Меню

Как настроить запрос учетных данных

Подключение через Диспетчер учетных данных

Итак, перед Вами задача, настроить терминальное подключение к терминальному серверу на котором пользователю предстоит работать, к примеру с 1С приложением, почтой, файловым ресурсом и т. д.

Так вот, нужно чтобы пользователь просто сев за свой компьютер, выбрав терминальное подключение просто нажал на него и попав на терминальный сервер начал работать. В процессе этого простого действия у него не должно появляться ни каких запросов о вводе логина и пароля . Чем меньше пользователь задумывается, как все это работает тем Вы нужнее.

Приступим: есть терминальные сервер на базе Windows Server 2008 R2 и рабочая станция с осью Windows 7 Pro x64, домена нет.

Т.к. в текущей среде нет домена, то необходимо зайти через RDP соединение на терминальный сервер под учетной записью имеющей административные привилегии, в моем случае это учетная запись:

  • Login: Administrator
  • Pass: 712mbddr@

и добавить пользователя рабочей станции (его учетную запись, в качестве примера пусть это будет: Login: alektest, Pass: Aa1234567) в группу ответственную за удаленное подключение по RDP.

На сервере (srv-ts:172.16.32.2) с ролью терминального сервера (Roles: Remote Desktop Services →Remote Desktop Session Host) создаю учетную запись и добавляю ее в группу на подключение к нему:

Start — Control Panel — Administrative Tools — запускаю оснастку Server Manager — Configuration — Local Users and Group — Users — и через правый клик мышью вызываю мастер создания нового пользователя: New User…

  • User name: alektest
  • Full name: alektest
  • Decription: alektest
  • Password: Aa1234567
  • Confirm password: Aa1234567
  • User must change password at next logon: снимаю галочку
  • Password never expires: отмечаю галочкой

и нажимаю кнопку Create

Затем перехожу в Groups и добавляю созданного пользователя в группу: Remote Desktop Users

либо через быстрее создавать пользователей через консоль командной строки:

Win + R — cmd.exe

C:\Users\Administrator>net user alektest Aa1234567 /add

C:\Users\Administrator>net localgroup «Remote Desktop Users» alektest /add

C:\Users\Administrator>wmic useraccount where «name=’alektest'» set passwordexpires=FALSE

User cannont change password: wmic useraccount where «name=’alektest'» set
PasswordChangeable=FALSE

Password never expires: wmic useraccount where «name=’alektest'» set
passwordexpires=FALSE

А еще нужно не забыть на терминальном сервере включить правило в брандмауэре на проверку доступности , прием ICMP запросов:

Start — Control Panel — Windows Firewall — Advanced Settings — Inbound Rules

и включаем правило: File and Printer Sharing (Echo Request — ICMPv4-In) щелкнув по нему правой кнопкой мыши и выбрав Enable Rule

Теперь переключаемся к рабочей станции под управлением Windows 7 Pro x64 (W7X64:172.16.32.3), авторизуюсь под учетной записью alektest которую создали при установке данной операционной системы на компьютер. Затем через диспетчер учетных записей задаю настройки подключения к терминальному серверу:

Пуск — Панель управления — Диспетчер учетных данных — Добавить общие учетные данные и привожу настройки подключения к виду:

  • Адрес в Интернете или сети: 172.16.32.2
  • Имя пользователя: alektest
  • Пароль: Aa1234567
    и нажимаю OK

Теперь создаю RDP подключение:
Пуск — Все программы — Стандартные — Подключение к удаленному рабочему столу
вкладка Общие:

  • Компьютер: 172.16.32.2
  • Пользователь: alektest

и нажимаю «Сохранить как…» и сохраняю подключение на «Рабочий стол» с именем «Удаленка» и нажимаю «Сохранить».

Отлично, проверяю как отработает подключение, на рабочем столе посредством двойного клика левой кнопкой мыши по подключение с именем «Удаленка» подключаюсь. В процесс/при первом подключении нужно поставить галочку: «Больше не выводить запрос о подключении к этому компьютеру» — и нажимаем кнопку «Подключить», далее снова возникает запрос в ошибке проверки сертификата удаленного компьютера, здесь все в порядке, также отмечаем галочкой: «Больше не выводить запрос о подключениях к этому компьютеру» и нажимаем кнопку ОК. И вот она удаленное подключение произведено.

Если пользователь поменяет свой пароль, то ему также необходимо будет поменять его в оснастке «Диспетчер учетных данных» дабы не возникало сообщения что нужно произвести аутентификацию при подключении.

Если же на рабочем ПК: W7X64 вход выполнен под другой учетной записью, то действия по добавлению данных аутентификации в оснастку «Диспетчер учетных данных» идентичные выше представленным. А далее также создаем «Подключение к удаленному рабочему столу», указываем куда подключаться
и сохраняем само подключение на «Рабочий стол», на все вопросы ставим галочки игнорировать и подключаемся без каких либо проблем.

Читайте также:  Как настроить языковую раскладку

На заметку: пример рассмотренный выше предполагал, что терминальный сервер и рабочая станция состоят в одной группе: WORKGROUP

На заметку: если же на рабочей станции рабочая группа (HOME) отличается от той в которой состоит терминальный сервер (WORKGROUP), то роли не играет, подключение будет произведено.

На заметку: если терминальный сервер в домене и рабочая станция в домене, то в поле «Имя пользователя» оснастки «Диспетчер учетных данных» добавить имя домена, к примеру: polygon\alektest

На этом у меня все, с уважением Олло Александр aka ekzorchik.

Источник

Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode

Относится к: Applies to

Описывает передовую практику, расположение, значения, управление политикой и соображения безопасности для управления учетной записью пользователя: поведение запроса высоты для администраторов в параметре политики безопасности режима утверждения администратора. Describes the best practices, location, values, policy management and security considerations for the User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode security policy setting.

Справочные материалы Reference

Этот параметр политики определяет поведение запроса на повышение для учетных записей с административными учетными данными. This policy setting determines the behavior of the elevation prompt for accounts that have administrative credentials.

Возможные значения Possible values

Повышение без запроса Elevate without prompting

Предполагает, что администратор разрешит операцию, требуемую высоту, а дополнительное согласие или учетные данные не требуются. Assumes that the administrator will permit an operation that requires elevation, and additional consent or credentials are not required.

Примечание Выбор Elevate без запроса минимизирует защиту, предоставляемую UAC. Note Selecting Elevate without prompting minimizes the protection that is provided by UAC. Мы не рекомендуем выбирать это значение, если учетные записи администратора строго не контролируются и операционная среда является высокой безопасностью. We do not recommend selecting this value unless administrator accounts are tightly controlled and the operating environment is highly secure.

Запрос на учетные данные на безопасном рабочем столе Prompt for credentials on the secure desktop

Если для операции требуется повышение привилегий, пользователю на безопасном рабочем столе будет предложено ввести привилегированное имя пользователя и пароль. When an operation requires elevation of privilege, the user is prompted on the secure desktop to enter a privileged user name and password. Если пользователь вводит допустимые учетные данные, операция продолжается с наивысшей доступной привилегией пользователя. If the user enters valid credentials, the operation continues with the user’s highest available privilege.

Запрос на согласие на безопасном рабочем столе Prompt for consent on the secure desktop

Если для операции требуется повышение привилегий, пользователю на безопасном рабочем столе будет предложено выбрать Разрешение или отказ. When an operation requires elevation of privilege, the user is prompted on the secure desktop to select Permit or Deny. Если пользователь выбирает Разрешение, операция продолжается с наивысшей доступной привилегией пользователя.* If the user selects Permit, the operation continues with the user’s highest available privilege.*

Запрос на учетные данные Prompt for credentials

Операция, требуемая повышения привилегий, побуждает администратора вводить имя пользователя и пароль. An operation that requires elevation of privilege prompts the administrator to type the user name and password. Если администратор вводит допустимые учетные данные, операция продолжается с применимой привилегией. If the administrator enters valid credentials, the operation continues with the applicable privilege.

Запрос на согласие Prompt for consent

Операция, требуемая для повышения привилегий, подсказает администратору выбрать разрешение или отказ. An operation that requires elevation of privilege prompts the administrator to select Permit or Deny. Если администратор выбирает Разрешение, операция продолжается с наивысшей доступной привилегией администратора. If the administrator selects Permit, the operation continues with the administrator’s highest available privilege.

Читайте также:  Как настроить opus для fsx

Запрос на согласие для неразоедене-ных сеянов Windows Prompt for consent for non-Windows binaries

Это по умолчанию. This is the default. Если для операции, не влияемой на приложение Майкрософт, требуется повышение привилегий, пользователю на безопасном рабочем столе будет предложено выбрать Разрешение или отказ. When an operation for a non-Microsoft application requires elevation of privilege, the user is prompted on the secure desktop to select Permit or Deny. Если пользователь выбирает Разрешение, операция продолжается с наивысшей доступной привилегией пользователя. If the user selects Permit, the operation continues with the user’s highest available privilege.

*Если вы включили встроенную учетную запись администратора и настроили режим утверждения администратора, необходимо также настроить параметр Prompt для согласия на безопасном рабочем столе. *If you have enabled the built-in Administrator account and have configured Admin Approval Mode, you must also configure the option Prompt for consent on the secure desktop. Вы также можете настроить этот параметр из управления учетной записью пользователя, введя UAC в поле поиска. You can also configure this option from User Account Control, by typing UAC in the search box. В диалоговом окне Параметры управления учетной записью пользователя установите управление ползунок, чтобы уведомить меня только тогда, когда приложения пытаются внести изменения на компьютер (по умолчанию). From the User Account Control Settings dialog box, set the slider control to Notify me only when apps try to make changes to my computer (default).

После включения режима утверждения администратора, чтобы активировать параметр, необходимо сначала войти и выйти. Кроме того, вы можете выполнять gpupdate /force из команды с повышенным запросом. After enabling Admin Approval Mode, to activate the setting, you must first log in and out. Alternatively, You may perform gpupdate /force from an elevated command prompt.

Рекомендации Best practices

Выбор параметра Elevate без запроса сводит к минимуму защиту, предоставляемую UAC. Selecting the option Elevate without prompting minimizes the protection that is provided by UAC. Мы не рекомендуем выбирать это значение, если учетные записи администратора строго не контролируются и операционная среда является высокой безопасностью. We do not recommend selecting this value unless administrator accounts are tightly controlled and the operating environment is highly secure.

Рекомендуется не включить встроенную учетную запись администратора на клиентский компьютер, а использовать стандартную учетную запись пользователя и управление учетной записью пользователя (UAC). It is recommended not to enable the built-in Administrator account on the client computer, but to use the standard user account and User Account Control (UAC) instead. Если вы хотите включить встроенную учетную запись администратора для выполнения административных задач, в целях безопасности также следует включить режим утверждения администратора. If you want to enable the built-in Administrator account to carry out administrative tasks, for security reasons you should also enable Admin Approval Mode. Дополнительные сведения см. в отчете UAC-Admin-Approval-Mode-for-the-Built-in-Administrator-account For further information, see UAC-Admin-Approval-Mode-for-the-Built-in-Administrator-account

Местонахождение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

Тип сервера или объект групповой политики Server type or GPO Значение по умолчанию Default value
Default Domain Policy Default Domain Policy Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings Запрос на согласие для неразоедене-ных сеянов Windows Prompt for consent for non-Windows binaries
Эффективные параметры по умолчанию DC DC Effective Default Settings Запрос на согласие для неразоедене-ных сеянов Windows Prompt for consent for non-Windows binaries
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings Запрос на согласие для неразоедене-ных сеянов Windows Prompt for consent for non-Windows binaries
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings Запрос на согласие для неразоедене-ных сеянов Windows Prompt for consent for non-Windows binaries

Управление политикой Policy management

В этом разделе описываются функции и средства, доступные для управления этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения в этой политике становятся эффективными без перезапуска компьютера при локальном сбережении или распространении через групповую политику. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.

Групповая политика Group Policy

Все возможности аудита интегрированы в групповую политику. All auditing capabilities are integrated in Group Policy. Вы можете настроить, развернуть и управлять этими настройками в консоли управления групповой политикой (GPMC) или локальной политике безопасности для домена, сайта или организационного подразделения (OU). You can configure, deploy, and manage these settings in the Group Policy Management Console (GPMC) or Local Security Policy snap-in for a domain, site, or organizational unit (OU).

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Один из рисков, которые пытается смягчить функция UAC, — это вредоносное программное обеспечение, запущенное под повышенными учетными данными, без того, чтобы пользователь или администратор не знали о его деятельности. One of the risks that the UAC feature tries to mitigate is that of malicious software running under elevated credentials without the user or administrator being aware of its activity. Этот параметр повышает осведомленность администратора об операциях с повышенными привилегиями и позволяет администратору не допустить повышения своей привилегии, когда программа пытается это сделать. This setting raises awareness to the administrator of elevated privilege operations, and it permits the administrator to prevent a malicious program from elevating its privilege when the program attempts to do so.

Противодействие Countermeasure

Настройка управления учетной записью пользователя: поведение запроса на повышение для администраторов в параметре Admin Approval Mode для запроса на согласие. Configure the User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode setting to Prompt for consent.

Возможное влияние Potential impact

Администраторы должны быть осведомлены о том, что им будет предложено дать согласие при попытке запуска всех разнонаправленных систем. Administrators should be made aware that they will be prompted for consent when all binaries attempt to run.

Источник



Как отключить запрос на ввод сетевых учетных данных?

Довольно частым вопросом среди тех, кто пользуется локальными компьютерными сетями, является отключение ввода сетевых учетных данных при попытке подключения к любому компьютеру в сети. Это относится к системам Windows 7 и младше. На Windows XP такого нет.

В данной статье мы расскажем как убрать этот запрос на ввод сетевых учетных данных, благодаря чему вы сможете без проблем заходить в общедоступные папки на других компьютерах в сети.

Где отключается запрос ввода сетевых учетных данных?

Делается это через панель управления. Зайдя в нее, находим там значок “Центр управления сетями и общим доступом” и переходим по нему.

Центр управления сетями и общим доступом

В открывшемся окне слева вверху выбираем “Изменить дополнительные параметры общего доступа”.

Настройка сетевого доступа

Здесь раскрываем подпункт “Все сети” и в самом низу в разделе “Общий доступ с парольной защитой” отключаем его, переведя переключатель в соответствующее положение.

Отключение запроса пароля по сети

Стоит отметить что таким образом можно отключить запрос ввода сетевых учетных данных не только в Windows 10, но также в Windows 7 и Windows 8.1.

Вывод

Как видите избавится от ввода сетевых учетных данных не так уж и сложно. Во всяком случае гораздо проще, чем искать эти самые учетные данные в виде логина и пароля или пытаться их подобрать.

Источник