Как правило, учетные записи пользователей на компьютерах компании всегда защищены паролем. Нам не нужно объяснять, почему эта защита необходима, в конце концов, это могут быть правила организации.
Ад с учётными записями — почему в одной компании пользователей было в 3 раза больше, чем сотрудников
- Показать: 51 250
- Автор: admin
- Дата: 2-07-2018
Друзья, здравствуйте, сегодняшняя статья в основном полезна для пользователей компьютеров под управлением Windows в компаниях, которые работают со стандартными локальными учетными записями. Только доверенные лица в компании, например, ИТ-персонал, могут входить в учетные записи в качестве администраторов. Однако в некоторых семейных микроклиматах описанная ниже проблема может возникнуть и при использовании бытовых приборов. Так в чем же проблема? И это невозможность доступа к Windows, с сообщением на экране блокировки «Учетная запись пользователя заблокирована и не может быть использована для подключения к сети». Что это за блок и как вы с ним справляетесь?
Учётная запись пользователя заблокирована и не может быть использована для входа в сеть
Этот блок является результатом определенного количества неудачных попыток подключения к локальной учетной записи, когда администратор компьютера выполнил соответствующие настройки локальной групповой политики.
Блокировка учётных записей Windows
Администратор компьютера может установить определенное количество попыток входа для учетных записей пользователей в локальных групповых политиках. Если вы превысите это количество попыток, учетная запись будет заблокирована для подключения. Это одна из таких защит от угадывания пароля. Даже если пароль не был взломан методом перебора, владелец аккаунта просто невнимателен при вводе символов или не обращает внимания на раскладку клавиатуры, войти в систему невозможно, даже если введен правильный пароль. Вы должны подождать время, установленное администратором, пока счетчик входов не будет сброшен. И, конечно, до истечения времени блокировки.
Эта защита паролем настраивается в политике блокировки учетных записей в редакторе локальной групповой политики.
При установке этого предела другие параметры политики — время до сброса счетчика блокировки и продолжительность самой блокировки — автоматически устанавливаются равными 30 минутам.
При необходимости их можно изменить. И, например, установить более короткое время для сброса счетчика неудачных паролей.
Эта защита действует только на локальные учетные записи и не работает при попытках взлома паролей или PIN-кодов для подключенных учетных записей Microsoft.
Как разблокировать свою учётную запись Windows, если есть доступ к администратору
Если ваша собственная учетная запись заблокирована, но у вас есть доступ к учетной записи администратора, вы должны войти в последнюю и разблокировать свою учетную запись таким образом. Нажмите Win+R, Enter:
- Примечание: Если у вас нет пароля для учетной записи администратора, не пытайтесь его перебрать. Защита паролем грубой силы применяется ко всем локальным учетным записям, включая учетную запись администратора. Кроме того, его аккаунт будет отключен после определенного количества неудачных попыток входа.
Как разблокировать свою учётную запись Windows, если нет доступа к администратору
Если учетная запись администратора недоступна, получите DVD-диск или флэш-накопитель с процедурой установки любой версии Windows или live-диск с редактируемым реестром операционной системы. Загрузите компьютер со съемного диска, в данном случае с флэш-накопителя Windows 10. Это важно: загрузка со съемного диска должна выполняться только при перезагрузке Windows 8.1 и 10. Вы не можете использовать обычное выключение, поскольку в этих версиях ядро системы загружается из ранее сохраненного файла на носителе данных благодаря функции ускоренной загрузки. Ядро должно быть загружено с измененными настройками реестра.
Автоматическая блокировка учетных записей уволившихся сотрудников
В крупных организациях часто возникает необходимость деактивировать учетную запись уволенного сотрудника. Это может быть требованием безопасности или связано с уменьшением нагрузки на оборудование (в нашем случае мы удаляем почтовый ящик и папку профиля на сервере). Заставлять системного администратора подписывать подписной лист — не самая лучшая идея, потому что, во-первых, у HR нет информации о том, кого именно отправлять в IT, а во-вторых, у компании может быть несколько филиалов, и невозможно попросить сотрудника подписать у системного администратора в другом городе. Однако, несмотря на очевидные трудности, этот подход часто используется.
- C# для интерфейса. Это мой первый проект GUI, поэтому исходный код ужасен. Хотя мой друг с хабра говорит, что самый главный критерий программы — чтобы она работала без глюков (спасибо за помощь, Глеб), я думаю, что мне это удалось.
- SQL server. не так часто используется, чтобы конкретное приложение было важным.
- Powershell для скриптов. Изначально интерфейс программы был написан на этом языке (очень помогают продукты SAPIEN). Я также рекомендую использовать бесплатные оснастки от Quest Software для работы с AD.
Таблица пользователей заполняется скриптом, который берет всех пользователей в домене и вносит в базу данных информацию о почтовом адресе, имени пользователя и других свойствах учетной записи, но не трогает поле с информацией о сотруднике (написать такой скрипт проще, чем кажется на первый взгляд). Для учетных записей сотрудников я пиш у-1 в этом поле, для пользователей с ограниченными возможностями есть поле статуса, где мы пишем слово disabled.
Таблицу сотрудников заполняют разработчики, которые сопровождают HR-программу (не пишу конкретно какую, потому что она может быть любой) и отвечают за ее смысл (проверить, не перестала ли эта таблица обновляться, можно включив на обновление, но сейчас мы не об этом). Таким образом, sql-запрос для отображения всех пользователей, которые были уволены, но не деактивированы, будет выглядеть следующим образом: SELECT samaccountname FROM dbo.ad_users WHERE (id NOT IN (SELECT id FROM dbo.kadr_users)) AND (i d-1) AND (id IS NOT NULL) and status ‘disabled’.
А как насчет автоматической отмены? Запустите вышеуказанный запрос, посмотрите на результат и предпримите любые необходимые действия, включая блокировку. Я написал его на языке Powershell. В качестве бонуса обновите статус отдела и пользователя, поскольку эта информация может быть полезной, и хорошо, если она актуальна, а не как пять лет назад.
Как правило, учетные записи пользователей на компьютерах компании всегда защищены паролем. Нам не нужно объяснять, почему эта защита необходима, в конце концов, это могут быть правила организации.
Поскольку в России введены санкции, которые распространяются и на программное обеспечение, вам следует быть готовым к возможной блокировке счетов в американских и европейских компаниях. Если вы вошли в Windows с учетной записью Microsoft, существует риск, что в какой-то момент вы больше не сможете разблокировать свой компьютер и потеряете доступ к своим данным.
Стоит подготовиться к такому сценарию, выйдя из учетной записи Microsoft и подключившись локально. Даже если вы входите в систему с помощью пароля, PIN-кода или Windows Hello (т.е. сканируя лицо или отпечаток пальца), есть вероятность, что этот метод входа будет недоступен, если Microsoft заблокирует вашу учетную запись, поскольку это не позволит вам пройти аутентификацию на сервере.
Отройте «Параметры» > «Учетные записи» > Выберите «Параметры подключения» и выберите «Подключиться к локальной учетной записи». Вам нужно будет ввести пароль для учетной записи Microsoft, а затем вам будет предложено выбрать локальное имя пользователя и пароль для подключения к компьютеру. Все данные на вашем компьютере будут сохранены, и вы больше не сможете синхронизировать свои устройства.
Создайте учетную запись локального пользователя
Для Windows 10
- Выберите «Пуск» > «Параметры» > Выберите «Учетные записи» и нажмите «Семья и другие пользователи» (в некоторых версиях «Другие пользователи»).
- Выберите «Добавить пользователя для этого компьютера».
- Выберите «У меня нет учетных данных для этого пользователя» и нажмите «Добавить пользователя без учетной записи Microsoft» на следующей странице.
- Введите имя пользователя, пароль и подсказку пароля или выберите секретные вопросы и нажмите «Далее».
- Откройте «Настройки» и создайте другую учетную запись.
- Выберите «Пуск» > «Параметры» > «Счета».
- В разделе «Семья и другие пользователи» нажмите на имя владельца счета, а затем на «Изменить тип счета».
- В разделе «Тип учетной записи» выберите «Администратор» и нажмите «OK».
- Войдите в систему под новой учетной записью администратора.
- Выберите «Пуск» > «Параметры» > Выберите «Учетные записи» и нажмите «Семья и другие пользователи» (в некоторых версиях «Другие пользователи»).
- Рядом с пунктом «Добавить другого пользователя» выберите «Добавить учетную запись».
- Выберите «У меня нет учетных данных для этого пользователя» и нажмите «Добавить пользователя без учетной записи Microsoft» на следующей странице.
- Введите имя пользователя, пароль и подсказку пароля или выберите секретные вопросы и нажмите «Далее».
- Откройте «Настройки» и создайте другую учетную запись.
- Выберите «Пуск» > «Параметры» > «Счета».
- В разделе «Семья и другие пользователи» нажмите на имя владельца счета и выберите «Изменить тип счета».
- В разделе «Тип учетной записи» выберите «Администратор» и нажмите «OK».
- Войдите в систему под новой учетной записью администратора.
Если учетная запись не связана с Microsoft и не зависит от Интернета, вы можете разблокировать компьютер и войти в систему, несмотря на то, что россиянам запрещено использовать учетные записи Microsoft.