Гостевой компьютер что это
Добрый вечер! Гостевая запись стала администратором. Как сделать свою учетную запись администратором. Отключить гостевую не получается. Что делать?
Эта цепочка заблокирована. Вы можете просмотреть вопрос или оставить свой голос, если сведения окажутся полезными, но вы не можете написать ответ в этой цепочке.
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
Суть режима общего ПК
Клиентский Windows в совместном режиме ПК разработан таким образом, чтобы он был без управления и обслуживания с высокой надежностью. В режиме общего ПК одновременно вход может выполнить только один пользователь. Если компьютер заблокирован, текущий пользователь в любой момент может выйти из учетной записи на экране блокировки.
Создание пакета подготовки для совместного использования
Откройте конструктор конфигураций Windows.
На начальной страницевыберите Расширенная подготовка.
Введите имя и (при необходимости) описание проекта, а затем нажмите кнопку Далее.
Выберите Все выпуски Windows для настольных ПК и нажмите кнопку Далее.
Выберите Параметры среды выполнения > SharedPC. Выберите нужные параметры для режима общего ПК.
В меню Файл выберите команду Сохранить.
В меню Экспорт выберите пункт Пакет подготовки.
Измените значение параметра Владелец на ИТ-администратор. Это позволит установить для данного пакета подготовки более высокий приоритет, чем приоритет пакетов подготовки из других источников, примененных к данному устройству. Нажмите Далее.
Задайте значение параметра Версия пакета.
Можно внести изменения в существующие пакеты и изменить номер версии для обновления ранее примененных пакетов.
(Необязательно) В окне Безопасность пакета подготовки можно включить шифрование и подписывание пакета.
Включить шифрование пакета— при выборе этого пункта на экране отобразится автоматически созданный пароль.
Включить подписывание пакета — при выборе этого пункта необходимо выбрать действительный сертификат, который будет использоваться для подписывания пакета. Вы можете указать сертификат, щелкнув Выбрать. , а затем выбрав сертификат, который будет использоваться для подписывания пакета.
Рекомендуется включить в пакет доверенный сертификат подготовки. Когда пакет применяется к устройству, сертификат добавляется в хранилище системы и впоследствии любой пакет, подписанный с использованием этого сертификата, будет применен автоматически.
Выберите ссылку Размещение вывода , чтобы перейти в расположение пакета. Этот PPKG-файл можно предоставить другим пользователям одним из следующих способов:
Через общую сетевую папку
Через сайт SharePoint
Съемный носитель (USB/SD-карта) (выберите этот вариант, чтобы применить к компьютеру во время начальной настройки)
Новый сервис «Гостевой компьютер» теперь доступен во всех отделениях службы занятости Поморья
Новый сервис службы занятости — «Гостевой компьютер» — заработал во всех отделениях Архангельского областного центра занятости населения. Ранее такая услуга была доступна только архангелогородцам, а теперь возможность воспользоваться «гостевым компьютером» появилась у всех жителей региона.
«Гостевой компьютер» — специально оборудованное для посетителей рабочее место с выходом в интернет и доступом к информационно-аналитической системе Общероссийская база вакансий «Работа в России». Для удобства граждан он устанавливается в общедоступном месте (холлы, залы ожидания).
С его помощью можно получить услуги службы занятости через электронный сервис «Личный кабинет» соискателя на портале «Работа в России», например, услуги по содействию в поиске подходящей работы. Для этого необходимо подать заявление на регистрацию в качестве безработного с назначением пособия по безработице в личном кабинете портала. Если у гражданина отсутствует техническая возможность для онлайн-регистрации дома или он затрудняется сделать это самостоятельно, он может воспользоваться «гостевым компьютером» и обратиться за помощью к специалистам отделения для оказания ему содействия в регистрации и подаче заявления в электронном виде.
Как рассказал директор Архангельского областного центра занятости населения Владимир Яценко, для того, чтобы определить, насколько новая услуга будет востребована у граждан, две недели назад она была подключена в отделении занятости населения по городу Архангельску.
— Новый сервис сразу стал пользоваться большой популярностью среди посетителей, и мы решили установить его повсеместно, чтобы все жители Поморья имели равные возможности для получения наших услуг. На сегодняшний день «Гостевые компьютеры» установлены во всех 22 отделениях занятости населения на всей территории области, а в самом Архангельске их уже три. Воспользоваться услугой можно совершенно бесплатно в часы работы отделений, при необходимости сотрудники окажут соответствующую консультацию, — сообщил директор областного центра занятости Владимир Яценко.
Обращаем внимание, что для получения государственных услуг в электронном виде должна быть подтвержденная учетная запись в Единой системе идентификации и аутентификации (ЕСИА), которая позволяет с помощью логина и пароля от портала Госуслуг войти в личный кабинет системы «Работа в России». Через этот личный кабинет в дальнейшем будет осуществляться дистанционное взаимодействие гражданина со службой занятости в режиме онлайн без личного посещения отделения.
Напоминаем, что при подаче заявления в электронном виде вам не придется предоставлять в центр занятости копии трудовой книжки, приказа об увольнении и справки о среднемесячном заработке с последнего места работы, а перерегистрация будет происходить автоматически.
При пользовании гостевым компьютером необходимо соблюдать масочно-перчаточный режим.
«Гостевой компьютер» — новый сервис службы занятости
Получить доступ к информационно-аналитической системе Общероссийская база вакансий «Работа в России», теперь можно в отделении занятости населения по городу Архангельску. В холле здания по улице Гайдара, д. 4, корп. 1 на первом этаже для посетителей оборудовано специальное рабочее место — «гостевой компьютер» — с выходом в интернет.
Он доступен для общего пользования в часы работы отделения.
С его помощью можно получить услуги службы занятости, доступные через электронный сервис «Личный кабинет» соискателя на портале «Работа в России», например, услуги по содействию в поиске подходящей работы. Для того, чтобы зарегистрироваться в качестве безработного с назначением пособия по безработице, необходимо подать заявление в личном кабинете портала «Работа в России». Если у гражданина отсутствует техническая возможность для личной онлайн-регистрации дома или он затрудняется сделать это самостоятельно, он может воспользоваться «гостевым компьютером» и обратиться за помощью к специалистам отделения для оказания ему содействия в регистрации и подаче заявления в электронном виде.
Воспользоваться этой услугой можно абсолютно бесплатно. При необходимости сотрудники Архангельского отделения занятости окажут соответствующую консультацию.
Как отметила заместитель директора Архангельского областного центра занятости населения Юлия Калашникова, одна из задач областной службы занятости на современном этапе — переход к предоставлению гражданам государственных услуг в электроном виде, что максимально упрощает их получение и повышает доступность.
— Мы стараемся постоянно совершенствовать свою работу с населением, внедрять новые формы обслуживания и предоставлять дополнительные возможности для удобства посетителей. В ближайшее время планируется установить «гостевые компьютеры» во всех отделениях занятости Архангельской области, — сообщила она.
Напоминаем, что при подаче заявления в электронном виде вам не придется предоставлять в центр занятости копии трудовой книжки, приказа об увольнении и справки о среднемесячном заработке с последнего места работы, а перерегистрация будет происходить автоматически без личной явки гражданина в службу занятости.
Настройка режима общего ПК для Windows
Windows можно настроить для работы в режиме общего ПК несколькими способами:
Управление мобильными устройствами (MDM): режим общего ПК активируется через Поставщика служб конфигурации (CSP) SharedPC. Чтобы настроить политику общих устройств для Windows клиента в Intune, выполните следующие действия:
Выберите профиль Devices > > Windows Configuration > .
Введите следующие свойства:
- Платформа. Выберите Windows 10 и более поздней.
- Профиль. Выберите устройство TemplatesShared >с несколькими пользователями.
Щелкните Создать.
В Basics введите следующие свойства:
- Имя. Введите описательное имя для нового профиля.
- Описание. Введите описание профиля. Этот параметр необязателен, но рекомендуется.
Выберите Далее.
В настройках конфигурации в зависимости от выбранной платформы параметры, которые можно настроить, отличаются. Выберите платформу для подробных параметров:
На странице Параметры конфигурации установите значение "Общий режим ПК" включено.
С этого момента вы можете настроить любые дополнительные параметры, которые вы хотите быть частью этой политики, а затем следовать остальному потоку настройки до ее завершения, выбрав Create after Step 6.
Пакет подготовка, созданный с конструктором конфигурации Windows: вы можете применить пакет подготовка при первоначальной настройке компьютера (также известного как out-of-box-experience или OOBE), или вы можете применить пакет подготовка к клиенту Windows, который уже используется. Пакет подготовки создается в конструкторе конфигураций Windows. Режим общего компьютера активируется поставщиком служб конфигурации (CSP) SharedPC. В конструкторе конфигураций Windows он отображается как SharedPC.
Мост WMI: в средах, где используется групповая политика, можно использовать поставщика MDM Bridge WMI, чтобы настроить класс MDM_SharedPC. Для всех параметров устройства клиент моста WMI должен выполняться при локальном пользователе системы; Дополнительные сведения см. в тексте Использование сценариев PowerShell с поставщиком мостов WMI. Например, откройте PowerShell от имени администратора и введите следующее:
Решение
Если вы хотите включить небезопасный гостевой доступ, можно настроить следующие параметры групповой политики:
- Откройте редактор локальной групповой политики (gpedit.msc).
- В дереве консоли выберите компьютерную конфигурацию >административных шаблонов >сетевой локальной >рабочей станции.
- Для настройки щелкните правой кнопкой мыши Включить небезопасные гостевых логотипов и выберите Изменить.
- Выберите Включено и выберите ОК.
При изменении групповой политики на основе домена Active Directory используйте управление групповой политикой (gpmc.msc).
Для целей мониторинга и инвентаризации: эта группа политика устанавливает следующее значение реестра DWORD до 1 (небезопасная включенная система безопасности гостей) или 0 (отключена незащищенная система auth для гостей):
Чтобы задать значение без использования групповой политики, задайте следующее значение реестра DWORD: 1 (включена небезопасная возможность гостевого auth) или 0 (отключена незащищенная гостевая auth):
Как обычно, параметр значения в групповой политике переопределит значение параметра реестра политик, не входящего в группу.
В Windows 10 1709 Windows 10 1803, Windows 10 1903, Windows 10 1909 и Windows Server 2019, проверка подлинности гостей отключена, если AllowInsecureGuestAuth существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth .
В Windows 10 2004 Windows 10 20H2 и Windows 10 21H1 Enterprise и образовательных выпусков с установленным KB5003173 проверка подлинности гостей отключена, если AllowInsecureGuestAuth не существует или если она существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth . Домашние и Pro по умолчанию позволяют гостевую проверку подлинности, если ее не отключить с помощью групповой политики или параметров реестра.
Включив небезопасные гостевых логотипов, этот параметр снижает безопасность Windows клиентов.
Поведение приложений
Приложения могут использовать режим общего компьютера с помощью следующих трех API:
-
. Сообщает приложениям, что компьютер настроен для совместного использования. Например, приложение может скачивать содержимое на устройство в режиме общего компьютера только по требованию или пропускать первый запуск. . Сообщает приложениям, что пользователям запрещено сохранять файлы в локальном хранилище компьютера. Вместо этого приложение должно предлагать только облачные расположения или сохранять файлы автоматически. . Сообщает приложениям, что компьютер используется в среде образовательного учреждения. Приложения могут обрабатывать диагностические данные по-разному или скрывать функции рекламы.
Применение пакета подготовки
Пакет подготовки можно применить к ПК во время начальной настройки или к уже настроенному ПК.
Во время начальной настройки
Начните с компьютера на экране настройки.
Вставьте USB-накопитель. Если при этом ничего не происходит, нажмите клавишу Windows пять раз.
Если на USB-накопителе есть только один пакет подготовки, то этот пакет применяется.
Завершите процесс настройки.
После настройки
На настольном компьютере перейдите в раздел Параметры > Учетные записи > Рабочий доступ > Добавление или удаление пакета управления > Добавить пакет и выберите пакет для установки.
В случае использования файла установки на уже настроенном компьютере существующие учетные записи и данные могут быть потеряны.
Ответы (9)
Как Вы узнали, что гостевая стала администратором? Каким способом Вы пытаетесь её отключить?
Чтобы сделать свою Администратором надо выполнить команду:
net localgroup Администраторы ИМЯ_ЗАПИСИ /add
Чтобы отключить Гостя нужно выполнить:
net user Гость /active:no
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
2 польз. нашли этот ответ полезным
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Сама по себе стала? Или Вы меняли что-нибудь?
Если сама по себе, то это, вероятно, воздействие банковского трояна Zeus.
Переустановите систему полностью, не взирая на все неудобства, связанные с переустановкой. Поменяйте все учётные данные в ваших аккаунтах и платёжных системах (пароли, PIN-коды и прочее). Вы можете заблокировать свою банковскую карту, которую использовали для платежей в Интернете, по телефону банка, чтобы избежать снятия средств.
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
2 польз. нашли этот ответ полезным
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
"Гостевая запись стала администратором" - вот это поясните.
А лучше всё по порядку, что там у Вас произошло, и какие учётные записи теперь есть.
Если Вы для манипуляций с правами использовали не только обычные средства, но и сторонние программы (оптимизаторы, улучшайзеры, клинеры и прочее), то систему нужно переустановить. Мы не знаем, как эти сторонние программы работают, и что они меняют в системе. Оставлять иерархию прав доступа в рассогласованном состоянии нельзя.
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
2 польз. нашли этот ответ полезным
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Добрый день! Ребенок лазил в компьютере после чего при загрузке появилось две иконки одна это уч запись с которой я захожу в магазин и вторая это гость. когда закожу на свою иконку требует пароль, на гостевую без пароля. в панеле управления две учетных записи. Гость локальная Администратор. и моя личная зашищенная паролем. Гостевую учетную запись отключить не могу (пробовала через командную строку, в настройках уч записей, через управление компьютера (у меня нет вкладки локальная сеть и пользователи)). Если устанавливаю какую-нибудь программу например модем выскакивает окошко администратора справивает разрешение внести изменения с паролем. Нажимаю просто да и спокойно устанавливаю программу. Пробовала создать другую учетную запись пишет в доступе отказано. Восстановить систему тоже не могу какую точку доступа не выбираю выдает ошибку типа точка доступа отсутствует или повреждена. Кстати пробовала сбросить пароль гостевой учетной записи через F8 ( чтобы использовать встроенную уч запись) кнопка вообще оказалась не активна((. Через ctrl alt delet тоже не смогла. Нет доспупа. что же мне делать??
Оскорбление — это любое поведение, которое беспокоит или расстраивает человека или группу лиц. К угрозам относятся любые угрозы самоубийством, насилием, нанесением ущерба и др. Любое содержимое для взрослых или недопустимое на веб-сайте сообщества. Любое изображение, обсуждение наготы или ссылка на подобные материалы. Оскорбительное, грубое или вульгарное поведение и другие проявления неуважения. Любое поведение, нарушающее лицензионные соглашения, в том числе предоставление ключей продуктов или ссылок на пиратское ПО. Незатребованная массовая рассылка или реклама. Любые ссылки или пропаганда сайтов с вирусным, шпионским, вредоносным или фишинговым ПО. Любое другое неуместное содержимое или поведение в соответствии с правилами использования и кодексом поведения. Любое изображение, ссылка или обсуждение, связанные с детской порнографией, детской наготой или другими вариантами оскорбления или эксплуатации детей.
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Настраивать правильно компьютер.
Ребёнок, если Вы хотите иметь хоть какой-то контроль над его действиями, не должен иметь прав администратора. Иначе администратором будет он, а не Вы. Дети, в силу некоторых особенностей, осваивают эту технику быстрее родителей.
"Гость" - встроенная учётная запись, не требует пароля для входа и имеет очень ограниченные права.
"Администратор" - встроенная учётная запись, имеет большие полномочия. В Windows 8.1 отключена по умолчанию.
Пользовательская учётная запись со стандартными правами - из этой записи Вы можете устанавливать только некоторые программы и читать и изменять данные, которые доступны для этого пользователя и для всех остальных.
У ребёнка должна быть учётная запись со стандартными правами и он не должен знать пароль администратора ни при каких условиях. Если настроен вход без пароля в учётную запись с правами администратора, а эта запись не единственная, то всё разделение бессмысленно. Некоторые игры требуют знание пароля администратора для своей работы. Выкиньте их с компьютера или купите ребёнку отдельное устройство для игр.
Похоже, что у Вас стандартная учётная запись. Теперь узнавайте у ребёнка пароль администратора (вероятно, он изменил его) или попытайтесь зайти через запись "администратор". После того как Вы сможете получить доступ к административным действиям, создайте ребёнку отдельную учётную запись со стандартными правами.
Себе можете создать запись с административными правами. Однако постоянная работа с повышенными правами не рекомендуется. Ещё лучше иметь 2 учётных записи для себя: одна со стандартными правами для повседневной работы и с повышенными правами для установки новых программ.
Все три учётные записи должны иметь разные пароли. Пароль администратора должен быть достаточно сложным, чтобы нельзя было его подобрать.
Встроенная учётная запись "администратор" используется только для восстановления и её рекомендуется отключить в Windows 8.1 у ней тоже должен быть свой пароль (4-й), если она не отключена.
В этой статье описываются сведения Windows отключения гостевого доступа в SMB2 и SMB3 по умолчанию, а также параметров, позволяющих включить небезопасные гостевых логотипы в групповой политике. Однако это, как правило, не рекомендуется.
Применяется к: Windows 10 — все выпуски, Windows Server 2019
Исходный номер КБ: 4046019
Запись журнала 1
Рекомендации
Это событие указывает на то, что сервер пытался войти в систему пользователя в качестве недостоверного гостя, но ему было отказано. Гостевых логотипов не поддерживают стандартные функции безопасности, такие как подписание и шифрование. Таким образом, гостевых логотипов уязвимы для атак человека в середине, которые могут подвергать конфиденциальные данные в сети. Windows отключает небезопасные (несекреационные) гостевых логотипов по умолчанию. Рекомендуется не включить небезопасные гостевых логотипы.
Симптомы
Начиная с Windows 10 версии 1709 и Windows Server 2019 клиенты SMB2 и SMB3 больше не позволяют следующие действия по умолчанию:
- Доступ учетной записи гостей к удаленному серверу.
- Возвращайся к учетной записи Гостевой после того, как будут предоставлены недействительные учетные данные.
В SMB2 и SMB3 в этих версиях Windows:
- Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленной совместной информации с помощью учетных данных гостей по умолчанию, даже если удаленный сервер запрашивает учетные данные гостей.
- Windows Выпуски Datacenter 2019 и Standard больше не позволяют пользователю подключаться к удаленной акции с помощью учетных данных гостей по умолчанию, даже если удаленный сервер запрашивает учетные данные гостей.
- Windows 10 Домашняя и Pro не изменились по сравнению с предыдущим поведением по умолчанию; они позволяют гостевую проверку подлинности по умолчанию.
Такое Windows 10 происходит в Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, а также Windows 10 2004, Windows 10 20H2, & Windows 10 21H1 до тех пор, пока Установлен KB5003173. Это поведение по умолчанию ранее было реализовано в Windows 10 1709 г., но позднее регрессивно в Windows 10 2004 г., Windows 10 20H2 и Windows 10 21H1, в котором по умолчанию гостевой auth не был отключен, но все равно может быть отключен администратором. Сведения о том, как отключить проверку подлинности гостей, см. ниже.
Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют недостоверный гостевой доступ. Эти политики помогают защитить компьютер от небезопасных или вредоносных устройств в сети.
Кроме того, если удаленный сервер пытается заставить вас использовать гостевой доступ, или если администратор включает гостевой доступ, в журнал событий SMB Client в журнале событий SMB-клиента в журнале регистрируются следующие записи:
Настройка
Режим общего ПК предоставляет набор настроек для адаптации поведения к имеющимся требованиям. Эти настройки — это параметры, которые вы задате с помощью MDM или пакета предварительного обеспечения, как это объясняется в настройке режима общего ПК для Windows. Соответствующие параметры представлены в следующей таблице.
Если указать параметр гостя, на экране входа также появится вариант Гость, предоставляющий возможность анонимного гостевого входа на компьютере.
- Удалить при достижении порогового значения дискового пространства — удаление учетных записей начнется, когда объем доступного дискового пространства станет меньше порогового значения, заданного с помощью параметра DiskLevelDeletion, и завершится, когда этот объем достигнет значения, заданного с помощью параметра DiskLevelCaching. В первую очередь удаляются учетные записи, которые не использовались дольше всего.
Дополнительная информация
Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и откат гостей.
SMB1 неустановлен по умолчанию в последних конфигурациях Windows 10 и Windows Server. Дополнительные сведения см. в рубрике SMBv1 не установлен по умолчанию в Windows 10 версии 1709, Windows Server версии 1709и более поздних версиях .
Windows клиент имеет общий режим ПК, который оптимизирует Windows для общих сценариев использования, таких как пространства для прикосновения в корпоративном предприятии и временное использование клиента в розничной торговле. Вы можете применить общий режим ПК для Windows клиентских Pro, Pro образования, образования и Enterprise.
Если вы заинтересованы в использовании Windows для общих компьютеров в школе, см. в приложении Use Настройка учебных компьютеров, которое предоставляет простой способ настройки компьютеров с общим режимом ПК плюс дополнительные параметры, определенные для образования.
Политики, заданные для режима общего ПК
Режим общего ПК предполагает настройку локальных групповых политик для настройки устройства. Некоторые из них можно изменять с помощью параметров режима общего ПК.
Задавать дополнительные политики для компьютеров, настроенных для режима общего ПК, не рекомендуется. Режим общего ПК был оптимизирован и обеспечивает скорость и надежность в течение длительного времени с минимальной потребностью в обслуживании вручную или без такой потребности.
Причина
Это изменение в поведении по умолчанию по умолчанию по проекту и рекомендуется Корпорацией Майкрософт для обеспечения безопасности.
Вредоносный компьютер, который выдает себя за законный файл-сервер, может позволить пользователям подключаться в качестве гостей без их ведома. Рекомендуется не изменять этот параметр по умолчанию. Если удаленное устройство настроено на использование учетных данных гостей, администратор должен отключить гостевой доступ к этому удаленному устройству и настроить правильную проверку подлинности и авторизацию.
Windows и Windows Server не включили гостевой доступ и не разрешили удаленным пользователям подключаться в качестве гостей или анонимных пользователей с 2000 г. Windows 2000 г. Только сторонним удаленным устройствам может потребоваться гостевой доступ по умолчанию. Операционные системы, предоставляемые Корпорацией Майкрософт, не работают.
Обслуживание и спящий режим
Режим общего ПК можно настроить так, чтобы использовать периоды обслуживания, которое проводится, пока компьютер не используется. Поэтому рекомендуется спать, чтобы компьютер мог проснуться, если он не используется для выполнения обслуживания, очистки учетных записей и выполнения Windows update. Рекомендуемые параметры можно задать, выбрав Настройка политик электропитания в списке настроек режима общего ПК. Кроме того, на устройствах без сигналов пробуждения ACPI в режиме общего ПК всегда переопределяются сигналы пробуждения часов реального времени (RTC), чтобы разрешить выход компьютера из спящего режима (по умолчанию сигналы пробуждения RTC отключены). Это обеспечивает использование периодов обслуживания максимальным спектром оборудования.
Несмотря на то, что режим общего ПК не предусматривает непосредственную настройку Центра обновления Windows, настоятельно рекомендуется настроить его для автоматической установки обновлений и, при необходимости, перезагрузки в часы обслуживания. В этом случае операционная система на компьютере всегда будет в актуальном состоянии, и пользователям не потребуется прерывать работу для установки обновлений.
Настроить Центр обновления Windows можно одним из следующих способов:
- Групповая политика: в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Настройка автоматического обновления выберите значение 4 и установите флажок Установить во время автоматического обслуживания.
- MDM: в Обновление/AllowAutoUpdate установите значение 4 .
- Подготовка: в конструкторе образов и конфигураций Windows (ICD) в меню Политики/Обновление/AllowAutoUpdate установите значение 4 .
Модели учетных записей
Предполагается, что общие компьютеры присоединяются к домену Active Directory или Azure Active Directory пользователем, обладающим правами для присоединения к домену, в рамках процесса установки. Таким образом, любой пользователь из каталога может выполнить вход на компьютере. Если используется Azure Active Directory Premium, вы можете настроить вход с правами администратора для любого пользователя домена. Кроме того, в режиме общего компьютера можно активировать на экране входа в систему вариант Гость. В этом случае не требуются ни учетные данные пользователя, ни проверка подлинности, а при каждом использовании создается новая локальная учетная запись. Windows клиент имеет учетную запись режима киоска. Вы можете настроить режим общего компьютера, чтобы включить команду Терминал на экране входа. Для ее использования не требуются ни учетные данные, ни проверка подлинности, При этом каждый раз создается новая локальная учетная запись для запуска указанного приложения в режиме назначенного доступа (терминала).
Рекомендации для учетных записей на компьютерах, работающих в режиме общего ПК
Для повышения надежности и безопасности компьютера не рекомендуется создавать на нем учетные записи локальных администраторов.
Если компьютер настроен в режиме общего ПК с политикой удаления по умолчанию, учетные записи автоматически кэшируются до тех пор, пока места на диске не станет недостаточно. Затем учетные записи удаляются для освобождения места на диске. Эта операция управления учетной записью выполняется автоматически. Таким образом осуществляется управление учетными записями доменов Azure AD и Active Directory. Все учетные записи, созданные через гостевой и киоск , будут удалены автоматически при выходе из нее.
На компьютере с Windows, присоединенном к Azure Active Directory:
- На ПК с учетной записью, присоединенном к Azure AD, будет настроена учетная запись администратора. Глобальные администраторы домена Azure AD также будут иметь учетные записи администратора на ПК.
- В Azure AD Premium можно определить, какие учетные записи будут иметь соответствующие учетные записи администратора на ПК, с помощью параметра Дополнительные администраторы на устройствах, присоединенных к Azure AD, доступного на портале Azure.
Локальные учетные записи, уже существующие на компьютере, при включении режима общего ПК не будут удалены. Новые локальные учетные записи, созданные путем выбора Параметры > Учетные записи > Другие пользователи > Добавить пользователя для этого компьютера, после включения режима общего ПК не удаляются. Однако все новые учетные записи гостей, созданные вариантами Гостевой и Киоск на экране входа (если включено), будут автоматически удалены при входе.**** **** Чтобы установить общую политику для всех локальных учетных записей, можно настроить следующий локальный параметр групповой политики: Профили Computer ConfigurationAdministrative > TemplatesSystemUser > > : Удаление профилей пользователей старше указанного числа дней на перезапуске системы.****
Если на компьютере необходимы учетные записи администраторов
- Убедитесь, что компьютер присоединен к домену с возможностью входа в учетные записи в качестве администратора, или
- Создайте учетные записи администратора до настройки режима общего ПК, или
- Создайте учетные записи-исключения перед выходом из системы, при включении режима общего ПК.
Служба управления учетными записями поддерживает учетные записи, на которые не распространяется удаление.
Учетная запись может быть помечена как удаленная, добавив в ключ реестра sid учетной записи: HKEY_LOCAL_MACHINE\SOFTARE\Microsoft\Windows\CurrentVersion\SharedPC\Exemptions\ .
Добавление SID учетной записи в раздел реестра с помощью PowerShell:
Управление учетными записями
Если в режиме общего компьютера включена служба управления учетными записями, учетные записи будут автоматически удаляться. Удаляются учетные записи Active Directory, Azure Active Directory и локальные учетные записи, созданные с помощью команд Гость и Терминал. Управление учетными записями осуществляется при выходе из системы (чтобы обеспечить достаточное свободное пространство на диске для следующего пользователя), а также в период обслуживания системы. Режим общего компьютера можно настроить так, чтобы учетные записи удалялись сразу при выходе из системы или когда на диске недостаточно свободного места. В Windows клиент добавляется неактивный параметр, который удаляет учетные записи, если они не вписались после указанного количества дней.
Запись журнала 2
Значение реестра по умолчанию:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Настроено значение реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1
Рекомендации
Это событие указывает на то, что администратор включил небезопасные гостевых логотипов. Ненадежный гостевых логотип возникает, когда сервер входит в систему пользователя в качестве недостоверного гостя. Обычно это происходит в ответ на сбой проверки подлинности. Гостевых логотипов не поддерживают стандартные функции безопасности, такие как подписание и шифрование. Таким образом, разрешение гостевых логонов делает клиента уязвимым для атак человека в центре, которые могут подвергать конфиденциальные данные в сети. Windows отключает небезопасные гостевых логотипов по умолчанию. Рекомендуется не включить небезопасные гостевых логотипы.
Читайте также: