Представьте такое: в семье есть ноутбук, которым пользуются все: папа пишет программы на Go, мама рендерит трёхмерные пространства в Unity, ребёнок учится в школе и играет в Minecraft (не признана экстремистской организацией на момент публикации статьи).
У каждого свои представления, как должен выглядеть и работать комп: что на рабочем столе, какой фон, какие настройки горячих клавиш и т. д. Когда один человек перестаёт пользоваться компьютером, другому нужно всё перенастраивать под себя. Чтобы такого не было, каждому члену семьи нужно сделать отдельные учётные записи.
Что такое учётная запись
Учётную запись можно представить как досье на каждого пользователя компьютера. В него входят:
- все документы этого пользователя;
- его настройка операционной системы — горячие клавиши, фон рабочего стола, оформление окон и др.;
- права доступа к файлам и папкам;
- объекты автозапуска;
- могут быть программы, которыми может пользоваться только этот пользователь;
- и другие технические нюансы.
В современных операционках к учётной записи может быть привязана папка, в которой будут лежать все файлы пользователя. Эту папку можно зашифровать, чтобы другие пользователи не могли подглядывать друг за другом.
Откуда появились пользователи в компьютерах
Первые компьютеры были огромными, занимали площадь примерно со школьный спортзал и были очень дороги в обслуживании. При этом их вычислительные мощности часто простаивали — либо их не могли нагрузить на полную, либо лаборанты не успевали подготовить новые перфокарты или ленты с программами.
Чтобы компьютеры не стояли зря и отрабатывали все вложенные деньги, придумали разделять выполнение программ на уровне пользователей. Проще говоря, компьютеру объяснили, что к нему могут подойти одновременно несколько человек (или по очереди, как было сначала) и каждому нужно выполнить что-то своё, не мешая остальным. Для этого к компьютеру подключили несколько мониторов и клавиатур и добавили разделение пользователей в операционной системе. Получилось, что в любой момент каждый лаборант мог использовать компьютер, не мешая остальным, и система работала на полную мощность.
С тех пор в каждом компьютере есть поддержка множества пользователей, чтобы можно было максимально использовать возможности железа. Даже сейчас можно взять обыкновенный системник, подключить к нему через переходник несколько мониторов с клавиатурами и получить целый компьютерный класс. Мощность, конечно, разделится на всех, но если задачи будут простыми, например отредактировать документ или составить отчёт, то один системный блок справится.
Что это даёт
В бытовом смысле у каждого пользователя появляется своё «хозяйство»: свои документы, программы, настройка, куки, вкладки, история браузера и т. д. Выглядит это так, будто для каждого пользователя открывается собственный компьютер, хотя железо и софт одни и те же.
В некоторой степени это даёт приватность: например, на машинах с UNIX-подобными операционными системами один пользователь не может подглядеть в папку к другому.
В профессиональном смысле это позволяет разграничить права доступа разным пользователям на сервере. Например, у вас может быть системный администратор, который может делать с сервером всё что угодно; а может быть менеджер, который может только загружать отчёты, но не может их скачивать. И может быть гость, который может скачать публичные документы, но не может забрать секретные. Всё это возможно благодаря разделению на пользователей и присвоению им прав.
Как добавить нового пользователя
В Windows 10 для этого заходим в Пуск → Параметры → Учётные записи и нажимаем «Добавить пользователя для этого компьютера»:
Компьютер два раза нам предложит использовать учётные данные Microsoft — от этого можно отказаться, чтобы создать обычного пользователя:
В Mac OS новый пользователь добавляется так — заходим в системные настройки и выбираем «Пользователи и группы»:
Нажимаем на замок и вводим пароль, чтобы можно было вносить изменения, а потом нажимаем на плюсик, чтобы добавить нового пользователя:
Как компьютер разбирается, что кому можно делать
У каждой учётной записи есть какие-то права: что можно и что нельзя делать в системе. Про права и доступы у нас будет отдельная статья, а пока можно сказать так: операционная система должна не давать залезть на чужую территорию. Если ваши файлы защищены вашей учётной записью, то другой пользователь не должен иметь к ним доступ.
А ещё на компьютере кроме обычных пользователей есть служебные — они работают незаметно и следят за внутренними настройками и параметрами. Про них поговорим в другой раз.
Художник:
Даня Берковский
Вёрстка:
Кирилл Климентьев
Забыла пароль от старого компьютера с виндовс хр, запустилась с безопасного режима и все.
Как уже сказали, кто имеет физический доступ — тот хозяин машины. Так было всегда. Это значит, что разграничение прав будет работать только при запущенной ОС и только через легитимные каналы, которые ОС в состоянии контролировать. Например, при доступе по сети, или при доступе в консольном режиме, т.е. с помощью клавиатуры и монитора. ОС не может гарантировать, что, имея доступ к железу, вы не вставите какую-нибудь волшебную железку, читающую оперативную память или еще что в таком духе.
Вот так пришёл к другу в гости, вставил флешку, загрузился с неё и копируй с диска, что тебе надо, потом дома посмотришь.
Знакомьтесь: EFS, BitLocker. И то и другое позволяет защитить данные от несанкционированного чтения людьми, получившими физический доступ к компьютеру и носителям информации (украли, например, и вытащили диск).
И да, разраничение данных пользователей это не то же, что их защита. В Win 98/ME вообще не было ограничений на уровне файловой системы и «пароль» был лишь формальностью — чтобы настройки пользователей можно было разграничивать, как и содержимое пользовательского профиля. В те времена защиты действительно не было, даже внутри самой операционной системы.
Список причин, по которым стоит использовать учетную запись Microsoft в Windows, вызвал весьма активное обсуждение! Сегодня я отвечу на вопросы об учетной записи Microsoft, которые вы задавали в комментариях, почте и форуме.
В список также включены ответы на вопросы о Skype, поскольку теперь в программу можно входить с учетной записью Microsoft. Кроме того, появилась возможность связать аккаунты Microsoft и Skype, что также породило немало вопросов.
[+] Вопросы и ответы
Учетную запись всегда можно создать по этой ссылке. Кроме того, можно сделать это непосредственно в Windows, как описано чуть ниже.
Где можно посмотреть параметры моей учетной записи?
Управление учетной записью Microsoft осуществляется по адресу https://account.live.com/.
Какие личные данные требуются для учетной записи Microsoft?
Адрес электронной почты и номер телефона. Эти сведения могут понадобиться для более надежной двухэтапной аутентификации при выполнении действий, связанных с изменением ключевых параметров учетной записи.
Что такое двухэтапная аутентификация?
Два этапа аутентификации минимизируют риск того, что действия выполняются не вами. На первом этапе вы вводите пароль, а на втором — код из приложения на смартфоне или SMS. Я подробно разбирал в блоге двухэтапную и двухфакторную аутентификацию, а также вход в учетную запись Microsoft без ввода пароля.
Зачем Microsoft предлагает указать дополнительные адреса и номера телефонов?
В этом случае вы получите код для второго этапа аутентификации, даже если вы окажетесь без телефона и/или забудете пароль к одному из адресов электронной почте.
Другими словами, предоставление дополнительных данных снижает риск блокировки учетной записи. Вы можете внести в учетную запись вплоть до 10 адресов электронной почты и/или телефонных номеров.
При создании учетной записи Microsoft не принимается почтовый индекс. Какой индекс вводить?
Прежде чем вводить индекс, укажите желаемый адрес электронной почты и убедитесь, что он свободен.
Затем:
- Убедитесь, что вы выбрали свою страну.
- Вводите свой почтовый индекс. Если не срабатывает, введите любой почтовый индекс столицы вашей страны или самого крупного города. Например:
- 121087 (Москва)
- 194100 (Питер)
- 01001 (Киев)
- 200400 (Минск)
Какие требования предъявляет Microsoft к сложности пароля учетной записи?
Пароль должен содержать не менее восьми символов. Кроме того, в настройках учетной записи на сайте Microsoft вы можете установить требование к смене пароля каждые 72 дня.
Что делать, когда не удается войти в учетную запись?
Если вы не можете войти в свой профиль, еще не все потеряно.
Что делать, если пароль забыт?
Вы можете легко сбросить пароль.
Что делать при блокировке учетной записи?
Читайте Восстановление учетной записи Майкрософт после блокировки или взлома. Вам также могут пригодиться инструкции в статье Учетная запись временно приостановлена.
Если эти действия не помогли вам восстановить доступ к своей учетной записи, создайте временный аккаунт и обратитесь в бесплатную техподдержку Microsoft
Доверенные ПК
Строго говоря, концепция доверенного ПК не является новинкой, поскольку она больше относится к аспектам управления учетной записи Microsoft, нежели к Windows. Однако в Windows 8 появились возможности, которые работают только на доверенных ПК.
Зачем делать свой ПК доверенным?
Главный смысл доверенного ПК в том, чтобы упростить ряд действий, связанных с изменением и синхронизацией конфиденциальных данных.
С одной стороны, только между доверенными ПК с Windows можно синхронизировать учетные данные. В Windows 8 нужно было вручную делать ПК доверенным, а в Windows 10 — только при первом использовании конкретной учетной записи Microsoft на данном ПК. Другими словами, в Windows 10 после переустановки системы и входом с той же учетной записью Microsoft повторно делать ПК доверенным уже не нужно.
С другой стороны, с доверенного ПК можно изменять ряд параметров учетной записи без дополнительной аутентификации, хотя в некоторых случаях она все равно может понадобиться.
Какие ПК стоит делать доверенными?
Очевидно, это должен быть ваш личный ПК. Не стоит делать доверенным общественный или рабочий компьютер.
Как сделать свой ПК доверенным?
В Windows 10 перейдите в Параметры — Учетные записи — Ваши данные. Если вы не видите показанной на рисунке опции, ваш ПК уже доверенный.
Вы также можете сделать это на сайте параметров учетной записи Microsoft, выполнив вход с этого ПК. Инструкции здесь.
Как удалить доверенный ПК?
Удалить можно только все доверенные устройства сразу. Перейдите на эту страницу (требуется выполнить вход в учетную запись).
Работа с учетной записью Microsoft в Windows
Windows 8 стала первой ОС Microsoft, в которой можно создать учетную запись Microsoft и переключаться между ней и обычной учетной записью, не теряя привычной среды.
Чем отличается в Windows учетная запись Microsoft от обычной локальной учетной записи?
Учетная запись Microsoft в Windows — это самая обычная локальная учетная запись, в которую вы входите с учетными данными Microsoft. У нее точно такой же профиль (%UserProfile%), она точно так же может входить в любые группы (например, Пользователи и Администраторы) и т.д. Вы всегда можете связать любую локальную учетную запись с учетной записью Microsoft, равно как и прервать эту связь.
Однако ряд преимуществ Windows доступен только при входе в систему с учетной записью Microsoft.
Как создать учетную запись Microsoft в Windows?
В Windows приступить к работе с учетной записью Microsoft можно как при установке системы, так и после входа в систему.
При установке системы
Во время установки Windows 10 вы можете войти с имеющейся учетной записью Microsoft или создать ее.
В Windows 8 это выглядело так.
После установки системы
В Windows 10 перейдите в Параметры — Учетные записи и переключитесь на учетную запись Microsoft.
Посмотреть картинки для Windows 8 и 8.1
Как перейти от работы с учетной записью Microsoft к обычной учетной записи?
В Windows 10 перейдите в Параметры — Учетные записи и переключитесь на обычную учетную запись.
Можно ли войти в систему с учетной записью Microsoft без подключения к Интернету?
Конечно! Подключение к Интернету необходимо только в момент создания учетной записи Microsoft или перехода на работу в ней с локальной учетной записи.
Учетные данные кэшируются локально, как и при работе в доменной среде, поэтому подключение к Интернету на момент входа не требуется.
Можно ли входить Windows без пароля, если используется учетная запись Microsoft?
Вместо пароля можно использовать ПИН-код, причем в Windows 10 1803 и новее его необходимо задать при использовании учетной записи Microsoft. Также, ничто не мешает вам настроить автоматический вход в систему.
Синхронизация параметров и приложений в Windows
На мой взгляд, синхронизация является одной из самых полезных возможностей Windows, хотя и может таить в себе сюрпризы.
Вы можете настроить синхронизацию в в Параметры — Учетные записи — Синхронизация ваших параметров. Очень подробное описание этих параметров доступно в документации Microsoft.
На какие приложения распространяется синхронизация параметров?
Только на магазинные. Это относится в том числе и к автоматическому входу в приложения Microsoft с учетной записью компании (Почта, Skype и т.п.).
Традиционные приложения Microsoft не умеют подтягивать свои настройки из облака и автоматически распознавать, что вы работаете с учетной записью Microsoft (OneDrive, скорее, исключение).
Можно ли отключить синхронизацию для определенных приложений?
Нет, можно отключать только группы, см. картинку выше ↑
Как полностью отключить синхронизацию?
Используйте самый первый переключатель на картинке выше ↑
Диагностика проблем
Если у вас возникла проблема с переключением на учетную запись Microsoft или работе с ней, последовательно выполняйте следующие диагностические действия:
- Убедитесь, что вы можете выполнить вход с учетной записью Microsoft на сайте https://account.live.com/
- Запустите Microsoft Accounts troubleshooter
- В командной строке, запущенной с правами администратора, выполните
sfc /scannow
Если появится сообщение о невозможности восстановить файлы, запакуйте в архив файл \Windows\Logs\CBS\CBS.log.
- Удалите сторонний фаервол и антивирус.
Если проблема не решилась, опубликуйте в этой теме форума отчет о своих действиях, CBS.log и результат диганостики Microsoft Accounts troubleshooter.
Архив (неактуальная информация)
Сведения в этом разделе статьи потеряли актуальность со временем, а также в связи с многочисленными изменениями в Skype.
Посмотреть неактуальную информацию
Я надеюсь, что ответил на все вопросы, которые вы задавали в комментариях к предыдущей записи. Если у вас появились новые вопросы, не стесняйтесь задавать их, чтобы я мог дополнить эту статью. Однако это предложение не означает, что я беру на себя обязательство решать возникшие у вас проблемы. С ними вы можете обратиться в бесплатную техподдержку Microsoft, при необходимости создав временную учетную запись.
Диспетчер учетных данных Windows (Credential Manager) позволяет безопасно хранить учетные записи и пароля для доступа к сетевым ресурсам, веб сайтам и приложениям. Благодаря сохраненным в Credential Manager паролям вы можете подключаться без ввода пароля к сетевым ресурсам, которые поддерживаются проверку подлинности Windows (NTLM или Kerbersos), аутентификацию по сертификату, или базовую проверку подлинности.
Содержание:
- Используем диспетчер учетных данных Windows для хранения паролей
- Управление сохраненными учетными данными Windows из командной строки
- Доступ к менеджеру учетных данных Windows из PowerShell
Используем диспетчер учетных данных Windows для хранения паролей
Диспетчер учетных данных встроен в Windows и позволяет безопасно хранить три типа учетных данных:
- Учетные данные Windows (Windows Credentials) — учетные данные доступа к ресурсам, которые поддерживаются Windows аутентификацию (NTLM или Kerbersos). Это могут быть данные для подключения сетевых дисков или общим SMB папкам, NAS устройствам, сохраненные пароли для RDP подключений, пароли к сайтам, поддерживающих проверку подлинности Windows и т.д;
- Учетные данные сертификатов (Certificate-Based Credentials) – используются для доступа к ресурсам с помощью сертификатов (из секции Personal в Certificate Manager);
- Общие учетные данные (Generic Credentials) – хранит учетные данные для доступа к сторонним приложениям, совместимым с Credential Manager и поддерживающим Basic аутентификацию;
- Учетные данные для интернета (Web Credentials) – сохранённые пароли в браузерах Edge и Internet Explorer, приложениях Microsoft (MS Office, Teams, Outlook, Skype и т.д).
Например, если при доступе к сетевой папке вы включите опцию “Сохранить пароль”, то введенный вами пароли будет сохранен в Credential Manager.
Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc.exe).
Открыть диспетчер учетных данных в Windows можно:
- из классической панели управления (Control Panel\User Accounts\Credential Manager, Панель управления -> Учетные записи пользователей -> Диспетчер учетных данных);
- изкоманднойстроки:
control /name Microsoft.CredentialManager
На скриншоте видно, что в Credential Manager хранятся два пароля, которые мы сохранили ранее.
Сохраненный пароль для RDP подключения сохраняется в формате
TERMSRV\hostname
.
Здесь вы можете добавить сохранённый пароль, отредактировать (просмотреть сохраненный пароль в открытом виде из графического интерфейса нельзя) или удалить любую из записей.
Для управления сохраненными паролями можно использовать классический диалоговый интерфейс Stored User Names and Password. Для его запуска выполните команду:
rundll32.exe keymgr.dll,KRShowKeyMgr
Здесь вы также можете управлять сохраненными учетными данными, а также выполнить резервное копирование и восстановление записей в Credential Manager (можно использовать для переноса базы Credential Manager на другой компьютер).
Управление сохраненными учетными данными Windows из командной строки
Вы можете добавить удалить и вывести сохраненные учетные данных в Credentil Manager из командной строки с помощью утилиты cmdkey.
Добавить в диспетчер учетные данные для доступа к серверу FS01:
cmdkey /add:FS01 /user:kbuldogov /pass:Passw0rdd1
Если нужно сохранить доменную учетную запись:
cmdkey /add:fs01.winitpro.local /user:[email protected] /pass:Passw0rdd1
Сохранить учетные данные для доступа к RDP/RDS серверу:
cmdkey /generic:termsrv/MSKRDS1 /user:kbuldogov /pass:Passw0rdd1
Вывести список сохраненных учетных данных:
cmdkey /list
Вывести список хранимых учетных данных для указанного компьютера:
cmdkey /list:fs01.winitpro.local
Удалить ранее сохраненные учетные данные:
cmdkey /delete:FS01
Удалить из Credential Manager все сохраненные пароли для RDP доступа:
For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
Полностью очистить пароли в Credential Manager:
for /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr Target') do cmdkey /delete %H
Также для управления сохраненными учетными данными можно использовать утилиту vaultcmd.Вывести список сохраненных учетных данных типа Windows Credentials:
vaultcmd /listcreds:"Windows Credentials"
Все сохраненные пароли хранятся в защищенном хранилище Windows Vault. Путь к хранилищу можно получить с помощью команды:
vaultcmd /list
По умолчанию это
%userprofile%\AppData\Local\Microsoft\Vault
. Ключ шифрования хранится в файле Policy.vpol. Клю шифровани используется для рашировки паролей в файлах .vcrd.
Для работы Credential Manager должна быть запущена служба VaultSvc:
Get-Service VaultSvc
Если служба отключена, при попытке получить доступ к Credential Manager появится ошибка:
Credential Manager Error The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service. Error code: 0x800706B5 Error Message: The interface is unknown.
Если вы хотите заблокировать пользователям возможность сохранения сетевых паролей в Credential Manager, нужно включить параметр Network access: Do not allow storage of passwords and credentials for network authentication в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
Теперь, если пользователь попытается сохранить пароль в хранилище, появится ошибка:
Credential Manager Error Unable to save credentials. To save credentials in this vault, check your computer configuration. Error code: 0x80070520 Error Message: A specified logon session does not exist. It may already have been terminated.
Доступ к менеджеру учетных данных Windows из PowerShell
В Windows нет встроенных командлетов для обращения к хранилищу PasswordVault из PowerShell. Но вы можете использовать модуль CredentialManager из галереи PowerShell.
Установите модуль:
Install-Module CredentialManager
В модуле всего 4 командлета:
- Get-StoredCredential – получить учетные данные из хранилища Windows Vault;
- Get-StrongPassword – сгенерировать случайный пароль;
- New-StoredCredential – добавить учетные данные в хранилище;
- Remove-StoredCredential – удалить учетные данные.
Чтобы добавить новые учетные данные в хранилище CredentialManager, выполните команду:
New-StoredCredential -Target 'contoso' -Type Generic -UserName '[email protected]' -Password '123qwe' -Persist 'LocalMachine'
Проверить, есть в хранилище сохраненные данные:
Get-StoredCredential -Target contoso
С помощью командлета Get-StoredCredential вы можете вывести сохраненный пароль, хранящийся в диспетчере учетных данных в отрытом виде.
Выведите список сохраненных учетных данных:
cmdkey.exe /list
Скопируйте значение Target для объекта, пароль которого вы хотите извлечь и вставьте его в следующую команду:
$cred = Get-StoredCredential -Target LegacyGeneric:target=termsrv/MSKRD2S1 [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($cred.Password))
Команда выведет сохраненный пароль в открытом виде.
Также для получения сохраненных паролей из credman в открытом виде можно использовать утилиты типа Mimikatz (смотри пример).
Сохраненные пароли из Credential Manager можно использовать в ваших скриптах PowerShell. Например, в следующем примере я получаю сохраненные имя и пароль в виде объекта PSCredential и подключаюсь с ними к Exchange Online из PowerShell:
$psCred = Get-StoredCredential -Target "Contoso"
Connect-MSolService -Credential $psCred
Также вы можете использовать Get-StoredCredential для безопасного получения сохранённых учетных данных в заданиях планировщика.
Также обратите внимание на модуль PowerShell Secret Management, который можно использовать для безопасного хранения паролей в Windows (поддерживает различные хранилища паролей: KeePass, LastPass, HashiCorp Vault, Azure Key Vault, Bitwarden.
Чтобы удалить сохраненные учетные данные из Windows Vault, выполните:
Remove-StoredCredential -Target Contoso