Подробный гайд: Особенности работы с пользователями Windows

Управление пользователями Windows: локальные и доменные учетки, PowerShell, GPO, безопасность, лучшие практики администрирования

2026.05.14                  

Подробный гайд: Особенности работы с пользователями WindowsПодробный гайд: Особенности работы с пользователями Windows Актуально для Windows 10/11, Windows Server 2016–2025

1. Типы учётных записей в Windows

Локальные учётные записи

Создаются и хранятся на конкретном компьютере в базе SAM (Security Accounts Manager). Имеют права только на этом устройстве.

Доменные учётные записи (Active Directory)

Управляются централизованно на контроллере домена. Позволяют единый вход (Single Sign-On) и массовое применение политик.

Учётная запись Microsoft

Привязана к облачным сервисам Microsoft, синхронизирует настройки между устройствами. Не рекомендуется для корпоративных сред из-за рисков утечки данных.

Встроенные системные учётные записи

Учетная запись Назначение Рекомендации
Administrator Полные права на систему Переименовать, отключить, не использовать для повседневной работы
Guest Временный доступ для гостей Оставить отключенной по умолчанию
SYSTEM Для служб и ядра ОС Не изменять, не удалять разрешения
NETWORK SERVICE Для сетевых служб Использовать вместо LOCAL SYSTEM при возможности
LOCAL SERVICE Для локальных служб с минимальными правами Предпочтительна для изолированных задач

2. Инструменты управления пользователями

Графический интерфейс

  • Панель управления → Учётные записи пользователей
  • Управление компьютером (compmgmt.msc) → Локальные пользователи и группы
  • Параметры Windows → Учетные записи → Другие пользователи

Командная строка (CMD)

:: Просмотр пользователей
net user

:: Создание пользователя
net user ИмяПользователя Пароль123 /add /fullname:"Иван Иванов" /comment:"Бухгалтерия"

:: Добавление в группу администраторов
net localgroup Administrators ИмяПользователя /add

:: Просмотр групп
net localgroup

:: Блокировка учетной записи
net user ИмяПользователя /active:no

PowerShell (рекомендуемый способ)

# Создание локального пользователя
New-LocalUser "NewUser" -Password (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
    -FullName "Иван Петров" -Description "Сотрудник отдела" -AccountNeverExpires

# Добавление в группу
Add-LocalGroupMember -Group "Administrators" -Member "NewUser"

# Просмотр членов группы
Get-LocalGroupMember -Group "Administrators"

# Отключение пользователя
Disable-LocalUser -Name "NewUser"

# Удаление пользователя
Remove-LocalUser -Name "NewUser"

Active Directory (для доменных сред)

# Требуется модуль RSAT
Import-Module ActiveDirectory

# Создание пользователя в домене
New-ADUser -Name "ivan.petrov" -GivenName "Иван" -Surname "Петров" `
    -SamAccountName "ivan.petrov" -UserPrincipalName "ivan.petrov@domain.local" `
    -Path "OU=Users,DC=domain,DC=local" -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
    -Enabled $true -ChangePasswordAtLogon $true

# Добавление в группу домена
Add-ADGroupMember -Identity "Domain Admins" -Members "ivan.petrov"

3. Контроль учетных записей (UAC)

User Account Control (UAC) — механизм безопасности, запрашивающий подтверждение перед выполнением действий с правами администратора.

Уровни уведомлений UAC:

Уровень Когда запрашивается подтверждение
Всегда уведомлять При любых изменениях системы и установках ПО
Уведомлять только при попытках изменений (рекомендуется) Только при действиях, требующих прав администратора
Уведомлять, но не затемнять рабочий стол Как выше, но без перехода на безопасный рабочий стол
Никогда не уведомлять Не рекомендуется — отключает защиту

Настройка через групповые политики:

Конфигурация компьютера → Политики → Параметры Windows → 
Параметры безопасности → Локальные политики → Параметры безопасности

Ключевые политики:

  • Контроль учетных записей: все администраторы работают в режиме одобрения
  • Контроль учетных записей: использование режима одобрения для встроенной учетной записи администратора

4. Лучшие практики безопасности

Обязательные меры

  1. Принцип наименьших привилегий — выдавайте пользователям минимально необходимые права
  2. Отключите встроенную учетную запись Administrator или переименуйте её
  3. Используйте сложные пароли и политики блокировки после неудачных попыток входа
  4. Включите Credential Guard (Windows 10/11 Enterprise) для защиты учетных данных в памяти
  5. Настройте LSASS как защищенный процесс (PPL) для предотвращения кражи токенов

Защита от атак типа "Pass-the-Hash"

# Запрет сетевого входа для локальных администраторов через реестр:
# Путь: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
# Значение: LocalAccountTokenFilterPolicy = 0 (DWORD)

Ротация паролей локальных администраторов

  • Используйте LAPS (Local Administrator Password Solution) от Microsoft для автоматической рандомизации паролей
  • Или внедрите сторонние решения управления привилегированным доступом (PAM)

Аудит и мониторинг

# Просмотр событий входа в систему
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624,4625} -MaxEvents 50

# Проверка членства в группах администраторов
Get-LocalGroupMember -Group "Administrators" | Format-Table Name,PrincipalSource

5. Управление в доменной среде (Active Directory)

Организационная структура (OU)

  • Создавайте логические подразделения: OU=Employees, OU=ServiceAccounts, OU=Admins
  • Применяйте групповые политики (GPO) на уровне подразделений

Групповые политики (GPO) для пользователей

Конфигурация пользователя → Политики → Конфигурация Windows → 
Параметры безопасности → Политики учетных записей

Примеры настроек:

  • Минимальная длина пароля: 12+ символов
  • Сложность пароля: включена
  • Максимальный возраст пароля: 90 дней
  • Блокировка учетной записи после 5 неудачных попыток на 30 минут

Защищенные пользователи (Protected Users)

Добавление учетной записи в группу Protected Users автоматически:

  • Запрещает использование NTLM-аутентификации
  • Требует Kerberos с шифрованием AES
  • Запрещает кэширование учетных данных

6. Чек-лист администратора

Задача Инструмент Частота
Аудит учётных записей Get-LocalUser, Search-ADAccount Ежемесячно
Проверка членства в админ-группах Get-LocalGroupMember, ADUC Еженедельно
Обновление паролей сервисных учёток LAPS / PAM-решение По политике
Анализ событий безопасности Event Viewer, SIEM Постоянно
Тестирование политик UAC/GPO gpresult /r, rsop.msc После изменений

7. Полезные команды для быстрого доступа

# Быстрый поиск пользователей по описанию
Get-LocalUser | Where-Object {$_.Description -like "*бухгалтер*"}

# Экспорт списка пользователей в CSV
Get-LocalUser | Select-Object Name,Enabled,LastLogon | Export-Csv "C:\users.csv" -NoTypeInformation

# Проверка, является ли пользователь локальным администратором
([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)

# Принудительное обновление групповых политик
gpupdate /force /target:computer

Важно:

Перед массовыми изменениями всегда тестируйте политики на изолированной группе пользователей или тестовом подразделении. Резервное копирование SAM/AD и наличие «аварийной» учетной записи (break-glass account) — обязательное требование для производственных сред.

Гайд обновлен: май 2026 г.

×

Полный размер Слайдшоу Предыдущий Следующий