Používanie toho istého používateľa s oprávneniami správcu pre všetko je jednou z najčastejšie bezpečnostné chyby V systéme Windows, či už doma alebo v profesionálnom prostredí, je oddelenie vášho bežného pracovného účtu od účtov s vysokými oprávneniami a dôkladné pochopenie interných systémových účtov kľúčom k zníženiu rizík, ochrane súkromia a obmedzeniu škodlivého softvéru.
V tomto článku krok za krokom uvidíte, ako Vytvárajte a spravujte zabezpečené lokálne účty pre každodenné použitieAké typy účtov existujú v systéme Windows (vrátane skrytých systémových účtov), ako ich nakonfigurovať v systémoch Windows 10 a Windows 11, čo sa zmenilo v posledných verziách a aké zásady a osvedčené postupy by ste mali uplatňovať, ak spravujete viacero počítačov alebo celú učebňu.
Čo presne je lokálny účet v systéme Windows a prečo je užitočné ho používať?
Vo Windowse sa môžete prihlásiť pomocou Účet Microsoft alebo s lokálnym účtomÚčet Microsoft je prepojený s e-mailovou adresou (Outlook, Hotmail, Live atď.) a integruje sa s OneDrive, Microsoft Store, synchronizáciou nastavení, Xboxom, Office a ďalšími cloudovými službami. To všetko je skvelé, ale znamená to aj väčšiu expozíciu údajov a závislosť od vašej online identity.
Lokálny účet je na druhej strane účet, ktorý Existuje iba na danom zariadeníPoužívateľ má svoj priečinok profilu, dokumenty, obrázky, plochu atď., ale nastavenia a súbory nie sú synchronizované s cloudom spoločnosti Microsoft. Tento prístup ponúka... väčšia miera súkromia a znižuje plochu útoku v scenároch, kde nepotrebujete alebo nechcete integráciu s online službami spoločnosti.
V prostrediach s viacerými používateľmi zdieľajúcimi počítač (veľká rodina, kancelária, učebňa, laboratórium alebo malá firma) vytváranie samostatných lokálnych profilov zabraňuje Niektorí si prezerajú údaje iných ľudíIzoluje nastavenia, históriu prehliadača a nainštalované aplikácie pre každého používateľa, čím zjednodušuje dodržiavanie zásad ochrany údajov.
Systémy Windows 8, 10 a 11 stále umožňujú lokálne účty rovnako ako v predchádzajúcich verziách, aj keď sa vás systém snaží nútiť ich používať. Spoločnosť Microsoft zodpovedá za všetkoMedzi účtom Microsoft a lokálnym účtom môžete kedykoľvek prepínať bez straty údajov, ak to urobíte správne.
Lokálne používateľské a systémové účty: aké typy existujú a na čo sa používajú
Systém Windows automaticky vytvorí sériu predvolené lokálne účty Pri inštalácii systému sú niektoré špecifické pre používateľa a iné sú špecifické pre systém, používané interne samotným systémom Windows a určitými službami. Nesprávajú sa rovnako ani nemajú rovnaké povolenia, preto je dôležité im porozumieť, aby ste predišli poškodeniu systému alebo zanechaniu zraniteľností.
Predvolené lokálne používateľské účty
Predvolené lokálne používateľské účty sú vstavané účty, ktoré systém generované počas inštalácieNedajú sa odstrániť, hoci v niektorých prípadoch sa dajú premenovať alebo zakázať. Všetky sa nachádzajú v počítači a majú práva iba nad daným zariadením bez automatického prístupu k sieťovým zdrojom.
Na zobrazenie a správu týchto účtov môžete v edíciách Pro a vyšších použiť konzolu. Správa zariadení > Lokálni používatelia a skupiny > PoužívateliaOdtiaľ môžete vytvárať vlastných používateľov, meniť heslá, deaktivovať účty atď. V domácich edíciách sa mnohé z týchto úloh vykonávajú z aplikácie Nastavenia alebo pomocou príkazov.
Účet správcu
Vstavaný lokálny administrátorský účet je ten, ktorý má úplná kontrola nad tímomVaše SID končí na 500 Je to prvý účet, ktorý sa vygeneruje počas inštalácie systému Windows, hoci v moderných verziách je zvyčajne zakázaný a pre hlavného používateľa sa vytvorí ďalší účet s oprávneniami správcu.
S týmto účtom môžete upraviť akýkoľvek súbor, službu, povolenie alebo nastavenieTo im umožňuje prevziať kontrolu nad zdrojmi, meniť používateľské práva a prideľovať privilégiá. Práve z tohto dôvodu je to veľmi atraktívny účet pre útočníkov a malware a jeho existencia je dobre známa prakticky vo všetkých verziách systému Windows.
Z bezpečnostných dôvodov nemôžete odstrániť účet správcu, ale môžete premenujte ho alebo ho zakážteSpoločnosť Microsoft odporúča nepoužívať tento účet na bežné prihlasovanie a čo najviac obmedziť počet účtov patriacich do skupiny Administrators. Dobrým postupom je vždy pracovať so štandardným účtom a zvýšené oprávnenia (Spustiť ako správca a Kontrola používateľských kont) používať iba v prípade potreby.
Hosťovský účet
Hosťovský účet je určený pre používateľov príležitostné alebo jednorazové použitie Potrebujú rýchly prístup k počítaču bez toho, aby si museli vytvárať vlastný účet. Jeho SID končí na 501, má veľmi obmedzené povolenia a je zámerne určený na dočasné relácie bez rozsiahleho prispôsobenia.
Predvolene je k dispozícii hosťovský účet zakázané a bez heslaToto predstavuje vážne riziko, ak sa aktivuje neopatrne, pretože môže ponúknuť anonymný prístup. Je to jediný člen vstavanej skupiny Hostia (SID S-1-5-32-546), ktorý má iba práva potrebné na lokálne prihlásenie.
Ak ho z akéhokoľvek dôvodu povolíte, je vhodné ho čo najviac obmedziť a nepovoliť jeho používanie cez sieť. zabrániť im v prezeraní denníkov udalostí a často kontrolujte svoju aktivitu, aby ste zabránili jej zneužitiu niekým na neúmyselné ponechanie služieb alebo zdrojov otvorených.
Predvolený účet (DSMA)
Predvolený účet, tiež známy ako Predvolený systémom spravovaný účet (DSMA)Ide o štandardný systémom spravovaný účet, ktorý je zavedený na podporu aplikácií pre viacerých používateľov (MUMA) a určitých moderných scenárov (napr. Xbox alebo prostredia so zdieľanými reláciami).
Tento účet je zvyčajne predvolene vypnuté Na stolných počítačoch a serveroch so systémom Windows s funkčnosťou stolného počítača má známy identifikátor RID (503) a patrí do špeciálnej skupiny systémom spravovaných účtov (SID S-1-5-32-581). Samotný systém Windows ho vytvorí v Správcovi bezpečnostných účtov (SAM) pri prvom spustení počítača.
Z hľadiska oprávnení sa správa ako štandardný používateľ, ale je navrhnutý tak, aby aplikácie, ktoré musia zostať na pozadí a reagovať na zmeny v relácii používateľa, mohli... bežať v kontexte nezávislom od ľudských používateľovSpoločnosť Microsoft neodporúča meniť predvolené nastavenia, pretože by to mohlo narušiť súčasné alebo budúce bezpečnostné scenáre bez toho, aby to prinieslo akékoľvek skutočné bezpečnostné výhody.
Účet WDAGUtility
WDAGUtilityAccount je ďalší vstavaný lokálny účet, ktorý používa Ochrana aplikácií v programe Windows Defender (Windows Defender Application Guard). Jeho SID je známe (končí na 504) a predvolene nepatrí do žiadnej skupiny.
Tento účet sa používa na izoláciu prostredí prehliadania alebo vykonávania, ktoré systém chráni v kontajneroch. Za normálnych okolností by ste sa ho nemali dotýkať. Systém Windows ho automaticky povolí a nakonfiguruje. keď je to potrebné.
Účet WSIA
WSIAccount sa zobrazuje v systéme Windows 11 a je zameraný na Aktivity súvisiace s webom z uzamknutej obrazovky alebo prihlasovacej obrazovkyPoužíva sa napríklad na prístup k stránkam poskytovateľa poverení, keď chcete obnoviť heslo alebo použiť webové overenie pred úplným prihlásením.
Má známy identifikátor SID končiaci na 1001 a štandardne je súčasťou skupiny Používatelia. Opäť ide o servisný účet, ktorý Nemalo by sa používať interaktívne. ani manuálne upravovať, pokiaľ to spoločnosť Microsoft nedokumentuje pre konkrétny prípad.
Účet HelpAssistant
HelpAssistant je lokálny účet, ktorý systém Windows Povolené iba počas relácií vzdialenej pomociKeď používateľ požiada o pomoc prostredníctvom pozvánky (e-mailom, súborom atď.), systém vytvorí tento účet s obmedzenými oprávneniami, aby sa asistujúca osoba mohla pripojiť a ovládať počítač pod dohľadom.
Konto zostane deaktivované, kým nebudú k dispozícii žiadne čakajúce žiadosti o vzdialenú pomoc. Spravuje ho služba Remote Desktop Help Session Manager a je súčasťou skupín súvisiacich so vzdialenou pracovnou plochou a terminálovým serverom (napríklad skupiny s SID S-1-5-13 a S-1-5-14, ktoré zahŕňajú používateľov služieb Remote Desktop a Remote Interactive Logon).
V systéme Windows Server nie je služba Vzdialená pomoc predvolene nainštalovaná a je voliteľná súčasťÚčet HelpAssistant sa v skutočnosti nepoužije, kým nie je nainštalovaný a používaný.
Lokálne systémové účty: SYSTÉM, Lokálna služba a Sieťová služba
Okrem používateľských účtov má systém Windows niekoľko interné systémové účty ktoré nie sú určené na prihlásenie ako bežný používateľ, ale na umožnenie fungovania systému a jeho služieb.
Najsilnejším je účet SYSTEM (SID S-1-5-18). Používa ho jadro operačného systému a početné služby, ktoré vyžadujú maximálne povolenia, vrátane inštalačných úloh. Nezobrazuje sa v Správcovi používateľov ani ho nemožno pridať do skupín, ale uvidíte ho v zoznamoch povolení NTFS, kde zvyčajne plná kontrola nad všetkými súbormi lokálnych objemov.
účet Miestna služba (MIESTNA SLUŽBA, SID S-1-5-19) Je navrhnutý tak, aby spúšťal služby s minimálnymi oprávneniami na počítači a anonymnými prihlasovacími údajmi v sieti. Týmto spôsobom, ak je služba používajúca tento účet napadnutá, má útočník menej priestoru na manévrovanie.
Medzitým, účet Sieťová služba (SIEŤOVÁ SLUŽBA, SID S-1-5-20) Spúšťa služby, ktoré pri komunikácii s inými vzdialenými servermi potrebujú používať vlastné prihlasovacie údaje počítača. Služba sa teda v sieti prezentuje ako počítač, nie ako bežný používateľ, ale lokálne si zachováva relatívne obmedzené privilégiá.
Vytvorte si zabezpečené lokálne účty pre každodenné použitie v systémoch Windows 10 a Windows 11
Okrem integrovaných účtov je bežnou praxou vytvárať štandardní miestni používatelia Na každodenné používanie môžete mať jeden alebo viacero administrátorských účtov, ktoré sa používajú iba vtedy, keď potrebujete nainštalovať softvér, upraviť globálne nastavenia alebo vykonať údržbu. Systém Windows ponúka niekoľko spôsobov, ako tieto účty vytvoriť, v závislosti od toho, či uprednostňujete grafické rozhranie alebo príkazový riadok.
Vytvoriť z aplikácie Nastavenia
V systémoch Windows 10 a 11 je pre väčšinu používateľov najprívetivejšia cesta cez aplikáciu Nastavenia > ÚčtyOdtiaľ môžete vytvárať lokálne účty aj účty založené na Microsoft ID a neskôr meniť ich typ (štandardný používateľ alebo správca).
Typický postup je: prejdite na Účty, zadajte Rodina a ďalší používatelia (vo Windowse 10) alebo na Ostatní používatelia (vo Windowse 11) kliknite na Pridať účet a keď systém požiada o e-mail alebo telefónne číslo, vyberte požadovanú možnosť Žiadne časové údaje o inicializácii seskupenia osôbV ďalšom kroku namiesto otvorenia nového e-mailu od spoločnosti Microsoft vyberte možnosť Pridať používateľa bez konta Microsoft.
Odtiaľ už len stačí uviesť užívateľské meno a hesloPre bezpečnosť zopakujte svoje heslo a nastavte tri bezpečnostné otázky. reakcie na zotavenieHeslo je možné nechať prázdne, ale v takmer každej reálnej situácii je to zlý nápad. Po vytvorení sa účet zobrazí v sekcii ostatní používatelia a v prípade potreby môžete jeho typ zmeniť na Správca.
Vytvorenie účtu člena rodiny (s účtom Microsoft)
Ak chcete vytvoriť účty pre maloletých alebo používateľov, na ktorých sa chcete obrátiť rodičovská kontrola a pravidlá pre čas používania obrazovkyMôžete použiť možnosť Rodina. V tomto prípade je potrebný účet Microsoft, pretože kontrola je centralizovaná prostredníctvom služby Bezpečnosť rodiny.
Používateľ s oprávneniami správcu, ktorý je prihlásený pomocou Microsoft ID, môže prejsť do časti Účty > Rodina, pridať člena a určiť, či bude Organizátor alebo člen a prepojte svoju e-mailovú adresu (alebo vytvorte novú pre dieťa). Všetky následné nastavenia (filtre, limity, hlásenia) sa spravujú neskôr prostredníctvom webovej stránky Bezpečnosť rodiny spoločnosti Microsoft.
Vytvorenie zo Správy zariadení
V technicky zdatnejších prostrediach je riadenie tímov veľmi pohodlným nástrojom pre rýchlo vytvoriť viacerých lokálnych používateľov, najmä vo Windows Pro alebo Enterprise.
V kontextovej ponuke tlačidla Štart otvorte Správa počítača, rozbaľte položky Lokálni používatelia a skupiny > Používatelia a pomocou možnosti Nový užívateľTáto sekcia definuje používateľské meno, voliteľné celé meno, popis a heslo. Môžete vyžadovať zmenu hesla pri prvom prihlásení, zabrániť používateľom v zmene hesla alebo nastaviť heslo tak, aby nikdy nevypršalo.
Po kliknutí na tlačidlo Vytvoriť zostane okno otvorené pre prípad, že by ste potrebovali vytvoriť viacerých používateľov za sebou, čo je veľmi užitočné v učebniach alebo laboratóriách s mnohými študentmi. Táto metóda vytvára iba lokálnych používateľov, nie kontá Microsoft, a z vlastností každého používateľa môžete priradiť členstvo v skupine (napríklad Používatelia alebo Správcovia).
Vytvorené pomocou Netplwiz
Netplwiz je klasický nástroj pre Windows. spravovať účty a možnosti prihláseniaSpúšťa sa z ponuky Spustiť zadaním príkazu netplwiz a umožňuje pridávať účty, meniť heslá a konfigurovať, či musí používateľ pri prihlasovaní zadať heslo.
Na karte Používatelia kliknite na položku Pridať a sprievodca ponúkne vytvorenie účtu Microsoft alebo, ak je vybratá príslušná možnosť, lokálny účet bez MicrosoftuAj keď je to trochu skryté, postup je podobný ako v aplikácii Nastavenia: meno, heslo a prípadne členstvo v skupine.
Vytvorenie z konzoly: používateľ siete a PowerShell
Pri riadení viacerých tímov alebo práci v núdzovom režime je konzola vaším spojencom. S klasickým príkazom net user Používateľa môžete vytvoriť jedným riadkom, napríklad:
operátor sieťového používateľa SecurePassword123! /add
Ak neskôr chcete, aby tento účet patril do konkrétnej skupiny, môžete použiť:
Operátor /add pre správcov lokálnej skupiny v sieti net Priradiť oprávnenia správcu alebo ho pridať do skupiny Používatelia, ak má byť iba štandardný používateľ. Táto metóda je ideálna pre skripty a automatizované nasadenia.
V PowerShelle, cmdlet New-LocalUser Umožňuje väčšiu kontrolu a modernú syntax. Môžete si vytvoriť účet a definovať bezpečné heslo prevedené na SecureString a potom ho použiť. Pridať člena lokálnej skupiny pridajte ho do príslušnej skupiny. Toto je obzvlášť užitočné pre správcov systému v kombinácii s automatizačnými nástrojmi alebo modulom Microsoft.PowerShell.LocalAccounts.
Nedávne zmeny v systéme Windows 11: OOBE, príkazy a vytváranie lokálnych účtov
V novších verziách systému Windows 11, najmä od zostavy 24H2 a ďalej, spoločnosť Microsoft zatváranie „neoficiálnych“ trás obísť požiadavku na použitie konta Microsoft počas úvodnej inštalácie.
Známy trik OOBE\BYPASSNOFunkcia, ktorá donedávna umožňovala vynútiť si možnosť lokálneho účtu v sprievodcovi Out-of-Box Experience (OOBE), prestala fungovať. Pri pokuse o jej použitie v režime 24H2 systém jednoducho reštartuje sprievodcu a vráti vás na rovnakú obrazovku bez toho, aby ponúkal skratku lokálneho účtu ako predtým.
Stále však existujú účinné alternatívy. Jednou z najčistejších je použiť na obrazovke nasledujúci text, ktorý označuje, že je potrebné internetové pripojenie: Shift+F10 pre otvorenie konzoly a spustiť interný príkaz ako OOBE: spustenie ms-cxh:localonlyvďaka čomu asistent zobrazí cestu k vytvoreniu lokálneho účtu bez toho, aby ju priradil k e-mailu.
Ďalšou klasickou možnosťou je Inštalácia systému Windows offlinePomôcť môže aj odpojenie sieťového kábla alebo vypnutie Wi-Fi pred spustením alebo počas sprievodcu nastavením. V mnohých zostavách, ak počítač nerozpozná internetové pripojenie, automaticky ponúkne možnosť vytvorenia lokálneho účtu ako súčasť úvodného procesu nastavenia bez nutnosti akýchkoľvek ďalších krokov.
Nakoniec, vždy existuje možnosť Nainštalujte si účet Microsoft a potom si vytvorte lokálny účet V Nastaveniach alebo konzole presuňte svoje denné používanie do daného účtu a v prípade potreby preveďte účet Microsoft na lokálny účet v časti Účty > Vaše informácie > Prihlásiť sa pomocou lokálneho účtu. Je to trochu zložitejšie, ale plne podporované a stabilné.
Bezpečnosť a osvedčené postupy pri každodennom používaní lokálnych účtov
Mať veľa účtov je zbytočné, ak sú laxné. Aby lokálne účty skutočne poskytovali bezpečnosť, je potrebné ich skombinovať. osvedčené postupy používania so správnou konfiguráciou UAC, povolení a skupinových politík, najmä v podnikových prostrediach.
Používajte štandardný účet na každodenné použitie
Všeobecné odporúčanie od spoločnosti Microsoft a všetkých bezpečnostných expertov je jasné: používajte Štandardný účet pre každodenné úlohy (prehliadanie, e-mail, kancelárske aplikácie, hry atď.) a rezervovať účty s oprávneniami správcu iba pre tie akcie, ktoré ich skutočne vyžadujú, a vždy, keď je to možné, ich aktivovať viacfaktorová autentifikácia.
El Kontrola používateľských účtov (UAC) Toto veľmi pomáha. Aj pri prihlásení s účtom, ktorý patrí do skupiny Administrators (Správcovia), UAC používa model „schválenia administrátorom“: používateľ funguje v štandardnom režime, kým akcia nevyžaduje zvýšenie oprávnení, v takom prípade systém zobrazí upozornenie a požiada o potvrdenie alebo poverenia.
UAC tiež ovplyvňuje správanie lokálnych účtov pri použití na vzdialený alebo sieťový prístupNapríklad pri prihlasovaní cez sieť (NET USE, zdieľané pripojenia atď.) môže systém Windows vydať štandardný používateľský token bez možnosti zvýšenia oprávnení, čím zabráni tomuto účtu v prístupe k administratívnym zdrojom, ako sú C$ alebo ADMIN$. To znižuje plochu útoku pre laterálny pohyb po krádeži poverení.
Obmedziť vzdialené používanie lokálnych účtov s administrátorskými právami
Jedným z najbežnejších útokov na siete Windows je laterálny pohyb, ktorý využíva opätovne použité hash hesiel na viacerých počítačoch. Ak má lokálny administrátorský účet rovnaké heslo na viacerých počítačoch, útočník, ktorý na jednom z nich prenikne, môže tieto prihlasovacie údaje použiť na šírenie do ostatných.
Na zmiernenie tohto rizika existuje niekoľko doplnkových stratégií. Prvou je odmietnuť prihlásenie zo siete a prihlásenie do služieb Vzdialená pracovná plocha k lokálnym účtom, ktoré sú členmi skupiny Administrators. Toto sa vykonáva prostredníctvom skupinových politík s použitím nasledujúcich politík:
- Zakázať prístup k sieti tomuto zariadeniu, nakonfigurovaný pre „Lokálny účet a člen skupiny Administrators“.
- Zamietnuť prihlásenie prostredníctvom služieb vzdialenej pracovnej plochytiež ukazuje na „Lokálny účet a člen skupiny Administrators“.
Tieto politiky sa uplatňujú v časti Konfigurácia počítača > Nastavenia systému Windows > Nastavenia zabezpečenia > Lokálne politiky > Priradenie používateľských práv a distribuujú sa prostredníctvom objektu GPO do organizačných jednotiek, ktoré obsahujú pracovné stanice a servery, ktoré chcete chrániť.
Ďalším kľúčovým opatrením je kontrola správania UAC pri vzdialenom prístupe konfiguráciou hodnoty databázy Registry LocalAccountTokenFilterPolicy V časti HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Prostredníctvom objektu GPO na základe nastavení databázy Registry je možné túto hodnotu definovať ako REG_DWORD s údajmi 0, aby sa vynútilo filtrovanie tokenov a obmedzilo zvýšenie oprávnení lokálnych účtov v sieti.
Unikátne a náhodné heslá pre privilegované lokálne účty
Opätovné použitie rovnakého hesla lokálneho správcu na všetkých počítačoch je obrovské rizikoAkýkoľvek únik tohto hesla alebo jeho hashu otvára dvere k reťazovej reakcii, ktorá môže ohroziť všetky identicky nakonfigurované počítače.
Riešenie zahŕňa vytvorenie jedinečné a náhodné heslá pre každý lokálny účet s privilégiami. To extrémne sťažuje útoky typu pass-the-hash, pretože ukradnutý hash je platný iba na počítači, kde bol získaný, nie na ostatných.
Spoločnosť Microsoft ponúka niekoľko spôsobov automatizácie tejto randomizácie. Najodporúčanejšou metódou je v súčasnosti implementácia LAPS (Local Administrator Password Solution)Tento softvér generuje a rotuje zložité heslá pre lokálne administrátorské účty a ukladá ich zašifrované v službe Active Directory, kde k nim majú prístup iba autorizovaní administrátori. Medzi ďalšie možnosti patrí získanie podnikových nástrojov od správa privilegovaných hesiel alebo vyvinúť vlastné skripty, ktoré pravidelne generujú silné heslá. Dôležité je vyhnúť sa zdieľaným statickým heslám a pokušeniu „používať to isté, aby si ho všetci zapamätali“.
Ochrana citlivých prihlasovacích údajov a procesov: LSASS a Credential Guard
Systém Windows ukladá poverenia a bezpečnostné tajomstvá počas procesu LSASS (služba subsystému miestneho bezpečnostného úradu)ktorý riadi používateľské relácie a overovania. Ak sa útočníkovi podarí prečítať pamäť LSASS, môže extrahovať hashe hesiel a lístky Kerberos pre laterálny pohyb. Okrem toho sa odporúča Skontrolujte, či vaše prihlasovacie údaje neunikli a konať rýchlo.
Preto je na moderných pracovných staniciach a serveroch vhodné konfigurovať LSASS ako Kontrolka ochrany procesu (PPL)čím sa posilňuje jeho izolácia od nespoľahlivých procesov. Okrem toho mnohé súčasné systémy umožňujú aktiváciu Guardian Guard, ktorá využíva hardvérovú virtualizáciu na izoláciu poverení a tajomstiev, čím zároveň znižuje plochu, na ktorú môže dôjsť pri krádeži hashov.
Tieto opatrenia spolu s vhodnou segmentáciou lokálnych účtov, používaním jedinečných hesiel a obmedzením vzdialeného prihlásenia vedú k prostrediu, ktoré je oveľa odolnejšie voči eskalácii a útokom typu laterálny presun.
Pokročilá správa lokálnych účtov a vzdialená administrácia
Na radičoch domény sa doménové účty spravujú prostredníctvom služby Active Directory a bežných nástrojov, ale je možné použiť aj Miestni používatelia a skupiny spravovať účty na vzdialených počítačoch, ktoré nie sú radičmi domény, za predpokladu, že sieť a politiky umožňujú vzdialenú správu.
Okrem grafického rozhrania majú administrátori k dispozícii klasické nástroje, ako napríklad Používateľ NET.EXE a lokálna skupina NET.EXE na správu lokálnych používateľov a skupín pomocou skriptov a modul Microsoft.PowerShell.LocalAccounts na automatizáciu vytvárania, úpravy a odstraňovania účtov pomocou PowerShellu.
Správne priradiť používateľské práva a prístupové oprávnenia Je to tiež základné. Práva (ako napríklad zálohovanie súborov, vypínanie počítača, lokálne alebo sieťové prihlásenie) sú definované v lokálnych alebo doménových bezpečnostných politikách, zatiaľ čo povolenia sa vzťahujú na konkrétne objekty (súbory, priečinky, tlačiarne) prostredníctvom ACL.
Na radičoch domény nemožno Lokálni používatelia a skupiny použiť na správu lokálnych účtov na samotnom radiči, ale možno ich použiť na smerovanie správy do vzdialených členských počítačov. Toto oddelenie pomáha zachovať dobre definované zabezpečenie domény oproti lokálnym účtom každého počítača.
Dôkladné pochopenie integrovaných účtov, používanie štandardných lokálnych účtov pre každodenné operácie, prísne obmedzovanie administrátorských účtov, presadzovanie politík obmedzenia vzdialeného prihlásenia, ochrana LSASS a zabezpečenie jedinečných hesiel tvoria základ pre... lokálne účty sú bezpečným a spoľahlivým nástrojom doma aj v obchodných sieťach, učebniach alebo laboratóriách, kde mnoho používateľov zdieľa vybavenie, ale nemali by zdieľať riziká ani údaje.
