Встроенная учетная запись Администратора vs Учетная запись с повышенными привилегиями в ОС Windows
Сегодняшняя тема - стоит ли включать встроенную учетную запись Администратора или лучше создать новую учетную запись пользователя с повышенными привилегиями?
Статья Игоря Антоновича, сертифицированного тренера Microsoft в Учебном центре Softline.
Часто на курсах мне задают вопрос, который я постараюсь осветить в этой статье.
Стоит ли включать встроенную учетную запись Администратора или лучше создать новую учетную запись пользователя с повышенными привилегиями для того, чтобы впоследствии её использовать для локального входа в систему и устранения неисправностей ОС Windows?
Однозначного ответа на данный вопрос нет. Почему? Сейчас попытаюсь объяснить.
Один из способов является создание необходимой учетной записи с повышенными привилегиями на момент установки ОС и впоследствии использовать её. Здесь ничего сложного нет, но у этого способа есть несколько недостатков.
Один из недостатков – это что пароль такого пользователя хранится на локальном компьютере, на него не распространяется доменная политика паролей и такой пароль при желании можно попытаться подобрать. Кроме того на всех компьютерах пароль будет одинаковый или вы можете создавать разные пароли для разных компьютеров, но вам придется эти пароли хранить где-то в защищенном месте, что то же вызывает некоторые трудности. Вторым недостатком является то, что этот метод подходит только в том случае, когда вы устанавливаете или переустанавливаете ОС. А что делать с компьютерами, на которых вы пока не собираетесь переустанавливать ОС?
В таком случае можно использовать групповые политики. При помощи предпочтений групповых политик вы можете на любом доменном компьютере создать локальную учетную запись пользователя, добавить её в локальную группу Администраторы и задать пароль. Но и у этого метода то же есть недостатки. Одним из недостатков является то, что пароль сохраняется в каталоге соответствующей групповой политики в специальном XML файле и хранится на контроллерах домена в папке SYSVOL. Пароль в XML файле хранится в зашифрованном виде, но для шифрования/расшифровки пароля используется крайне нестойкий симметричный алгоритм AES 32.
Ещё одним способом является использование Live CD. При помощи этого способа можно задействовать встроенную учетную запись Администратора и задать ей новый пароль. Но у вас под рукой должен быть диск или USB носитель с Live CD. Использование Live CD иногда проблематично из за того, что CD-ROM и USB порты чаще всего на компьютерах в целях безопасности отключены. В качестве выхода из сложившейся ситуации можно использовать WDS службу, которая позволит распространять Live CD по сети. И у этой технологии есть свои минусы. Live CD чаще всего распространяется в виде iso образа, а WDS без дополнительной “мучительной” конфигурации с таким форматом образов не работает.
Для преодоления недостатков, всех выше перечисленных методик, можно использовать утилиту LAPS (Local Administrator Password Solution).
Данная утилита позволяет безопасно хранить на контролере домена пароль локального администратора для каждой рабочей станции и сервера, устанавливать длину и критерий сложности для пароля, менять пароль локального администратора, без необходимости прямого подключения к целевой системе – при этом делать это безопасно, в рамках применения групповых политик, устанавливать срок истечения времени действия пароля локального администратора и автоматически менять его.
