Ошибка ограниченного использования учетной записи пользователя

Ограничение учетной записи в windows

Добрый день, Друзья! Приветствую Вас На нашем обучающем Интернет портале “С Компьютером на “ТЫ”. Сегодня мы продолжим говорить на тему компьютерной безопасности. И еще один шаг в этом направлении – ограничение учетной записи пользователя.

При установке операционной системы Windows пользователю предоставляются права администратора. Другими словами он имеет абсолютную свободу действий на ПК.

Но и вредоносное программное обеспечение, получив доступ к компьютеру, наделяется такими же правами. А это уже серьезная уязвимость в нашей системе безопасности.

Пора латать дыры.

В данной статье мы разберем алгоритм перехода с администратора на более безопасную учетную запись, сохранив при этом все настройки.

зачем необходимо ограничение учетной записи?

1. Все программные продукты, запущенные с правами администратора, получают полную свободу действий на ПК, чем непременно воспользуются разработчики вредоносного кода (вирусов и опасных скриптов).

Например, для того, чтобы вирус смог “прописаться” в Вашей операционной системе, ему необходимо внести изменения в записи реестра.

Пользователь, с ограниченными правами, не сможет сделать изменения в настройках ОС.

При выходе в Интернет с правами Администратора, Вы помогаете злоумышленнику в кражи Ваших паролей, учетных данных, хранимых в системных файлах ОС. Опасный скрипт, имея права администратора, считает все Ваши секреты и передаст своему хозяину.

Создав ограничение учетной записи пользователя, Вы не только решите эти проблемы, но и не позволите проникнуть на Ваш компьютер распространённому вирусу WinLock (порно баннер, блокирующий работу компьютера).

2. Имея права администратора, неопытные пользователи могут случайно внести критические изменения в системные файлы Windows, приведя ОС в неработоспособное состояние. Защитите свою систему от случайных ошибок – понизьте права пользователя.

Смена прав учетной записи пользователя

Так как операционная система у нас уже установлена и функционирует нормально, то мы пойдем по следующему пути: мы изменим тип ранее созданной учетной записи (понизив ее права) и добавим нового пользователя с правами Администратора (от имени которого и будем уносить изменения в системные файлы ОС и реестр).

1. Первым делом необходимо навести порядок с имеющимися учетными записями. Для этого зайдем в Центр управления учетными записями (правой кнопкой кликаем по значку “Мой компьютер” –> “Управление” –> “Локальные пользователи и группы” –> “Пользователи”).

Удалите все записи, кроме существующей и гость (которая должна быть в режиме отключена).

2. Понизить права действующей учетной записи до уровня обычного пользователя не получится ввиду того, что у системы обязательно должен быть пользователь с правами администратора. Поэтому мы сначала создадим еще одного администратора, а уже потом понизим права действующего пользователя.

Для этого кликните правой кнопкой мыши по пункту “Пользователи” –> выберите “Новый пользователь…”. В открывшемся окошке укажите имя нового администратора, его пароль, отметьте пункт “Срок действия пароля не ограничен” и нажмите кнопку “Создать”.

Созданная нами учетная запись будет обладать правами обычного пользователя. Чтобы придать ей статус настоящего администратора, необходимо его добавить в соответствующую группу пользователей. Для этого делаем двойной клик по новой учетной записи, переходим во вкладку “Членство в группах” –> жмем кнопку “Добавить”.

В блоке “Введите имя объекта” пишем “Администраторы” и кликаем по кнопке “ОК” –> “Применить”.

4. После всего проделанного выйдите из системы и перезагрузите компьютер.

Итак, вы сохранили все свои настройки, но понизили статус пользователя, ограничив его права. Теперь чтобы внести какие-либо изменения в системе, вам придется обращаться к учетной записи вновь созданного администратора.

Как это работает?

Вы работаете в системе как обычно, запуская привычные программы.

Если вдруг у вас появится необходимость внести изменения в системные файлы, получить доступ к реестру или установить новую программу, то  можно будет поступить двумя способами: либо завершить текущий сеанс и зайти под учетной записью Администратора, использовать «власть” администратора не выходя из текущей учетной записи.

Для этого кликните правой кнопкой мыши по запускаемой программе и выберите пункт “Запуск от имени…” –> в появившемся окошке укажите учетную запись Администратора и введите пароль администратора –> нажмите “ОК”. Таким образом, можно не покидая текущей учетной записи, запустить любое приложение с правами Администратора.

Советы:

• Подойдите серьезно к вопросу выбора пароля для администратора. Чем сложнее и длиннее будет пароль, тем сложнее злоумышленнику будет его взломать.
• Так как новой учетной записью Администратора вы будете пользоваться редко, запишите придуманный пароль в надежном месте.
• Дополнительной мерой безопасности будет переименовать созданного Администратора (например, вместо “Администратор” –> “Сергей). Таким образом создав дополнительную преграду для злоумышленника.

Источник: http://pc4me.ru/ogranichenie-uchetnoy-zapisi-v-windows.html

Учетные записи ограничение локальная учетная запись использование пустых паролей только при консольном входе (Windows 10)

• 04/19/2017
• Время чтения: 3 мин
• Соавторы

Область применения

Описывает рекомендации, расположение, значения и рекомендации по безопасности для учетные записи: разрешить использование пустых паролей только при консольном входе локальная учетная запись параметр политики безопасности.

Справочник

Учетные записи: разрешить использование пустых паролей только при консольном входе локальная учетная запись параметр политики определяет, разрешено ли для удаленный интерактивный вход в сеть сетевые службы, такие как службы удаленных рабочих столов, Telnet и передачи файлов (FTP) локальные учетные записи, которые имеют пустых паролей. Если этот параметр политики включен, локальная учетная запись должна иметь непустой пароль должен использоваться для выполнения интерактивный или сетевого входа в систему с удаленного компьютера.

Этот параметр политики не влияет на интерактивный вход в сеть, выполняемый непосредственно на консоли или входа в систему с использованием учетных записей домена.

Это возможно для приложений сторонних разработчиков, использующих удаленный интерактивный вход в сеть для обхода этого параметра политики.

Пустые пароли серьезную угрозу для безопасности компьютера и они должны запрещена через корпоративную политику и подходит технических мер.

Например пользователь может изолированных систему сборки, создать одну или несколько учетных записей с пустых паролей и затем подключить компьютер к домену. Локальные учетные записи с помощью пустых паролей по-прежнему будет работать. Затем любой, кто знает имя учетной записи можно использовать учетные записи с помощью пустых паролей для входа на системах.

Устройства, которые не входят в безопасном месте следует всегда использовать надежные политики паролей для всех учетных записей локальных пользователей.

В противном случае любой пользователь, имеющий физический доступ к устройству может войти в систему с помощью учетной записи пользователя, не требуется пароль.

Если применить эту политику безопасности для этой группы, никто не смогут войти в систему через службу удаленных рабочих столов.

Возможные значения

• Enabled
• Отключено
• Не определен

Рекомендации

• Рекомендуется, чтобы задать учетные записи: разрешить использование пустых паролей только при консольном входе локальная учетная запись включена.

Назначение

Параметры Policies\Security Settings\Local Settings\Security Configuration\Windows компьютера

Значения по умолчанию

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. На странице свойств политики также указаны значения по умолчанию.

| Тип сервера или групповой Политики | Значение по умолчанию || — | — || Политика домена по умолчанию | Не определен || Политика контроллера домена по умолчанию | Не определен || Параметры по умолчанию автономного сервера | Включено || Параметры по умолчанию эффективной контроллера домена | Включено || Параметры по умолчанию эффективной член сервера | Включено || По умолчанию эффективной параметров клиентского компьютера | Включено | 

Средства управления политикой

В этом разделе описаны компоненты и средства, которые доступны для управления этой политики.

Необходимость перезапуска

Нет. Изменения в эту политику, вступают в силу без устройства перезапуска после их локального сохранения или распространения через групповую политику.

Вопросы конфликт политики

Политика как распределенный через объект групповой Политики имеет приоритет над локально настроенные параметры политики на компьютере, присоединенных к домену. На контроллере домена используйте Редактирование ADSI или команды поиску, чтобы определить эффективные Минимальная длина пароля.

Групповая политика

Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) будет распространяться через объекты групповой политики (GPO).

Если эта политика не содержится в распределенных групповой Политики, можно настроить эту политику на локальном устройстве с помощью оснастки локальной политики безопасности.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Пустые пароли серьезную угрозу для безопасности компьютера, и они должны запрещена политике организации и подходит технических мер.

Начиная с Windows Server 2003, параметры по умолчанию для домена Active Directory требуется сложные пароли менее 7 символов и восьми символов, начиная с Windows Server2008.

Тем не менее если пользователям возможность создавать новые учетные записи обхода политик паролей на основе домена, их можно создать учетные записи с пустых паролей.

Например пользователь может сборка автономном компьютере, создать одну или несколько учетных записей с пустых паролей и затем подключить компьютер к домену. Локальные учетные записи с помощью пустых паролей по-прежнему будет работать. Любой, кто знает имени одного из следующих незащищенные учетных записей затем можно использовать для входа.

Противодействие

Включение учетные записи: разрешить использование пустых паролей только при консольном входе локальная учетная запись параметр.

Возможное влияние

Нет. Это конфигурация по умолчанию.

Смежные разделы

Параметры безопасности

Источник: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/accounts-limit-local-account-use-of-blank-passwords-to-console-logon-only

Служба профилей пользователей не удалось войти в систему windows 10

Повреждение учетной записи пользователя является общей проблемой Windows.

Проблема возникает, когда вводите пароль или пин-код на экране блокировки и при нажатии enter будет выводиться ошибка «служба профилей пользователей не удалось войти в систему.

Невозможно загрузить профиль пользователя» в windows 10 или Служба профилей пользователей препятствует входу в систему в Windows 7. инструкция.

1. Во первых попробуйте перезагрузить ноутбук.
2. Попытайтесь для начала отключить комп от интернета и от локальной сети.
3. Смотрите в самом низу, простой способ.

Вариант 1. Исправить профиль учетной записи пользователя

Иногда ваша учетная запись может быть повреждена и это мешает вам получить доступ к файлам в windows 10. Зайдем в редактор реестра несколькими способами, через безопасный режим:

1. Если у вас две учетных записи, то войдите под второй учетной, чтобы отредактировать реестр.
2. Описано множество способов, как загрузиться в безопасном режиме.
3. Нажмите несколько раз подряд кнопку перезагрузки на самом компьютере, чтобы вызвать автоматическое восстановление процесса. Выбрать устранение неполадок >Дополнительные параметры > параметры загрузки. Далее нажмите кнопку перезагрузки. После перезагрузки компьютера вы увидите список вариантов. Выберите безопасный режим с загрузкой сетевых драйверов путем нажатия соответствующей клавиши. Теперь как загрузились в безопасном режиме, нужно зайти в редактор реестра. (смотрите более подробно о среде восстановления)

Шаг 1. Нажмите сочетание клавиш «windows + R» для вызова команды «выполнить» и введите команду regedit для входа в реестр.

Шаг 2. В открывшимся окне перейдите по пути:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Шаг 3.  В параметре ProfileList у вас будет несколько ключей s-1-5. Вам нужно будет выбрать самый длинный ключ с длинным массивом чисел и вашей учетной записью, на которой ошибка «Служба профилей пользователей не удалось войти в систему».

Убедиться, что путь правильный нажмите на длинный ключ и с право в колонке должно быть имя ProfileImagePath, если не нашли, то листайте все длинные ключи пока не наткнетесь в правой колонке на ProfileImagePath с вашим сломанным профилем, в моем случае учетная запись C:\User\mywebpc.ru.

Шаг 4. Если вы неправильно переименовали папку профиля пользователя C:\User\mywebpc.ru пострадавшей учетной записи, то откройте проводник по пути C:\User\mywebpc.

ru и нажмите на сломанном профиле правой кнопкой мыши, выберите переименовать и введите вручную правильное имя профиля (mywebpc.ru).

После переименовки заходим обратно в реестре в папку ProfileList и смотрим, чтобы имя было написано, как на картинке (шаг 3) C:\User\mywebpc.ru.

Смотрите два варианта шаг 6 и шаг 7 в зависимости у кого как

Шаг 5. Теперь сделаем два варианта, если у нас один длинный ключ S-1-5-21-19949….-1001.bak (в конце расширение .bak)  и со вторым без .bak т.е. просто S-1-5-21-19949….-1001. В зависимости у кого как выстроились профили два или один.

Шаг 6. Есть только один ключ в конце с .bak (S-1-5-21-19949….-1001.bak).

• А) Если у вас есть только один ключ в конце с .bak (S-1-5-21-19949….-1001.bak), нажмите на нем правой кнопкой мыши и нажмите переименовать. (смотрите рисунок ниже).

• Б) Удалите само слово с точкой .bak, чтобы получились просто цифры S-1-5-21-19949….-1001. Следуйте дальше шагу 8. (смотрите рисунок ниже)

Шаг 7. Если у вас есть два одинаковых ключа, один без .bak, второй с .bak. (S-1-5-21-19949….-1001 и S-1-5-21-19949….-1001.bak).

• А) В левой панели реестра, щелкните правой кнопкой мыши на ключе без .bak и допишите точка, две буквы .bk (см. рисунок ниже).

• Б) Теперь нажмите правой клавишей мыши на ключ с .bak, выберите переименовать и удалите .bak с точкой. (см. рисунок ниже).

• В) Теперь вернитесь и переименуйте первый ключ с .bk в .bak. Нажмите enter и следуйте дальше шагу 8.

Шаг 8. Выделите ключ который переименовали без .

bak и с право в столбце нажмите два раза, чтобы открыть настройки параметра RefCount, и присвойте значение 0.

 Если у вас нет такого параметра RefCount, то нажмите с право на пустом поле правой кнопкой мыши и создайте параметр DWORD (32-bit), переименуйте его в RefCount и задайте значение 0.

Шаг 9. В правом поле выберите ключ без .bak и в параметре State задайте значение 0. Если нет такого параметра, то кликните на пустом поле с право и нажмите создать DWORD (32-bit), переименуйте его в State и задайте значение 0.

Шаг 10. Перезапустите ваш комп и ошибка «служба профилей пользователей не удалось войти в систему» и «невозможно загрузить профиль пользователя» в windows 10 должна исчезнуть.

Вариант 2. Удалить и создать новый профиль пользователя для учетной записи

Этот вариант удалит профиль пользователя, тем самым вы потеряете все настройки своей учетной записи и персонализацию.

Шаг 1. Если есть другая учетная запись администратора, на которой нет ошибки, выйдите из текущей учетной записи (например: mywebpc.ru) и войдите в запись администратора.

Если у вас нет другой учетной записи администратора для входа, вы можете сделать один из следующих вариантов ниже, чтобы включить встроенную учетную запись администратора для входа в систему и перейти к шагу 2 ниже.

• А). Загрузитесь в безопасном режиме, включите встроенный Администратор, выйдите из системы и войдите в систему Administrator.
• Б). Откройте окно командной строки при загрузке, включите встроенный администратор, перезагрузите компьютер и войдите в систему Administrator.

Шаг 2. Сделайте резервную копию всего, что вы не хотите потерять в папке профиля C: \ Users \ (имя пользователя) (например: mywebpc.ru) соответствующей учетной записи пользователя в другое место. Когда закончите, удалите папку C: \ Users \ (имя пользователя).

Шаг 3. Нажмите кнопки windows + R, чтобы открыть диалоговое окно «Выполнить», введите regedit и нажмите кнопку OK.

Шаг 4. В редакторе реестра перейдите к указанному ниже расположению.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Шаг 5. На левой панели в списке ProfileList нажмите на длинный ключ на котором ошибка учетной записи. Справа в ProfileImagePath виден профиль.

Шаг 6. Удалите профили с ошибкой с .bak и без .bak. К примеру (S-1-5-21-19949….-1001 и S-1-5-21-19949….-1001.bak)-удалить.

Шаг 7. Закройте редактор реестра и перезагрузите компьютер, после чего он автоматически воссоздаст нового пользователя.

Решим проблему «Невозможно загрузить профиль пользователя» простым способом

Способ 1. Данный способ работает не у всех, но многим он помог. Постарайтесь скопировать свои документы в папке (C:\Users\) в другое место, чтобы создать резервную копию на всякий случай.

Обычно проблема возникает из-за повреждения файла «NTUSER.DAT», расположенного в папке «C:\Users\Default». Чтобы решить эту проблему вам нужно заменить файл «NTUSER.DAT» с другого профиля.

Включите отображение скрытых папок.

1. Зайдите в систему в безопасном режиме с учетной записью профиля который работает.
2. Найдите файл (C:\Users\Default) «NTUSER.DAT» и переименуйте расширение .DAT на .OLD. Должно быть (NTUSER.OLD).
3. Найдите файл «NTUSER.DAT» в рабочем профиле таких как «Гость»,»Общие». Пример (C:\Users\GuestTUSER.DAT).
4. Скопируйте его и вставьте в папку по умолчанию C:\Users\Default.
5. Перезагрузить компьютер.

Можете скопировать этот файл с другого компьютера с такой же версией windows и вставить его к себе по пути  C:\Users\Default.

Способ 2. Можно попробовать заменить целиком папку «C:\Users\» с другого компьютера.

• Возьмите флешку в формате FAT32 и запишите на нее с другого компа папку C:\Users\и закиньте к себе на комп.

Если кто знает, как еще исправить ошибку, «Служба профилей пользователей препятствует входу в систему» еще каким методом, то пишите в форме «сообщить об ошибке».

by HyperComments

Источник: https://mywebpc.ru/windows/user-profile-service-failed-to-sign-in/

Служба профилей пользователей препятствует входу в систему

21.05.2015  windows

Если при входе в Windows 7 вы видите сообщение о том, что служба профилей пользователей препятствует входу в систему, то как правило, это является следствием того, что происходит попытка входа с временным профилем пользователя и она не удается. См. также: Вы вошли в систему с временным профилем в Windows 10, 8 и Windows 7.

В этой инструкции опишу шаги, которые помогут исправить ошибку «Невозможно загрузить профиль пользователя» в Windows 7. Обратите внимание, что сообщение «Вход в систему выполнен с временным профилем» можно исправить точно теми же способами (но есть нюансы, которые будут описаны в конце статьи).

Примечание: несмотря на то, что первый описываемый способ является основным, я рекомендую начать со второго, он проще и вполне возможно поможет решить проблему без лишних действий, которые к тому же могут быть не самыми простыми для начинающего пользователя.

Исправление ошибки с помощью редактора реестра

Для того, чтобы исправить ошибку службы профилей в Windows 7, прежде всего потребуется войти в систему с правами Администратора. Самый простой вариант для этой цели — загрузить компьютер в безопасном режиме и использовать встроенный аккаунт Администратора в Windows 7.

После этого запустите редактор реестра (нажать клавиши Win+R на клавиатуре, ввести в окно «Выполнить» regedit и нажать Enter).

В редакторе реестра перейдите к разделу (папки слева — это разделы реестра Windows) HKEY_LOCAL_MACHINE\ Software \Microsoft \Windows NT \CurrentVersion \ProfileList\ и раскройте этот раздел.

Затем по порядку выполните следующие действия:

1. Найдите в ProfileList два подраздела, начинающихся с символов S-1-5 и имеющих много цифр в имени, один из которых заканчивается на .bak.
2. Выберите любой из них и обратите внимание на значения справа: если значение ProfileImagePath указывает на папку вашего профиля в Windows 7, то это именно то, что мы искали.
3. Кликните правой клавишей мыши по разделу без .bak в конце, выберите «Переименовать» и добавьте в конце имени что-то (но не .bak). В теории, можно и удалить этот раздел, но я бы не рекомендовал делать это раньше, чем вы убедитесь, что ошибка «Служба профилей препятствует входу» исчезла.
4. Переименуйте раздел, имя которого в конце содержит .bak, только в данном случае удалите «.bak», так чтобы осталось только длинное имя раздела без «расширения».
5. Выберите раздел, имя которого теперь не имеет .bak в конце (из 4-го шага), и в правой части редактора реестра кликните по значению RefCount правой кнопкой мыши — «Изменить». Введите значение 0 (ноль). 
6. Аналогичным образом установите 0 для значения с именем State.

Готово. Теперь закройте редактор реестра, перезагрузите компьютер и проверьте, была ли исправлена ошибка при входе в Windows: с большой вероятностью, сообщений о том, что служба профилей препятствует чему-либо, вы не увидите.

Решаем проблему с помощью восстановления системы

Один из быстрых способов исправить возникшую ошибку, который, правда, не всегда оказывается работоспособным — использовать восстановление системы Windows 7. Порядок действий таков:

1. При включении компьютера нажимайте клавишу F8 (так же, как для того, чтобы зайти в безопасный режим).
2. В появившемся меню на черном фоне выберите первый пункт — «Устранение неполадок компьютера».
3. В параметрах восстановления выберите пункт «Восстановление системы. Восстановление ранее сохраненного состояния Windows.» 
4. Запустится мастер восстановления, в нем нажмите «Далее», а затем — выберите точку восстановления по дате (то есть следует выбрать ту дату, когда компьютер работал как следует).
5. Подтвердите применение точки восстановления.

По окончании восстановления, перезагрузите компьютер и проверьте, появляется ли вновь сообщение о том, что имеются проблемы со входом в систему и невозможно загрузить профиль.

Другие возможные варианты решения проблемы со службой профилей Windows 7

Более быстрый и не требующий редактирования реестра способ исправить ошибку «Служба профилей препятствует входу в систему» — зайти в безопасном режиме с помощью встроенного аккаунта Администратора и создать нового пользователя Windows 7.

После этого, перезагрузите компьютер, войдите под вновь созданным пользователем и, при необходимости, перенесите файлы и папки от «старого» (из C:\Users\Имя_Пользователя).

Также на сайте Microsoft присутствует отдельная инструкция с дополнительными сведениями об ошибке, а также утилитой Microsoft Fix It (которая как раз удаляет пользователя) для автоматического исправления: https://support.microsoft.com/ru-ru/kb/947215

Вход в систему выполнен с временным профилем

Сообщение о том, что вход в Windows 7 был выполнен с временным профилем пользователя может означать, что в следствие каких-либо изменений, которые вы (или сторонняя программа) сделали с текущими настройками профиля, он оказался поврежден.

В общем случае, чтобы исправить проблему, достаточно использовать первый или второй способ из этого руководства, однако в разделе реестра ProfileList в данном случае может не оказаться двух одинаковых подразделов с .bak и без такого окончания для текущего пользователя (будет только с .bak).

В этом случае достаточно просто удалить раздел состоящий из S-1-5, цифр и .bak (правый клик мышью по имени раздела — удалить). После удаления, перезагрузите компьютер и войдите снова: в этот раз сообщений о временном профиле появиться не должно.

А вдруг и это будет интересно:

Источник: https://remontka.pro/sluzhba-profilei-windows-7/