Для управления локальными пользователями и группами в Windows можно использовать встроенный PowerShell модуль Microsoft.PowerShell.LocalAccounts. С помощью этого модуля вы можете создать или удалить локального пользователя, создать новую группу безопасности и добавить в нее пользователей. Этот модуль доступен во всех версиях Windows, начиная с Windows Server 2016 и Windows 10. В предыдущих версиях Windows этот модуль устанавливается вместе с Windows Management Framework 5.1 при обновлении версии PowerShell.
Содержание:
- Создать нового локального пользователя с помощью PowerShell
- Управление локальными пользователями Windows из PowerShell
- Используем PowerShell для управления локальными группам
Полный список командлетов PowerShell в модуле LocalAccounts можно вывести так:
Get-Command -Module Microsoft.PowerShell.LocalAccounts
- Add-LocalGroupMember – добавить пользователя в локальную группу
- Disable-LocalUser – отключить локальную учетную запись
- Enable-LocalUser – включить учетную запись
- Get-LocalGroup – получить информацию о локальной группе
- Get-LocalGroupMember – вывести список пользователей в локальной группе
- Get-LocalUser – получить информацию о локальном пользователе
- New-LocalGroup – создать новую локальную группы
- New-LocalUser – создать нового пользователя
- Remove-LocalGroup – удалить группу
- Remove-LocalGroupMember – удалить члена из группы
- Remove-LocalUser – удалить пользователя
- Rename-LocalGroup – переименовать группу
- Rename-LocalUser – переименовать пользователя
- Set-LocalGroup – изменить группу
- Set-LocalUser – изменить пользователя
Рассмотрим несколько типовых задач по управлению локальными пользователями и группами на компьютере Windows при помощи PowerShell командлетов из модуля LocalAccounts.
Ранее для управления локальными пользователями и группами в Windows использовалась графическая оснастка Local Users and Groups Management (
lusrmgr.msc
) и команды
net user
,
net localgroup
.
Создать нового локального пользователя с помощью PowerShell
Чтобы быстро создать нового пользователя, выполните команду:
New-LocalUser -Name "TestUser1" -FullName "Test User" -Description "User for tests"
Укажите пароль для нового пользователя:
Если вы хотите использовать командлет New-LocalUser для автоматического создания новых локальных пользователей из скриптов PowerShell, пароль можно задать заранее в коде скрипта. Строку с паролем нужно преобразовать в формат Secure String:
$pass = ConvertTo-SecureString "WinitP@ss321!" -AsPlainText -Force
New-LocalUser -Name TestUser2 -Password $pass
Чтобы сразу добавить пользователя в группу локальных администраторов, выполните команду:
Add-LocalGroupMember -Group Administrators -Member TestUser2
При создании пользователя можно дополнительно использовать следующие параметры:
-
-AccountExpires
– дату действия учетной записи, при наступлении которого учетная запись будет автоматически отключена (по умолчанию командлет New-LocalUser создает бессрочную учетную запись) -
-AccountNeverExpires -
-Disabled
– отключить учетную запись после создания -
-PasswordNeverExpires
– неограниченный срок действия пароля -
-UserMayNotChangePassword
– запретить пользователю менять свой пароль
Для создания нового пользователя в домене AD нужно использовать командлет New-ADUser.
Управление локальными пользователями Windows из PowerShell
Чтобы вывести список всех локальных пользователей Windows на текущем компьютере, выполните:
Get-LocalUser
Как вы видите, на компьютере имеется 7 локальных учетных записей, 4 из которых отключены (Enabled=False) (в том числе встроенный администратор Windows).
Чтобы вывести все свойства конкретной локальной учетной записи (аналог комадлета для получения информации о пользователях из AD — Get-ADUser), выполните:
Get-LocalUser -Name ‘root’ | Select-Object *
AccountExpires : Description : Enabled : True FullName : PasswordChangeableDate : 7/20/2022 12:17:04 PM PasswordExpires : UserMayChangePassword : True PasswordRequired : False PasswordLastSet : 7/20/2022 12:17:04 PM LastLogon : 5/15/2023 2:01:48 AM Name : root SID: S-1-5-21-1823742600-3125382138-2640950260-1001 PrincipalSource : Local ObjectClass : User
Обратите внимание на атрибут PrincipalSource. В нем указан тип аккаунта. Это может быть:
- Локальный пользователь Windows (PrincipalSource: Local)
- Учетные записи Microsoft (PrincipalSource: Microsoft Account)
- Учетные записи Azure AD (PrincipalSource: AzureAD)
Чтобы получить значение конкретного атрибута пользователя, например, время последней смены пароля, выполните:
Get-LocalUser -Name ‘root’ | Select-Object PasswordLastSet
Чтобы изменить пароль существующего пользователя, выполните команду:
Set-LocalUser -Name TestUser2 -Password $UserPassword –Verbose
Чтобы установить флаг «Срок действия пароля пользователя не истекает» («Password never expired»), выполните:
Set-LocalUser -Name TestUser2 –PasswordNeverExpires $True
Отключить учетную запись:
Disable-LocalUser -Name TestUser2
Включить пользователя:
Enable-LocalUser -Name TestUser2
Чтобы удалить локального пользователя, выполните:
Remove-LocalUser -Name TestUser2 -Verbose
Используем PowerShell для управления локальными группам
Теперь выведем список локальных групп на компьютере:
Get-LocalGroup
Создадим новую группу:
New-LocalGroup -Name 'RemoteSupport' -Description 'Remote Support Group'
Теперь добавим в новую группу несколько локальных пользователей и группу локальных администраторов:
Add-LocalGroupMember -Group 'RemoteSupport' -Member ('SIvanov','root', 'Administrators') –Verbose
Также вы можете добавить пользователя в группы с помощью следующего конвейера (в этом примере мы добавим пользователя в локальную группу, разрешающую ему удаленный доступ к рабочему столу через RDP):
Get-Localuser -Name TestUser2 | Add-LocalGroupMember -Group 'Remote Desktop Users'
Выведем список пользователей в локальной группе:
Get-LocalGroupMember -Group 'RemoteSupport'
В локальную группу могут быть добавлены не только локальные учетные записи (PrincipalSource – Local), но и доменные аккаунты (domain), учетные записи Microsoft (MicrosoftAccount) и аккаунты из Azure (AzureAD).
Чтобы добавить в локальную группу пользователя из Microsoft или AzureAD, используется такой синтаксис:
Add-LocalGroupMember -Group 'RemoteSupport' -Member ('MicrosoftAccount\[email protected]','AzureAD\[email protected]') –Verbose
Чтобы вывести список локальных групп, в которых состоит конкретный пользователь, выполните следующий скрипт:
foreach ($LocalGroup in Get-LocalGroup)
{
if (Get-LocalGroupMember $LocalGroup -Member 'sivanov' –ErrorAction SilentlyContinue)
{
$LocalGroup.Name
}
}
Чтобы удалить пользователя из группы, выполните:
Remove-LocalGroupMember -Group 'RemoteSupport' –Member 'testuser2'
Для управления локальными пользователями на удаленном компьютере нужно сначала подключится к нему через WinRM командлетами Invoke-Command или Enter-PSSession.
Например, нам нужно собрать список учетных записей в локальной группе на удаленных компьютерах:
$s = new-pssession -computer pc01,pc02,pc03
invoke-command -scriptblock {Get-LocalGroupMember -Group 'RemoteSupport'} -session $s -hidecomputername | select * -exclude RunspaceID | out-gridview -title "LocalAdmins"
This tutorial will show you how to change the workgroup on your Windows 10 and Windows 11 PC to join an existing workgroup on a network or create a new one.
When you connect to a network, Windows automatically creates a new workgroup and gives it the name WORKGROUP by default. You can join any existing workgroup on a network or create a new one. Workgroups provide a basis for file and printer sharing, but a workgroup doesn’t actually set up sharing for you.
A workgroup is a group of PCs connected to a local area network on the same subnet that share resources, such as printers and files. Each PC that is a member of the same workgroup can access the resources being shared by the others, and can share its own resources.
- All PCs are peers; no PC has control over another PC.
- Each PC has its own user accounts. To log on to any PC in the workgroup, you must have an account on that PC.
- A workgroup is not protected by a password.
- All PCs in the same workgroup must have a different computer name.
- If your PC was a member of a domain before you joined the workgroup, it will be removed from the domain.
You must be signed in as an administrator to change the workgroup.
A workgroup name cannot contain special characters such as the following:
` ~ @ # $ % ^ & ( ) = + [ ] { } | ; : , ‘ “ . < > / ?
Contents
- Option One: Change Workgroup in Settings
- Option Two: Change Workgroup in Command Prompt
- Option Three: Change Workgroup in PowerShell
Option One
Change Workgroup in Settings
1 Open Settings.
2 Click/tap on System on the right side, click/tap on About on the right side. (see screenshot below)
3 Click/tap on the Advanced system settings link to open System Properties (sysdm.cpl). (see screenshot below)
4 Click/tap on the Computer Name tab, and click/tap on the Change button. (see screenshot below)
5 Perform the following steps: (see screenshot below)
- Select (dot) Workgroup.
- Type the name (ex: «BRINKGROUP») of the workgroup you want to join or create.
- Click/tap on OK.
6 Click/tap on OK when prompted. (see screenshot below)
7 Click/tap on OK. (see screenshot below)
This does not restart the computer yet.
8 Click/tap on Close. (see screenshot below)
9 Click/tap on Restart now when ready to restart the computer. (see screenshot below)
Option Two
Change Workgroup in Command Prompt
Add or Remove WMIC command Feature in Windows 11
This tutorial will show you how to add or remove the WMIC command as an optional feature for all users in Windows 11. The WMI command-line (WMIC) utility provides a command-line interface for Windows Management Instrumentation (WMI). WMIC is compatible with existing shells and utility commands…
www.elevenforum.com
1 Open an elevated Windows Terminal, and select Command Prompt.
2 Type the command below into the elevated command prompt, and press Enter. (see screenshot below)
wmic computersystem where name="%computername%" call joindomainorworkgroup name="Workgroup-Name"
Substitute Workgroup-Name in the command above with the actual name of the workgroup you want to join or create.
For example: wmic computersystem where name="%computername%" call joindomainorworkgroup name="BrinkGroup"
3 When successfully finished, close the elevated command prompt.
4 Restart the computer. to apply.
Option Three
Change Workgroup in PowerShell
1 Open an elevated Windows Terminal, and select Windows PowerShell.
2 Type the command below into the elevated PowerShell, and press Enter. (see screenshot below)
Add-Computer -WorkGroupName "Workgroup-Name"
Substitute Workgroup-Name in the command above with the actual name of the workgroup you want to join or create.
For example: Add-Computer -WorkGroupName "BRINKGROUP"
3 When successfully finished, close the elevated PowerShell.
4 Restart the computer. to apply.
That’s it,
Shawn Brink
-
WorkGroup_PowerShell.png
18.6 KB
· Views: 150
Download Windows Speedup Tool to fix errors and make PC run faster
Windows 11/10 offers a program — lusrmgr.msc or Local User and Group Management — which allows an administrator to manage local users and groups on the computer. However, the snap-in service is not available for Windows 11 Home or Windows 10 Home users. So if you want to access local user and group Management in Windows 11/10 Home, then you will have to try some alternatives. These alternatives may not be users friendly but they work.
Windows 11/10 Pro, Enterprise, etc. versions offer programs like lusrmgr.msc, Netplwiz, and even userpasswords2 programs that allow managing users and groups.
Windows 11/10Home users with admin privileges can use Command Line Interfaces such as NET LOCALGROUP and Microsoft.
How to use Net LocalGroup
Here is the complete syntax for this command which you can run over elevated Command Prompt
NET LOCALGROUP
[groupname [/COMMENT:"text"]] [/DOMAIN]
groupname {/ADD [/COMMENT:"text"] | /DELETE} [/DOMAIN]
groupname name [...] {/ADD | /DELETE} [/DOMAIN]
When you run only “Net Localgroup” it will list all the groups in the Windows 10 PC.
1] Add a user with and without domain
net localgroup <group_name> UserLoginName /add
net localgroup users domainname\<username> /add
2] Create a new group
net localgroup <groupname> /add
3] List all users in a group
net localgroup <groupname>
4] Remove a user from a group
net localgroup <groupname> <username> /delete
5] Delete a user from a group
net localgroup <groupname> /delete
PowerShell LocalAccounts Module
PowerShell offers a LocalAccount module which provides 15 cmdlets to manage Windows Users, and Groups. Here is the list:
- Add-LocalGroupMember — Add a user to the local group
- Disable-LocalUser —Disable a local user account
- Enable-LocalUser — Enable a local user account
- Get-LocalGroup — View local group preferences
- Get-LocalGroupMember — View the list of all local group members
- Get-LocalUser — View a local user account’s preferences
- New-LocalGroup — Create a new local group
- New-LocalUser — Create a new local user account
- Remove-LocalGroup — Remove a local group
- Remove-LocalGroupMember — Remove a member from a local group
- Remove-LocalUser — Remove a local user account
- Rename-LocalGroup — Rename a local group
- Rename-LocalUser — Rename a local user account
- Set-LocalGroup — Change the settings of a local group
- Set-LocalUser — Change the account settings of a local user
So if you want to create a new local group, execute the following command
New-LocalGroup -Name "TWC"
To remove a member from a group, run this command:
Add-LocalGroupMember -Group 'TWC' –Member 'ashis'
Using both NET LOCALGROUP and Microsoft.
This post offers detailed steps on how to Add or Delete Local Users and Groups using PowerShell.
Ashish holds a Bachelor’s in Computer Engineering and is a veteran Windows. He has been a Microsoft MVP (2008-2010) and excels in writing tutorials to improve the day-to-day experience with your devices.
Содержание
1. Введение
Учетная запись – это совокупность данных о пользователе, необходимая для его аутентификации и предоставления доступа к его личным данным и настройкам. Таким образом, учетная запись состоит из имени пользователя и пароля (либо иных способов аутентификации). Пароль зачастую зашифрован или хэширован. Учетная запись может хранить фотографию пользователя или иное изображение, учитывать давность различные статистические характеристики поведенияпользователя в системе.
Не редко за одним компьютером работают несколько пользователей. В Linux управление пользователями удобнее производить в командной строке. В группе семейств операционных систем Microsoft такая возможность так же присутствует, как и GUI (Graphical User Interface).
Управление учетными пользователями является одной из основных обязанностей системного администратора. Очень удобно объединять пользователей в группы, редактировать их права доступа в зависимости, например, от должности в компании. От этого напрямую зависит обеспечение безопасности информационной системы.
2. Управление учетными записями через lusrmgr.msc
Сразу после установки Windows мы начинаем работу с правами Администратор. Данные права в ОС позволяют, например, создавать, изменять, удалять иные учетные записи, выполнять любые операции по настройке системы.
Для управления учетными записями используется оснастка lusrmgr.msc (рис. 1). Мы также можем открыть её, введя название в поле команды «Выполнить», либо же во внутрисистемный поиск.
Рис. 1. Окно lusrmgr.msc
Для того, чтобы создать учетную запись, нужно сделать следующее:
- Перейти в папку «Пользователи» (рис. 2).
- В строке меню выбираем «Действие», затем «Новый пользователь».
- Обязательно заполняем поле «Пользователь», остальное при необходимости (рис. 3).
Рис. 2. Пользователи в ОС
Рис. 3. Создание пользователя
Группа пользователей — это совокупность учетных записей пользователей, которые имеют одинаковые права и разрешения безопасности. Учетная запись пользователя должна быть членом хотя бы одной группы пользователей.
Разные пользователи имеют разные потребности, администратор может распределить нужные разрешения и запреты. Если у нас много пользователей, то удобно распределить права не индивидуально, а по группам пользователей. В Windows есть несколько встроенных групп: Администраторы (Administrators), Пользователи (Users), Опытные пользователи (Power Users), Операторы архива (Backup Operators), Гости (Guests), Пользователи удаленного рабочего стола, DHCP Administrators, DHCP Users и WINS Users. Мы также можем создать свою группу. Для этого:
- Переходим в папку «Группы» (рис. 4).
- В строке меню выбираем «Действие», затем «Создать группу».
- Обязательно заполняем поле «Имя группы», остальное при необходимости (рис. 5.1 — 5.2).
Рис. 4. Список всех групп
Рис. 5.1. Создание группы
Рис. 5.2. Добавление пользователей в группу
Просмотреть, к каким группам принадлежит пользователь можно в папке «Пользователи», нажав правой кнопкой мыши на пользователя, затем выбрав «Свойства», «Членство в группах». Если мы перейдем во вкладку «Общие», то сможем управлять паролем пользователя, а также, при необходимости, отключить учетную запись (рис. 6).
Рис. 6. Управление во вкладке «Общие»
Администратор также может задавать ограничения по времени действия пароля, для этого необходимо воспользоваться оснасткой gpedit.msc. Далее перейти в «Конфигурация компьютера», «Конфигурация Windows», «Параметры безопасности», «Политика учетных записей», «Политика паролей» (рис. 7).
Рис. 7. Изменение времени действия пароля
3. Управление учетными записями через cmd
Как и говорилось ранее, управление учетными записями мы можем производить через командную строку. Для начала мы пропишем команду whoami и whoami /user (рис. 8). Первая отображает сведения о текущем пользователе, вторая дополнительно показывает SID (security identifier). SID — это структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера. Последние 4 цифры указывают на относительный идентификатор безопасности объекта (RID). 3 набора цифр перед RID это как раз и есть SID.
Рис. 8. whoami и whoami /user
Для дальнейшего управления учетными записями нам понадобиться команда net user. С помощью неё мы сможем:
- добавить учетную запись (net user NAME PASSWORD /ADD) (рис. 9.1);
- добавить пароль учетной записи (net user NAME PASSWORD) (рис. 9.4);
- переименовать учетную запись (wmic useraccount where name=’NAME’ rename ‘NEWNAME’) (рис. 9.2);
- просмотреть информацию об учетной записи (net user NAME) (рис. 9.3);
- изменить пароль учетной записи (net user NAME NEW_PASSWORD);
- отключить учетную запись (net user NAME /active:no);
- удалить учетную запись (net user NAME /delete) (рис. 9.5).
Рис. 9.1. Добавление учетной записи
Рис. 9.2. Добавление учетной записи
Рис. 9.3. Добавление учетной записи
Рис. 9.4. Добавление пароля к учетной записи
Рис. 9.5. Удаление учетной записи
Для работы с группами необходимо использовать команду net localgroup. Например, с помощью неё мы можем:
- вывести список всех локальных групп (net localgroup);
- добавить локальную группу (net localgroup GROUPNAME /add);
- добавить учетные записи существующих пользователей в группу (net localgroup GROUPNAME USERNAME1 USERNAME2 /add /domain);
- вывести список пользователей локальной группы (net localgroup GROUPNAME).
4. Заключение
Таким образом, ознакомившись с основами управления пользователями в операционной системе Windows можно сделать следующие выводы:
Создание учетной записи, изменение пароля учетной записи и многие другие действия можно выполнять как через различные оснастки, так и через командную строку. Во втором случае мы можем использовать, например, команду net user. Также и с изменениями групп, они тоже могут выполняться двумя вышеописанными способами.
Для обеспечения информационной безопасности необходимо сортировать их учетные записи по группам, где можно вводить ограничения их прав (например, просмотр определенных папок).
Last Updated :
09 Apr, 2024
Windows has two account types: Standard and Administrator. The standard user group provides minimal access to features in comparison to the Administrator group, where app installation and command execution tasks are allowed. To change an administrator account, grant administrator privileges to a regular user account and change the current administrator account.
In this article, we’ll show you how to change administrator accounts in Windows 11.
Table of Content
- Method 1: Change Administrator Account In windows 11 From Settings App
- Method 2: Change Administrator Account In windows 11 From The Control Panel
- Method 3: Change Administrator Account In windows 11 with Netplwiz
- Method 4: Change Administrator Account In windows 11 using the Command Prompt
- How to Disable the Default Administrator Account in Windows 11
1. Method 1: Change Administrator Account In windows 11 From Settings App
Step 1: To open the Settings app, Press the Windows key + I.
Step 2: Navigate to «Accounts» and select «other users.»
Step 3: Click on the user you want to change, then click «Change account type» and set it to Administrator.
Step 4: Select «Administrator» from the drop-down menu
2. Method 2: Change Administrator Account In windows 11 From The Control Panel
Step 1: Press Win + R then on the run dialog type «Control Panel»
Step 2: Step 2: Go to «User Accounts» and then «User Accounts» again.
Step 3: Select «Manage another account,» choose the account, and then click «Change the account type.»
Step 4: Select the administrator from the list and then click on the «Change Account Type» button
3. Method 3: Change Administrator Account In windows 11 with Netplwiz
Step 1: To open the Run dialog, press the Windows key + R.
Step 2: Type «netplwiz» and press Enter.
Step 3: Select the user, click on «Properties,» Navigate to the «Group Membership» tab, and choose «Administrator.»
4. Method 4: Change Administrator Account In windows 11 using the Command Prompt
Step 1: Press Win + S then on the search bar type «CMD» then open it
Step 2: Type the following command
net localgroup Administrators “NAME” /add
Replace the name with the user name of your account
How to Disable the Default Administrator Account in Windows 11
Step 1: Open Command Prompt as Administrator.
Step 2: Execute the command «net user administrator /active: Windowsno.»
Conclusion
In Conclusion, We have shown five ways of changing a user account to an administrator on Windows 11, and how to disable the default administrator account. You can choose any method to change a standard account to administrator.