Сховати обліковий запис на екрані входу, але його можна використовувати в UAC

21

Тож у мене домашня машина Windows 7 з 2 обліковими записами користувачів. Один - це стандартний обліковий запис користувача, а один - обліковий запис адміністратора. Тепер це буде передано в руки дуже низькотехнологічному користувачеві, тому я не хочу, щоб вони могли бачити обліковий запис адміністратора під час входу, але вони хочуть мати пароль, щоб хтось інший не міг користуватися машиною. .

Моя мета полягає в тому, що коли користувач вмикає комп’ютер, він отримує свій логін. Після входу в обліковий запис не адміністратора, якщо щось потрібно встановити, тоді обліковий запис адміністратора можна використовувати через UAC.

Я спробував створити ключ reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserListі додати слово імені акаунта і встановити його на 0. Це вдалося сховати обліковий запис з екрана входу. А також приховувати його від UAC. Таким чином, це не відповідає другій вимозі - мати можливість запускати речі як адміністратор через UAC.

Крім того, оскільки я не встановив пароль адміністратора (залишив його порожнім), здається, я повністю заблокував себе з машини, оскільки runas не приймає порожні паролі. Тому я також не можу його скасувати, і я досить ефективно замурував установку, що спонукає перевстановити ОС.

Це Windows 7 Home, тому немає консолі управління Користувачами.

windows-7  login  user-accounts  uac 
твеновер
джерело

Відповіді:

13

Первісне запитання було іншим, але я вже раніше давав відповідь на це питання. Дивіться мій пост у запитанні " Завжди відображати останній / типовий користувацький екран Windows 7 " - там пояснюється, як налаштувати UAC та приховані облікові записи разом, щоб ви могли автентифікувати обліковий запис через UAC, але не входити в нього з вітального екрана.

По суті, те, що вам потрібно зробити, це налаштувати UAC так, щоб користувач запропонував ввести як своє ім’я користувача, так і пароль вручну, що дозволить вам ввести ім’я користувача, яке приховано на екрані входу, але все ще ввімкнено. Інструкції, як це зробити, знаходяться на пов’язаному пості.

Тим часом вам все одно має бути можливість відновити обліковий запис, не роблячи повного перевстановлення. Відкрийте командний рядок ( cmd.exe) та введіть runas /user:USERNAME regedit.exe, де USERNAME - ім’я адміністративного облікового запису. Він запропонує вам ввести пароль цього користувача; введіть його і натисніть Enter. Це відкриє редактор реєстру, який працює як той користувач, з якого ви можете зайти та відновити внесені вами зміни, додавши назад обліковий запис на екран входу.

Перечитайте своє запитання і помітили, що ви сказали, що біг не працює. Що відбувається при спробі завантаження в безпечний режим? Здається, я пам'ятаю, що в Windows 7 Home Premium вбудований обліковий запис адміністратора вимкнено за замовчуванням, але він увімкнений у безпечному режимі, що дозволяє вам увійти в нього та внести зміни. Якщо ви не заховали вбудований акаунт на додаток до будь-якого облікового запису, який ви створили, це може працювати.

Нарешті, якщо все інше не вдається, ви можете спробувати запустити відновлення системи з консолі відновлення. Завантажте свій інсталяційний диск Windows 7 та замість цього встановіть "відновити встановлення Windows". Ви можете вибрати інсталяцію, і з часом вийде на екран, де ви зможете зробити відновлення. Це повинно змінити реєстр до того, яким він був до внесення змін, якщо він має достатньо стару точку відновлення. Ваші файли не будуть змінені відновленням системи, хоча деякі налаштування системи можуть бути.

nhinkle
джерело
Це насправді майже те, що я шукав, але чи є спосіб очистити підказку адміністратора, крім редагування regedit? Я сподіваюся, що щось перемкнеться в локальній політиці безпеки.
wag2639
1
Так, ця опція gpedit.msc, однак, недоступна в Windows 7 Home Premium, тому я її покинув, оскільки люди без Win7 Pro чи пізнішої версії будуть розгублені та не можуть виконувати вказівки. Якщо ви хочете зробити це в редакторі групової політики, ви можете перейти до Computer Configuration > Administrative Templates > Windows Components > Credential User Interfaceта змінити налаштування для "Перерахувати облікові записи адміністраторів на висоті" на "відключено".
nhinkle
Дякую, я шукав його в Інтервебі і знайшов його в іншому питанні SU для протилежного. Мені хотілося це зробити, тому що мені подобається робити адміністратора SOHO Windows і мати справу лише з професійними або краще.
wag2639
Якщо вас заблокували Winlogon\SpecialAccounts\UserListпросто, скористайтеся цим: відкрийте cmd, введіть runas /user:admin cmdновий тип консолі: regedit, а потім зможете редагувати реєстр. Вам взагалі не потрібне відновлення системи.
Гергелі Фехерварі
5

(як питання змінилося, так і моя відповідь.)

Моя ідея полягає в тому, що для його використання не потрібно знімати обліковий запис адміністратора. Цей обліковий запис може залишатися прихованим від екрана привітання через механізм Winlogon\SpecialAccounts\UserList.

Це ґрунтується на тому, що в командному рядку (або поле Виконати) завжди можна видавати будь-яку команду в якості адміністратора за допомогою RunAs:

RunAs /user:admin "control userpasswords2"
RunAs /user:admin regedit

Ви також можете імпортувати заздалегідь підготовлений .reg-файл, який відкриє обліковий запис адміністратора для власного використання, а потім використати інший .reg-файл, щоб приховати його знову, коли ви закінчите роботу з цим комп'ютером.

RunAs /user:admin regedit c:\secret\directory\unhide_admin.reg
RunAs /user:admin regedit c:\secret\directory\hide_admin.reg

Таким чином ви можете автоматизувати приховування та приховування облікового запису адміністратора.

harrymc
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.