Ukryj konto przed ekranem logowania, ale można go używać w UAC

21

Mam więc komputer domowy z systemem Windows 7 z 2 kontami użytkowników. Jedno to standardowe konto użytkownika, a drugie konto administratora. Teraz będzie to oddane w ręce bardzo zaawansowanego technologicznie użytkownika, więc nie chcę, aby mogli oni widzieć konto administratora podczas logowania, ale chcą mieć hasło, aby uniemożliwić innym osobom korzystanie z komputera .

Moim celem jest to, że gdy użytkownik włączy komputer, zostanie wyświetlony jego login. Po zalogowaniu się na konto inne niż administrator, jeśli coś musi zostać zainstalowane, można użyć konta administratora za pomocą UAC.

Próbowałem utworzyć klucz reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserListi dodać dword nazwy konta i ustawić go na 0. Udało się ukryć konto przed ekranem logowania. A także ukrywanie go przed UAC. Nie spełnia więc drugiego wymogu, polegającego na tym, że może być uruchamiany jako administrator przez UAC.

Ponadto, ponieważ nie ustawiłem hasła administratora (pozostawiłem puste), wygląda na to, że całkowicie zablokowałem się, ponieważ runy nie akceptują pustych haseł. Nie mogę też tego cofnąć i dość skutecznie zamurowałem instalację, powodując ponowną instalację systemu operacyjnego.

To jest Windows 7 Home, więc nie ma konsoli zarządzania użytkownikami.

windows-7 login user-accounts uac tvanover
źródło

Odpowiedzi:

13

Pierwotne pytanie było inne, ale tak naprawdę już wcześniej odpowiedziałem na to pytanie. Zobacz mój post w pytaniu „ Zawsze wyświetlaj ostatni / domyślny ekran powitalny użytkownika Windows 7 ” - wyjaśnia, jak skonfigurować UAC i ukryte konta razem, abyś mógł uwierzytelnić się na koncie przez UAC, ale nie logować się do niego z ekranu powitalnego.

Zasadniczo musisz skonfigurować UAC, aby monitował użytkownika o ręczne wpisanie zarówno nazwy użytkownika, jak i hasła, umożliwiając wprowadzenie nazwy użytkownika, która jest ukryta na ekranie logowania, ale nadal włączona. Instrukcje, jak to zrobić, znajdują się w powiązanym poście.

W międzyczasie odzyskiwanie konta powinno być nadal możliwe bez pełnej ponownej instalacji. Otwórz wiersz polecenia ( cmd.exe) i wpisz runas /user:USERNAME regedit.exe, gdzie NAZWA UŻYTKOWNIKA jest nazwą konta administracyjnego. Poprosi Cię o podanie hasła tego użytkownika; wprowadź i naciśnij Enter. Spowoduje to otwarcie edytora rejestru działającego jako ten użytkownik, z którego możesz wejść i przywrócić dokonane zmiany, dodając ponownie konto do ekranu logowania.

Ponownie przeczytaj swoje pytanie i zauważyłeś, że powiedziałeś, że run-as nie zadziała. Co się stanie, gdy spróbujesz uruchomić komputer w trybie awaryjnym? Wydaje mi się, że w systemie Windows 7 Home Premium wbudowane konto administratora jest domyślnie wyłączone, ale jest włączone w trybie awaryjnym, umożliwiając zalogowanie się i dokonanie zmian. O ile nie ukryłeś wbudowanego konta oprócz konta, które założyłeś, może to działać.

Wreszcie, jeśli wszystko inne zawiedzie, możesz spróbować przywrócić system z konsoli odzyskiwania. Uruchom komputer na dysku instalacyjnym Windows 7 i wybierz opcję „napraw instalację systemu Windows” zamiast instalować. Możesz wybrać instalację, a następnie przejdzie do ekranu, na którym możesz wykonać przywracanie. Powinno to zmienić rejestr z powrotem na taki, jaki był przed wprowadzeniem zmiany, jeśli ma on wystarczająco stary punkt przywracania. Pliki nie zostaną zmodyfikowane przez przywracanie systemu, chociaż niektóre ustawienia systemowe mogą być.

nhinkle
źródło
To właściwie jest dokładnie to, czego szukałem, ale czy istnieje sposób, aby wyczyścić monit administratora oprócz edycji regedit? Mam nadzieję, że coś się zmieni w lokalnych zasadach bezpieczeństwa.
wag2639,
1
Tak, jest to jednak opcja gpedit.msc, która nie jest dostępna w systemie Windows 7 Home Premium, więc ją pominąłem, ponieważ ludzie bez Win7 Pro lub nowszego byliby zdezorientowani i nie mogliby postępować zgodnie z instrukcjami. Jeśli chcesz to zrobić w edytorze zasad grupy, możesz przejść do Computer Configuration > Administrative Templates > Windows Components > Credential User Interfacei zmienić ustawienie „Wylicz konta administratora na elewacji” na „wyłączone”.
nhinkle
Dzięki, szukałem Interwebs dla tego i znalazłem to na innym pytaniu SU przeciwnie. Chciałem to zrobić, ponieważ lubię administrować SOHO Windows i zajmować się tylko profesjonalistami lub lepszymi.
wag2639,
Jeśli zostałeś zablokowany przez Winlogon\SpecialAccounts\UserListproste użycie tego: otwórz cmd, wpisz runas /user:admin cmd, w nowym typie konsoli: regedit i wtedy możesz edytować rejestr. W ogóle nie potrzebujesz przywracania systemu.
Gergely Fehérvári
5

(ponieważ pytanie się zmieniło, moja odpowiedź również musi.)

Moim pomysłem jest to, że nie trzeba odkrywać konta administratora, aby z niego korzystać. To konto może pozostać ukryte przed ekranem powitalnym dzięki mechanizmowi Winlogon\SpecialAccounts\UserList.

Jest to oparte na fakcie, że zawsze można wydać w wierszu polecenia (lub polu Uruchom) dowolne polecenie jako administrator, używając RunA:

RunAs /user:admin "control userpasswords2"
RunAs /user:admin regedit

Możesz również w ten sposób zaimportować wstępnie przygotowany plik .reg, który odkryje konto administratora na własny użytek, a następnie użyć innego pliku .reg, aby ukryć go ponownie po zakończeniu pracy z tym komputerem.

RunAs /user:admin regedit c:\secret\directory\unhide_admin.reg
RunAs /user:admin regedit c:\secret\directory\hide_admin.reg

W ten sposób możesz zautomatyzować ukrywanie i odkrywanie konta administratora.

harrymc
źródło