Правильный способ создания неинтерактивных учетных записей?

Question

Чтобы использовать защищенный паролем обмен файлами в основной домашней сети, я хочу создать несколько неинтерактивных учетных записей пользователей на компьютере с Windows 8 Pro в дополнение к существующему набору интерактивных учетных записей. Пользователи, соответствующие этим дополнительным учетным записям, не будут использовать этот компьютер в интерактивном режиме, поэтому я не хочу, чтобы их учетные записи были доступны для входа в систему, и я не хочу, чтобы их имена отображались на экране приветствия.

В более старых версиях Windows Pro (до Windows 7) я делал это, сначала создавая учетные записи в качестве членов группы "Пользователи", а затем включая их в список "Запретить локальный вход в систему" в параметрах локальной политики безопасности. Это всегда имело желаемый эффект. Однако мой вопрос заключается в том, является ли это правильным / лучшим способом сделать это.

Причина, по которой я спрашиваю, заключается в том, что хотя этот метод работает и в Windows 8 Pro, он имеет одну небольшую причуду: интерактивные пользователи из группы "Пользователь" по-прежнему могут видеть эти дополнительные имена пользователей, когда переходят на экран Metro и нажмите свое имя пользователя в правом верхнем углу (то есть откройте меню «Выйти / Заблокировать»). Выпадающий список команд содержит команды "Выход" и "Блокировка", а также имена других пользователей (для функции "Переключение пользователя"). По какой-то причине в этот список входят дополнительные пользователи из списка "Запретить локальный вход в систему". Интересно отметить, что это происходит, когда текущий пользователь принадлежит к группе "Пользователи", но не происходит, когда текущий пользователь из "Администраторов".

Например, допустим, у меня есть три учетные записи на компьютере: "Администратор" (из "Администраторы", может войти в систему локально), "А" (из "Пользователи", может войти в систему локально), "B" (из "Пользователи", вход в систему запрещен локально). Когда "Администратор" вошел в систему, он может видеть только пользователя "А", указанного в его меню «Выход / Блокировка» в Metro, т.е. все работает так, как должно. Но когда пользователь "А" вошел в систему, он может видеть как "Администратор", так и пользователя "Б" в своем меню «Выход / Блокировка».

Как и ожидалось, в приведенном выше примере попытка переключиться с пользователя "A" на пользователя "B" нажатием "B" в меню не работает: Windows переходит на экран приветствия, в котором перечислены только "Администратор" и "A".

В любом случае, на первый взгляд, это ошибка на уровне интерфейса в Windows 8. Тем не менее, я задаюсь вопросом, является ли правильное выполнение настройки "Запретить локальный вход в систему" в Windows 8. Есть ли другой способ создать скрытую неинтерактивную учетную запись пользователя?

Answer 1

Вам нужен Resource Kit 2003 и эта команда:

ntrights -u "username" +r SeDenyInteractiveLogonRight

---

Объяснение прав пользователя:

SeNetworkLogonRight               Access this computer from the network 
SeInteractiveLogonRight           Log on locally 
SeBatchLogonRight                 Log on as a batch job 
SeServiceLogonRight               Log on as a service 
SeDenyNetworkLogonRight           Deny access this computer from the network 
SeDenyInteractiveLogonRight       Deny log on locally 
SeDenyBatchLogonRight             Deny log on as a batch job 
SeDenyServiceLogonRight           Deny log on as a service 
SeCreateGlobalPrivilege           Create global objects 
SeDebugPrivilege                  Debug programs 
SeDenyRemoteInteractiveLogonRight Deny log on through Terminal Services 
SeEnableDelegationPrivilege       Enable computer and user accounts to be trusted for delegation 
SeImpersonatePrivilege            Impersonate a client after authentication 
SeManageVolumePrivilege           Perform volume maintenance tasks  
SeRemoteInteractiveLogonRight     Allow log on through Terminal Services  
SeSyncAgentPrivilege              Synchronize directory service data 
SeUndockPrivilege                 Remove computer from docking station 

Добавить нового пользователя в Windows 8:

Установите Resourse Kit 2003:

Установите путь установки:

Запустить в CMD с правами администратора: отключить интерактивный вход пользователя. Информация о версии ОС.

Как рулить CMD с административными привилегиями:

Выйти:

 shutdown /l

Не входите в систему без интерактивных привилегий входа в систему - не просматривайте нового пользователя.

Включить, отключить интерактивные привилегии входа в систему. Добавить пользователя в список:

Выберите пользователя без интерактивных привилегий входа в систему:

Не войти, вернуться на экране входа.

Все работает. Удачи!

Примечание: перейдите к этому разделу реестра:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" 

AndreyT 0 DWORD - может быть скрыт, нуждается в тестировании и перезапуске.

Answer 2

Я использую аналогичную настройку (назовите меня старомодным) как OP :-). Выделенная учетная запись пользователя для обмена файлами с явным доступом к файлам и разрешениями NTFS.

Помимо добавления учетной записи в список "Запретить интерактивный вход в систему" в разделе "Назначение прав пользователя" в оснастке "Локальная безопасность", вам также необходимо удалить неинтерактивную учетную запись из всех членов группы (т. Е. Учетная запись пользователя не должна быть член любой группы вообще).Сделайте это из оснастки "Локальные пользователи и группы". Кажется, вступает в силу немедленно.

Это работает в Windows 8, 8.1 и 10.

Answer 3

Я знаю, что это работает до Windows 7, у меня нет копии Windows 8 для тестирования, но я предполагаю, что функциональность такая же.

Как правило, вы добавляете имя пользователя, которого хотите скрыть, как ключ DWORD(32) в

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \WindowNT \CurrentVersion \Winlogon \SpecialAccounts \UserList \

http://www.tech-recipes.com/rx/6222/windows-7-vista-xp-hide-user-account-from-welcome-screen-login-screen/