Как изменить пользователя на удаленном компьютере
Обновлено: 21.11.2024
Подключение к удаленному рабочему столу или клиент служб терминалов Microsoft — полезный протокол, который позволяет пользователю подключаться к удаленному компьютеру и управлять им с поддержкой полноэкранного режима. Однако, поскольку экран «Подключение к удаленному рабочему столу» фактически работает на главном системном рабочем столе Windows, пользователи, часто использующие сочетания клавиш, могут запутаться с сочетаниями клавиш, которые следует использовать при работе на рабочем столе удаленного ПК, или получить неправильное, ошибочное или неожиданное поведение с сочетаниями клавиш. и ускорители.
Когда мы пытаемся активировать функцию Ctrl Alt Del в удаленной системе, подключенной через подключение к удаленному рабочему столу, нажатая комбинация клавиш вызовет функцию Ctrl–Alt–Del на локальном компьютере, а не на компьютере, который удаленно подключен через RDC.
Чтобы получить желаемый результат, при применении к окну сеанса удаленного рабочего стола используются немного другие сочетания клавиш.
В приведенной ниже таблице перечислены наиболее часто используемые сочетания клавиш для подключения к удаленному рабочему столу.
Локальный компьютер | Подключение к удаленному рабочему столу | Использование |
CTRL+ALT+END | Открытие диалогового окна безопасности Microsoft Windows NT. | |
CTRL+PAGE UP | ALT+PAGE UP | Переключение между программами слева направо. |
CTRL+PAGE DOWN< /td> | ALT+PAGE DOWN | Переключение между программами справа налево. |
ALT+TAB | ALT +INSERT | Перебор программ в последнем использовавшемся порядке. |
CTRL+ESC | ALT+HOME | Отобразить меню «Пуск». |
ALT+DELETE | Отобразить меню Windows. | |
CTRL+ALT+BREAK | Переключение клиентского компьютера между окном и полноэкранным режимом. |
Примечание. Эта статья относится к Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows 7 и Windows 8.
В этой статье описывается контроль учетных записей (UAC) и удаленные ограничения.
Применимо к: Windows Vista
Исходный номер базы знаний: 951016
Введение
Контроль учетных записей пользователей (UAC) — это новый компонент безопасности Windows Vista. UAC позволяет пользователям выполнять обычные повседневные задачи в качестве неадминистраторов. Эти пользователи называются стандартными пользователями в Windows Vista. Учетные записи пользователей, входящие в локальную группу администраторов, будут запускать большинство приложений по принципу наименьших привилегий. В этом сценарии пользователи с наименьшими привилегиями имеют права, аналогичные правам стандартной учетной записи пользователя. Однако, когда член локальной группы администраторов должен выполнить задачу, для которой требуются права администратора, Windows Vista автоматически запрашивает одобрение пользователя.
Как работают удаленные ограничения UAC
Чтобы лучше защитить тех пользователей, которые являются членами локальной группы администраторов, мы вводим ограничения контроля учетных записей в сети. Этот механизм помогает предотвратить атаки loopback. Этот механизм также помогает предотвратить удаленный запуск локального вредоносного ПО с правами администратора.
Локальные учетные записи пользователей (учетная запись пользователя Security Account Manager)
Когда пользователь, являющийся членом локальной группы администраторов на целевом удаленном компьютере, устанавливает удаленное административное подключение, например, с помощью команды net use *\\remotecomputer\Share$, он не будет подключаться как полноценный администратор. У пользователя нет возможности повышения прав на удаленном компьютере, и он не может выполнять административные задачи. Если пользователь хочет администрировать рабочую станцию с помощью учетной записи диспетчера учетных записей безопасности (SAM), он должен в интерактивном режиме войти на компьютер, который будет администрироваться с помощью удаленного помощника или удаленного рабочего стола, если эти службы доступны.
Учетные записи пользователей домена (учетная запись пользователя Active Directory)
Пользователь, имеющий учетную запись пользователя домена, удаленно входит в систему на компьютере с Windows Vista. И пользователь домена является членом группы администраторов. В этом случае пользователь домена будет работать с токеном полного доступа администратора на удаленном компьютере, и UAC не будет действовать.
Это поведение не отличается от поведения в Windows XP.
Как отключить удаленные ограничения UAC
Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в разделе Резервное копирование и восстановление реестра в Windows.
Чтобы отключить удаленные ограничения UAC, выполните следующие действия:
Нажмите "Пуск", выберите "Выполнить", введите regedit и нажмите клавишу ВВОД.
Найдите и щелкните следующий подраздел реестра:
Если запись реестра LocalAccountTokenFilterPolicy не существует, выполните следующие действия:
- В меню "Правка" выберите "Создать" и выберите "Значение DWORD".
- Введите LocalAccountTokenFilterPolicy и нажмите клавишу ВВОД.
Щелкните правой кнопкой мыши LocalAccountTokenFilterPolicy и выберите Изменить.
В поле "Значение" введите 1 и нажмите кнопку "ОК".
Выйти из редактора реестра.
Это решило проблему
Проверьте, устранена ли проблема. Если проблема не устранена, обратитесь в службу поддержки.
Удаленные настройки UAC
Запись реестра LocalAccountTokenFilterPolicy может иметь значение 0 или 1. Эти значения изменяют поведение записи реестра на поведение, описанное в следующей таблице.
Операционная система Windows поддерживает функцию быстрого переключения пользователей, которая позволяет нескольким пользователям входить на ПК и легко переключаться между учетными записями пользователей. Не нужно выходить из системы или закрывать все приложения и файлы, прежде чем другой пользователь сможет войти в систему, чтобы использовать ПК, и может легко переключиться обратно в сеанс своей учетной записи, чтобы продолжить несохраненные работы, когда другой пользователь выйдет из системы.
Существует несколько способов переключения между несколькими учетными записями без выхода из текущей учетной записи пользователя на локальном ПК. В Windows 10 способы переключения пользователей претерпели небольшие изменения и уточнения по сравнению с предыдущими версиями Windows, хотя методы, используемые в таких версиях, как Windows 7 и Windows Vista, все еще доступны. Обратите внимание, что если вы подключены к удаленной системе Windows через подключение к удаленному рабочему столу, быстрое переключение пользователей не поддерживается.
Всегда сохраняйте свои работы перед переключением учетных записей пользователей, так как любые несохраненные изменения в открытых файлах будут потеряны, если другой пользователь выключит компьютер.
Способ 1. Переключение пользователя из меню "Пуск"
Эта возможность переключения на другую учетную запись работает только в том случае, если на ПК с Windows 10 настроено несколько учетных записей.
- Откройте меню "Пуск".
- Нажмите или щелкните точку учетной записи на левой панели меню "Пуск".
- Затем нажмите или коснитесь другой учетной записи пользователя, на которую вы хотите переключиться (все другие учетные записи пользователей, добавленные в локальную систему Windows 10, расположены под разделительной линией).
Способ 2. Переключение пользователя с помощью Alt + F4 в диалоговом окне "Завершение работы Windows"
- Сверните все окна, чтобы активным окном стал рабочий стол.
- Нажмите сочетание клавиш Alt + F4, чтобы открыть диалоговое окно "Завершение работы".
- Выберите «Сменить пользователя» в раскрывающемся меню, нажмите или коснитесь «ОК» или нажмите «Ввод».
Способ 3. Переключение пользователя с помощью Ctrl+Alt+Del
- Нажмите сочетание клавиш Ctrl + Alt + Del.
- В меню параметров безопасности нажмите или коснитесь Сменить пользователя.
Способ 4. Смените пользователя, запустив tsdiscon.exe
- Запустите C:\Windows\System32\tsdiscon.exe (для его запуска можно использовать поиск, диалоговое окно «Выполнить», проводник или командную строку).
- Текущий пользователь мгновенно отключается и блокируется, и отображается экран блокировки.
- Нажмите Ctrl + Alt + Del (для компьютера, присоединенного к домену) или нажмите, коснитесь или нажмите клавишу ВВОД (для компьютера, не подключенного к сети) на экране блокировки, чтобы разблокировать его.
- В левом нижнем углу экрана входа выберите пользователя, на которого хотите переключиться, и войдите в систему.
Способ 5. Переключение пользователя с помощью диспетчера задач
Эта опция работает только с ранее отключенной учетной записью пользователя, т. е. с учетной записью пользователя, из которой вы отключились, не выходя из нее.
- Откройте диспетчер задач (щелкните правой кнопкой мыши на панели задач и выберите "Диспетчер задач" или нажмите сочетание клавиш Ctrl + Shirt + Esc или найдите TaskMgr).
- Нажмите или нажмите «Подробнее», чтобы развернуть диспетчер задач для просмотра подробных вкладок.
- Перейдите на вкладку "Пользователи".
- Щелкните правой кнопкой мыши отключенного пользователя, на которого вы хотите переключиться, и выберите "Переключить учетную запись пользователя"; или выберите отключенного пользователя, на которого вы хотите переключиться, и нажмите или коснитесь кнопки "Сменить пользователя".
Если вы используете графический пароль, вам нужно щелкнуть или коснуться «Сменить пользователя», чтобы отобразить учетные записи пользователей, на которые вы можете переключиться.
Присоединяйтесь к другим MSP, стремящимся к росту, и снабжайте свой бизнес новыми советами и учебными пособиями, которые будут доставлены прямо на ваш почтовый ящик.
Не пропустите акции, бесплатные инструменты, мероприятия и вебинары, а также обновления продуктов. Подпишитесь, чтобы получать новостную рассылку NinjaOne.
Расти быстрее. Меньше стресса.
Узнайте, как возможности удаленного доступа NinjaOne позволяют удаленно управлять пользователями Active Directory с дополнительным преимуществом дополнительных функций и большей гибкости.
Что такое Active Directory?
Microsoft Active Directory (AD) — это серверная технология, используемая для управления компьютерами и другими устройствами в сети. Раньше это было важно для управления большим количеством машин Windows в локальной сети, и это по-прежнему основная функция Windows Server (операционная система, которая работает как на локальных, так и на удаленных / облачных серверах). AD предоставляет средства для управления объектно-ориентированными политиками. для управления сетевым оборудованием, ресурсами и виртуальными ресурсами, разрешениями пользователей и многим другим.
Одной из наиболее важных функций AD является настройка разрешений пользователей. Active Directory позволяет администраторам и ИТ-специалистам создавать и управлять доменами, пользователями и объектами в большой сети. Это может сыграть важную роль в безопасности (в частности, принцип наименьших привилегий), поскольку администратор может создать группу пользователей и строго ограничить их права доступа до того, что требуется для выполнения их работы.
На Active Directory часто обращают внимание, когда сеть растет и большое количество пользователей должно быть организовано в группы и подгруппы с установленным контролем доступа на каждом уровне.
Active Directory и групповая политика
Групповая политика — это простой способ настроить параметры компьютера и пользователя на компьютерах, входящих в домен. Чтобы использовать AD для настройки таких политик, должен быть хотя бы один сервер с установленными доменными службами Active Directory. Групповая политика используется системными администраторами для централизации управления компьютерами в своей сети без необходимости физически настраивать каждый компьютер по отдельности. Исторически сложилось так, что управление большой сетью только для Windows было бы практически невозможным без использования групповой политики.
История Active Directory
Изначально Active Directory представляла собой сетевую операционную систему, построенную на основе Windows 2000. На ее конструкцию сильно повлиял новый протокол облегченного доступа к каталогам (LDAP) — открытый стандарт для функций NOS, который стал известен в 1990-х годах.< /p>
AD появился после "LAN Manager" от Microsoft, где концепция домена была впервые введена в управление сервером Windows. Windows NT была основана на архитектуре LAN Manager, которая имела определенные ограничения масштабируемости и управления группами, которые Microsoft позже смогла устранить с помощью Active Directory.
Удаленное управление Active Directory
Active Directory можно управлять удаленно с помощью инструментов удаленного администрирования сервера Microsoft (RSAT). С помощью RSAT ИТ-администраторы могут удаленно управлять ролями и функциями в Windows Server с любого современного ПК, на котором установлена профессиональная или корпоративная версии Windows.
Есть ли веб-интерфейс для Active Directory?
Windows Server 2008 R2 и более поздние версии включают веб-службы Active Directory (ADWS). Эта служба Windows предоставляет интерфейс веб-службы для доменов Active Directory, служб Active Directory облегченного доступа к каталогам (AD LDS) и экземпляров средства подключения базы данных Active Directory, которые работают на том же сервере, что и ADWS.
Active Directory, размещенный в облаке
Azure Active Directory (Azure AD) — это облачная версия оригинальной AD от Microsoft. Azure AD имеет все ожидаемые функции, включая службы управления идентификацией и доступом. Это самая важная функция для большинства администраторов, поскольку она позволяет им контролировать вход сотрудников и управлять их доступом к внутренним ресурсам и каталогам.
Есть некоторые потенциальные преимущества в плане производительности при работе с Active Directory, размещенной в облаке Azure. Традиционная AD часто требовательна к сетевому оборудованию, а облачная служба Azure AD предъявляет меньшие требования к оборудованию контроллеров домена.
Поскольку столько внимания смещается с аппаратного обеспечения на облачное, Azure AD — это попытка Microsoft ускорить работу своей рабочей технологии управления сетью. Вскоре мы обсудим решение Microsoft отказаться от своих устаревших стратегий блокировки.
Управление пользователями Azure Active Directory
Перенос бизнеса в облако — это более сложный процесс, чем просто перемещение серверов, приложений, веб-сайтов и данных из одного места в другое. ИТ-специалисты должны думать о том, как защитить эти ценные ресурсы, управлять и организовывать авторизованных пользователей, а также обеспечивать надлежащее ограничение привилегий. Безопасность всегда сложна, даже в облачной среде.
Доступ должен контролироваться централизованно, а администраторы должны предоставить окончательное удостоверение личности для каждого пользователя, которого они используют для каждой службы. Должны быть предусмотрены средства контроля, чтобы гарантировать, что сотрудники и поставщики имеют достаточный доступ для выполнения своей работы — и не более того. Когда сотрудник покидает организацию, администраторы должны убедиться, что его доступ полностью закрыт.
Azure Active Directory предназначена для решения всех этих задач. Как служба управления идентификацией и доступом, она предлагает такие функции, как единый вход и многофакторная проверка подлинности, которые, как отмечает Microsoft, могут помочь защитить организации от 99,9 % кибератак.
Можем ли мы перенести Active Directory в облако?
В последнее время этот вопрос возникает довольно часто в связи с увеличением числа удаленных сотрудников и долгосрочным (и все еще непредсказуемым) переходом к «новой норме», когда многие сотрудники могут продолжать работать из дома на регулярной основе. Технологическая тенденция заключается в переносе всего возможного в облако, включая перемещение в облако возможности управления технологиями.
Тем не менее, перенести AD в облако не так просто. Это, конечно, не несколько нажатий кнопки миграции, особенно если вы ожидаете, что она будет работать должным образом (что вы и делаете).
Microsoft Active Directory застряла в локальной среде, потому что возможность использовать AD в качестве стратегии блокировки была слишком хороша, чтобы ее упускать (это также в значительной степени стимулирует продвижение Azure AD).
Когда AD впервые появилась на сцене, компьютерный мир уже на 90 % состоял из Microsoft Windows. Office и Exchange еще больше укрепили почти монополию, а затем Active Directory нанесла последний штрих в своей стратегии блокировки. Что может быть лучше, чтобы удержать клиентов, чем сделать так, чтобы уйти было практически невозможно?
Хотя Microsoft идет по тому же пути с Azure, похоже, они также понимают, что ИТ-организации хотят избежать привязки к чему-либо. Это не означает, что ИТ-специалисты не видят ценности в решениях Microsoft (см. Office 365), это просто означает, что администраторы осознают необходимость быть гибкими и гибкими. Они хотят иметь возможность выбирать то, что лучше всего подходит для их нужд, даже если это означает не Active Directory.
Active Directory: покупка или сборка
Для большинства ИТ-специалистов и сетевых администраторов это не проблема. На самом деле все сводится к следующему: собираетесь ли вы покупать, создавать и поддерживать собственную систему контроллеров домена. или вы предпочитаете просто инвестировать в Azure?
Само собой разумеется, что воспроизвести полную функциональность Azure Active Directory будет дорого, хотя простые функции управления учетными записями будут достаточно простыми, чтобы многие ИТ-команды могли собрать их самостоятельно. Тем не менее, этот маршрут оставляет много неучтенных особенностей.
Управление Active Directory через Интернет с помощью NinjaOne
Если вы используете AD в своей сетевой среде, вам будет приятно узнать, что вы можете использовать возможности удаленного доступа NinjaOne для удаленного управления через веб-интерфейс.
Это очень просто: просто используйте NinjaOne для удаленного доступа к серверу домена Active Directory, а затем запустите инструмент управления Active Directory, как обычно.
При этом важно отметить, что Active Directory больше не плавает в голубом океане. Существует довольно много альтернативных решений для достижения целей AD, многие из которых обладают большей гибкостью и дополнительными функциями.
Например, NinjaOne сам по себе предлагает больше функций для некоторых вещей, для которых вы бы использовали AD. Прежде всего, вы обнаружите, что управлять большим количеством компьютеров, не работающих под управлением Windows, намного проще. Даже Azure AD не очень хорошо работает с Linux или Apple.
NinjaOne также проще использовать для исправления критических обновлений. С помощью AD вы можете установить групповую политику для обновлений Windows, но не для другого важного программного обеспечения в сети. NinjaOne позволяет устанавливать, планировать и выполнять обновления для более чем 135 популярных сторонних приложений.
Кроме того, AD лучше подходит для локальных сетей, а не для распределенных сетей (именно для этого она изначально создавалась). NinjaOne не имеет таких ограничений.Также следует учитывать улучшения производительности, поскольку NinjaOne не несет накладных расходов на ресурсы или требований к контроллеру домена Active Directory.
От Active Directory к современным альтернативам управления
Невероятно думать, что Microsoft представила AD более 20 лет назад. Потребности в управлении ИТ, очевидно, радикально изменились с тех пор, но многие ИТ-команды по-прежнему полагаются на него. Несмотря на то, что они помогают своим организациям и клиентам ориентироваться в цифровом преобразовании, это немного похоже на случай, когда "дети сапожника босые".
Недавно мы организовали виртуальный саммит Adapt IT, чтобы MSP и ИТ-специалисты могли обсудить проблемы и возможности перехода от устаревших решений к более современным подходам к управлению, безопасности и поддержке ИТ. Сессия, представленная ниже, была посвящена изучению современных «бездоменных» альтернатив AD и LDAP, в частности.
В этой статье мы покажем, как изменить пароль пользователя в сеансе RDP на удаленном компьютере с Windows. В качестве удаленного хоста у вас может быть либо Windows Server с настроенной ролью служб удаленных рабочих столов (RDSH), либо рабочая станция Windows 10 с одним или несколькими подключениями RDP.
Основная проблема, с которой сталкиваются пользователи, заключается в том, что вы не можете открыть стандартный диалог смены пароля с помощью комбинации клавиш Ctrl + Alt + Delete в сеансе удаленного рабочего стола (RDP). Этот ярлык не передается в сеанс RDP, так как он работает в вашей локальной операционной системе.
В Windows Server 2003/2008 можно было изменить пароль пользователя в RDP, нажав кнопку "Пуск" и выбрав "Безопасность Windows" -> "Изменить пароль".
В более поздних версиях, включая Windows Server 2016/2019/2022 и Windows 10/11, в меню «Пуск» отсутствует пункт «Безопасность Windows», поэтому этот способ смены пароля пользователя неприменим.
Изменить пароль пользователя в RDP с помощью CTRL + ALT + END
В текущих версиях Windows необходимо использовать комбинацию клавиш Ctrl + Alt + End, чтобы открыть диалоговое окно «Безопасность Windows» в сеансе RDP. Ярлык такой же, как Ctrl + Alt + Delete, но работает только в окне RDP. Выберите Изменить пароль в меню.
Теперь вы можете изменить свой пароль в стандартном диалоговом окне (введите текущий пароль и дважды установите новый).
Изменение пароля с помощью экранной клавиатуры
Если вы подключены к удаленному рабочему столу хоста Windows через цепочку сеансов RDP, вы не сможете использовать CTRL+ALT+END для изменения пароля пользователя. Первое окно RDP перехватит сочетание клавиш. В этих случаях вы можете использовать встроенную экранную клавиатуру Windows, чтобы изменить пароль пользователя.
- Запустите экранную клавиатуру в целевом сеансе RDP (это проще сделать, набрав osk.exe в меню «Пуск»);
- Вы увидите экранную клавиатуру;
- Нажмите CTRL+ALT на физической (локальной) клавиатуре (она должна отображаться на экране), а затем нажмите кнопку "Удалить" на экранной клавиатуре;
- Поэтому комбинация клавиш Ctrl+Alt+Del будет отправлена в удаленный сеанс RDP, и появится стандартное диалоговое окно безопасности Windows, в котором вы можете изменить пароль. ол>р>
- Настройте роль RDWA со страницей смены пароля, как описано выше; на вашем хосте RDP (не рекомендуется, так как это значительно снижает уровень безопасности RDP-подключений) и используйте файл .rdp со строкой enablecredsspsupport:i:0 для подключений;
- Используйте отдельный хост RDP для изменения паролей пользователей. Вам не нужно устанавливать роль узла сеансов удаленного рабочего стола на этом узле или добавлять пользователей в локальную группу пользователей удаленного рабочего стола, но вы должны отключить NLA. Тогда пользователи смогут менять свои пароли, но не смогут заходить на сервер через RDP;
- Пользователь может изменить свой пароль удаленно с помощью PowerShell (если у него есть сетевой доступ к контроллеру домена).
Помните, что когда вы меняете пароль пользователя, он должен соответствовать требованиям вашей локальной политики или политики домена в отношении паролей.
Если ваш новый пароль им не соответствует, вы увидите сообщение ниже:
Обратите внимание, что если в политике домена (или в детальных политиках паролей — PSO) настроен минимальный срок действия пароля, это может помешать пользователю менять пароль чаще, чем указано в настройках объекта групповой политики.
Вы можете просмотреть, когда истечет срок действия пароля пользователя, используя PowerShell:
Скрипт VBS/PowerShell для смены пароля в сеансе RDP
Диалоговое окно безопасности Windows можно вызвать в сеансе RDP с помощью встроенных инструментов Windows: VBScript, PowerShell или ярлыка оболочки.
Например, создайте на рабочем столе текстовый файл WindowsSecurity.vbs со следующим кодом VBScript:
set objShell = CreateObject("shell.application")
objshell.WindowsSecurity
Если дважды щелкнуть файл VBS, появится стандартная форма для изменения пароля.
Вы можете поместить этот файл VBS на общий рабочий стол на хосте RDS ( %SystemDrive%\Users\Public\Desktop\ ) или скопировать файл на рабочие столы пользователей с помощью GPO.
Точно так же вы можете открыть окно смены пароля из PowerShell. Используйте команду ниже:
Новый объект -COM Shell.Application).WindowsSecurity()
Есть возможность создать ярлык Проводника Windows со следующей ссылкой:
Изменение паролей через веб-доступ к удаленному рабочему столу (RDWEB)
Если вы получаете доступ к своим серверам RDP через хост с ролью веб-доступа к удаленному рабочему столу (RDWA), вы можете разрешить изменение пароля с истекшим сроком действия на странице входа в RDWA (это подробно описано здесь).
NLA CredSSP и изменение пароля в RDP
Существует важная функция изменения просроченного пароля пользователя в RDP, связанная с проверкой подлинности на уровне сети (NLA) и протоколом Credential Security Support Provider (CredSSP). По умолчанию CredSSP с NLA для RDP включен в Windows Server 2012/Windows 8 и более поздних версиях. NLA защищает сервер RDP, аутентифицируя пользователя перед установлением сеанса RDP с хостом.
Если срок действия пароля пользователя истек или администратор AD включил параметр userAccountControl «Пользователь должен изменить пароль при следующем входе в систему» (чаще всего он включен для новых учетных записей AD), вы увидите следующую ошибку при входе в систему с использованием RDP:
В результате пользователь не может подключиться к серверу с помощью RDP и изменить пароль.
В этом случае, чтобы разрешить удаленным пользователям изменять свои пароли, вы можете:
Читайте также: