Запуск PowerShell от учетной записи NT AUTHORITY\SYSTEM из планировщика заданий

Данный метод более изощренный нежели использование внешней утилиты PSexec, но я уверен, что его так же полезно знать. В окне выполнить введите команду taskschd.msc.

Открываем библиотеку планировщика заданий и щелкаем по нему правым кликом, из контекстного меню выберите пункт «Создать простую задачу»

Задаем ее имя у меня оно будет «Запуск PowerShell NT».

В настройках тригера выставим запуск задачи «Однократно».

Задаем время запуска.

Оставляем пункт «Запустить программу» и нажимаем далее.

Тут нам необходимо заполнить два пункта:

  1. Поле программы или сценария
  2. Аргумент

В поле программы вам нужно вписать строку в зависимости от разрядности вашей архитектуры:

  • x86 : %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
  • x64 : %SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell.exe

В качестве аргумента, вам необходимо указать путь до нашего скрипта, расположенного по пути C:\Scripts\Get-CurrentUser.ps1

–NoProfile –ExecutionPolicy Bypass –File C:\Demo\Get-CurrentUser.ps1

ExecutionPolicy, это команда позволяющая выполнять не подписанные скрипты.

Содержимое Get-CurrentUser.ps1

@{ ‘env:USERNAME’ = $env:USERNAME ‘whoami’ = whoami.exe ‘GetCurrent’ = ::GetCurrent().Name } | Format-List | Out-File -FilePath C:\Scripts\whoami.txt

заканчиваем создание простого задания, обязательно выставите галку «Открыть окно «Свойств» для этой задачи после нажатия кнопки «Готово».

заканчиваем создание простого задания, обязательно выставите галку «открыть окно «Свойств» для этой задачи после нажатия кнопки «Готово». Далее у вас откроется окно свойств данной задачи, вы можете заметить, что она по умолчанию выполняется от того пользователя, кто ее создал, в моем примере, это ROOT\Администратор, это нужно поменять. Нажмите кнопку изменить.

Если у вас русская Windows, то в окне поиска введите «СИСТЕМА», если английская версия, то введите SYSTEM.

В результате вы увидите, что задача запускается от системной учетной записи (nt authority\система).

В итоге если все хорошо, то у вас должен был быть запущен скрипт Get-CurrentUser.ps1, который в той же папке в файл whoami записал из под кого он выполнился, как видно, это nt authority\система (GetCurrent:NT AUTHORITY\СИСТЕМА). Таки образом вы можете запускать скрипты от имени системной учетной записи.

Надеюсь, что было полезно. На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Вы не можете получить гостевой доступ к общей папке без проверки подлинности

Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
An error occurred while reconnecting Y: to \nas1share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

При это на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Эта проблем связана с тем, что в современных версиях Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и шифрование, что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.

При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:

Source: Microsoft-Windows-SMBClient Event ID: 31017 Rejected an insecure guest logon.

В большинстве случае с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным анонимным (гостевым) доступом (см. таблицу поддерживаемых версий SMB в разных версиях Windows).

В этом случае Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.

В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.

  • NAS устройство – отключите гостевой доступ в настройках вашего NAS устройства (зависит от модели);
  • Samba сервер на Linux — если вы раздаете SMB каталог с Linux, в конфигурационном файле smb.conf в секции нужно добавить строку:А в секции с описанием сетевой папки запретить анонимный доступ:
  • В Windows вы можете включить общий доступ к сетевым папкам и принтерам с парольной защитой в разделе Control PanelAll Control Panel ItemsNetwork and Sharing CenterAdvanced sharing settings. Для All Networks (Все сети) в секции “Общий доступ с парольной защитой” (Password Protected Sharing) имените значение на “Включить общий доступ с парольной защитой” (Turn on password protected sharing). В этом случае анонимный (гостевой) доступ к папкам будет отключен и вам придется создать локальных пользователей, предоставить им доступ к сетевым папкам и принтерам и использовать эти аккаунты для подключения к общим папкам на этом компьютере.

Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.

Этот способ нужно использовать только как временный (!!!), т.к. доступ к папкам без проверки подлинности существенно снижает уровень безопасности ваших данных.

Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы).

В Windows 10 Home, в которой нет редактора локальной GPO, вы можете внести аналогичное изменение через редактор реестра вручную:

HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters “AllowInsecureGuestAuth”=dword:1

Или такой командой:

Какого назначение системной учетной записи Local System

Системная учетная запись (Local System) – это специальная встроенная, локальная учетная запись, созданная Windows в момент установки, для использования в системе и запуска из под нее различных служб Windows. В Windows огромное количество служб и процессов для своего запуска и работы используют именно системную запись. Посмотреть это можно в оснастке «Службы», которую можно открыть из окна «Выполнить» введя в нем services.msc.

Учетная запись Ststem не отображается среди других учетных записей в диспетчере пользователей, но зато вы ее легко можете увидеть на вкладке «Безопасность» у любого системного диска, файла. куста реестра или папки. По умолчанию для учетной записи «Система (System)» предоставлены права полного доступа.

Служба, которая запускается в контексте учетной записи LocalSystem, наследует контекст обеспечения безопасности Диспетчера управления службами (SCM). Пользовательский идентификатор безопасности (SID) создается из значения SECURITY_LOCAL_SYSTEM_RID. Учетная запись не связывается с учетной записью любого пользователя, который начал работу. Она имеет несколько значений:

  • Ключ реестра HKEY_CURRENT_USER связан с пользователем по умолчанию, а не текущим пользователем. Чтобы обратиться к профилю другого пользователя, имитируйте этого пользователя, а затем обратитесь к HKEY_CURRENT_USER.
  • Служба может открыть ключ реестра HKEY_LOCAL_MACHINE\SECURITY.
  • Служба представляет мандат компьютера для удаленного сервера. Если служба открывает командное окно (на экране дисплея) и запускает командный файл, пользователь должен нажать CTRL+C, чтобы закончить работу командного файла и получить доступ к окну команды с привилегиями LocalSystem.

Привилегии LocalSystem

  1. SE_ASSIGNPRIMARYTOKEN_NAME
  2. SE_AUDIT_NAME
  3. SE_BACKUP_NAME
  4. SE_CHANGE_NOTIFY_NAME
  5. SE_CREATE_PAGEFILE_NAME
  6. SE_CREATE_PERMANENT_NAME
  7. SE_CREATE_TOKEN_NAME
  8. SE_DEBUG_NAME
  9. SE_INC_BASE_PRIORITY_NAME
  10. SE_INCREASE_QUOTA_NAME
  11. SE_LOAD_DRIVER_NAME
  12. SE_LOCK_MEMORY_NAME
  13. SE_PROF_SINGLE_PROCESS_NAME
  14. SE_RESTORE_NAME
  15. SE_SECURITY_NAME
  16. SE_SHUTDOWN_NAME
  17. SE_SYSTEM_ENVIRONMENT_NAME
  18. SE_SYSTEM_PROFILE_NAME
  19. SE_SYSTEMTIME_NAME
  20. SE_TAKE_OWNERSHIP_NAME
  21. SE_TCB_NAME
  22. SE_UNDOCK_NAME

Метод 3: утилита “Учетные записи пользователей”

  1. Нажимаем комбинацию клавиш Win+R, в открывшемся окне “Выполнить” набираем команду netplwiz и жмем Enter.
  2. В открывшемся окне учетных записей, находясь во вкладке “Пользователи”, жмем кнопку “Добавить”.
  3. Дальше нужно действовать примерно по такому же алгоритму, что и в первом методе. В появившемся окне щелкаем по кнопке “Вход без учетной записи Майкрософт”.
  4. В вариантах входа в систему выбираем “Локальную учетную запись”.
  5. Вводим имя пользователя, придумываем и пишем пароль, а также, подсказку для него. Затем жмем кнопку “Далее”.
  6. Следующее окно носит информационный характер и сообщает нам о том, что новая учетная запись создана. Жмем кнопку “Готово”, чтобы закрыть окно.

Почему полезно использовать учетную запись Microsoft в вашей сети?

Использование учетной записи Microsoft имеет как преимущества (например, возможность синхронизировать все ваши приложения и настройки на нескольких устройствах), так и недостатки (например, вы дадите больше данных Microsoft). С точки зрения общего доступа к сети, использование учетной записи Microsoft может быть полезно, если у вас есть сеть со многими ПК и устройствами с Windows 8.x:

  • Вы входите в систему с одинаковой учетной записью Microsoft на всех своих устройствах, используя одинаковые учетные данные.
  • Вам не нужно создавать отдельные локальные учетные записи на каждом компьютере или устройстве с Windows 8.x.
  • Настройка разрешений при совместном использовании проще, потому что вам не нужно иметь дело с несколькими локальными учетными записями пользователей.
  • Доступ к общим сетевым ресурсам также проще, потому что вы входите в систему с одной и той же учетной записью пользователя везде и можете быстро получить доступ ко всему, что ей доступно

Если у вас очень разнородная сеть, включающая компьютеры Mac, Chromebook или Linux вместе с Windows, то использование учетной записи Microsoft не дает особых преимуществ с точки зрения совместного использования сети.

Запуск PowerShell от учетной записи NT AUTHORITY\SYSTEM из PSexec

https://download.sysinternals.com/files/PSTools.zip

Далее вам необходимо ваш архив извлечь, дабы получить папку с утилитами. У вас есть два варианта запуска PSexec, из командной строки или же из свой PowerShell. Давайте опробуем командную строку, которую вы должны ОБЯЗАТЕЛЬНО открыть от имени администратора, далее вы должны перейти в cmd в расположение с утилитой PSexec. Делается это командой:

cd путь до вашей папки с утилитой PsExec.exe Мой пример: cd C:\Дистрибутивы\PSTools

psexec.exe -i -s powershell.exe или psexec64.exe -i -s powershell.exe

В результате у вас откроется дополнительное окно PowerShell в режиме администратора и от имени «nt authority\система». Проверить, это можно командой whoami.

То же самое можно сделать и из самой PowerShell(), тут вам нужно будет так же открыть PowerShell от имени администратора и ввести команды:

./psexec.exe -i -s powershell.exe

Чтобы удаленно получить окно PowerShell через PSexec, вам необходимо выполнить:

.\PsExec.exe -s \\svt2019s01 powershell.exe

Где svt2019s01, это имя моего сервера с Windows Server 2019. Как видим идет попытка подключения, где на удаленном компьютере запускается служба PSexec, вам будут необходимы права локального администратора там. Если подключение не проходит, то у вас блокируется брандмауэром, убедитесь, что порт WinRM (TCP 5985) у вас разрешен.

После успешного подключения можно ввести команду hostname, чтобы посмотреть, правильно ли вы подключились, ну и посмотреть командой whoami, из под кого запущен PowerShell, как видно из скриншота, это учетная запись nt authority\система.

Так же вы можете из оболочки запустить команду:

Start-Process -FilePath cmd.exe -Verb Runas -ArgumentList ‘/k C:\PSTools\PsExec.exe -i -s powershell.exe’

Она так же все запустит, единственное поменяйте в ней путь до утилиты PSexec на свой.

Помните ли имя своей учетной записи

Легко забыть имя учетной записи, если она была создана недавно или если с момента последнего входа прошло много времени. Вот несколько способов, позволяющих найти подробную информацию об аккаунте:

Запрос друзей

При использовании учетной записи Microsoft для входа на Outlook или Hotmail, Вам случалось отправлять сообщения по электронной почте друзьям? Попросите их проверить в почтовом ящике, с какого адреса электронной почты пришли ваши сообщения.

Поиск сообщений почты от корпорации Майкрософт

Проверьте, нет ли на других аккаунтах электронной почты, которыми вы пользуетесь регулярно, сообщений электронной почты от компании Microsoft с информацией о вашей учетной записи. В сообщениях может содержаться информация о названии учетной записи.

Требования, связанные с отказоустойчивыми кластерами, Active Directory доменами и учетными записями

Как описано в предыдущих трех разделах, для успешной настройки кластерных служб и приложений в отказоустойчивом кластере должны быть выполнены определенные требования. Основные требования касаются расположения узлов кластера (в пределах одного домена) и уровня разрешений учетной записи пользователя, устанавливающего кластер. Если эти требования соблюдены, другие учетные записи, необходимые для кластера, можно создать автоматически с помощью мастеров отказоустойчивого кластера. В следующем списке приведены сведения о базовых требованиях.

  • Узлы: Все узлы должны находиться в одном домене Active Directory. (домен не может быть основан на Windows NT 4,0, который не включает Active Directory.)

  • Учетная запись пользователя, устанавливающего кластер: Пользователь, который устанавливает кластер, должен использовать учетную запись со следующими характеристиками:

    • Учетная запись должна быть учетной записью домена. Она не обязательно должна быть учетной записью администратора домена. Это может быть учетная запись пользователя домена, если она соответствует другим требованиям, указанным в этом списке.

    • Учетная запись должна иметь разрешения администратора на серверах, которые станут узлами кластера. Самый простой способ предоставить это — создать учетную запись пользователя домена, а затем добавить эту учетную запись в локальную группу администраторов на каждом из серверов, которые станут узлами кластера. Дополнительные сведения см. в подразделе , далее в этом руководстве.

    • Учетной записи (или группе, в которую входит учетная запись) необходимо предоставить разрешения Создание объектов Computer и чтение всех свойств в контейнере, который используется для учетных записей компьютеров в домене. Дополнительные сведения см. в подразделе , далее в этом руководстве.

    • Если в вашей организации выбрана Предварительная учетная запись имени кластера (учетная запись компьютера с тем же именем, что и у кластера), учетная запись с именем предварительно подготовленное имя кластера должна предоставить учетной записи пользователя, устанавливающего кластер, разрешение «Полный доступ». Другие важные сведения о предварительной настройке учетной записи имени кластера см. в подразделе далее в этом руководстве.

Локальный аккаунт

Локальные учетные записи — это классические учетные записи пользователей, которые существуют локально и могут использовать пустые пароли. Например, в Windows 7 все учетные записи пользователей являются локальными учетными записями. Локальные учетные записи могут быть администраторами или стандартными учетными записями пользователей. Они работают только в одной системе, поэтому, если у вас есть несколько устройств, вам придется создать отдельную учетную запись для каждого.

Учетные записи пользователей предоставляют дополнительное преимущество, позволяя вам совместно использовать один и тот же компьютер с несколькими людьми, имея при этом свои собственные файлы и настройки. Каждый человек получает доступ к своей учетной записи, не мешая другим.

Учетная запись службы конфигурации System Center и службы доступа к данным System Center

Учетная запись службы конфигурации System Center и службы доступа к данным System Center используется службами доступа к данным System Center и конфигурации управления System Center для обновления рабочей базы данных. Учетные данные, используемые для учетной записи действия, будут назначены роли sdk_user в рабочей базе данных.

Это должна быть учетная запись «Пользователь домена» или LocalSystem. Учетная запись, используемая для SDK, и учетная запись службы настройки должны предоставлять права локального администратора на всех серверах управления в группе управления. Использование учетной записи «Локальная пользователь» не поддерживается. Для повышения безопасности мы рекомендуем использовать учетную запись пользователя домена, отличную от учетной записи действия сервера управления. Учетная запись LocalSystem имеет на компьютере Windows наивысший уровень привилегий, даже выше, чем у локального администратора. Если служба выполняется в контексте учетной записи LocalSystem, она получает полный контроль над всеми локальными ресурсами компьютера и использует удостоверение компьютера при доступе к удаленным ресурсам. Использование учетной записи LocalSystem представляет угрозу безопасности, так как при этом нарушается принцип наименьших прав доступа. С учетом того, какие права требуются для экземпляра SQL Server, содержащего базу данных Operations Manager, необходимо использовать учетную запись домена с минимальными привилегиями. Это позволит избежать дополнительного риска в случае компрометации сервера управления в группе управления. Это связано с тем, что:

  • учетная запись LocalSystem не использует пароль;
  • для нее не предусмотрен настраиваемый профиль;
  • она имеет огромные привилегии на локальном компьютере;
  • она позволяет передавать учетные данные компьютера на удаленные компьютеры.

Примечание

Если база данных Operations Manager устанавливается на компьютер, не являющийся корневым сервером управления, а в качестве учетной записи службы конфигурации и доступа к данным выбирается LocalSystem, то на компьютере базы данных Operations Manager учетной записи компьютера для сервера управления назначается роль sdk_user.

Дополнительные сведения см. в статье об учетной записи LocalSystem.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Все про сервера
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: