Операция не предназначена для встроенных учетных записей Windows 10

Обновлено: 21.11.2024

В этой статье обсуждается проблема, возникающая при удалении или обновлении подготовленного приложения Microsoft Store с помощью Microsoft Store и последующего запуска sysprep на компьютере.

Применимо к: Windows 10 — все выпуски, Windows 11
Исходный номер базы знаний: 2769827

Введение

Sysprep – это инструмент для ИТ-администраторов, которые хотят подготовить установку Windows к дублированию, аудиту и доставке клиентам. Руководство в этой статье предназначено для агентов службы поддержки и ИТ-специалистов. Если вы являетесь домашним пользователем и сталкиваетесь с проблемами при использовании приложений Microsoft Store, см. статью Устранение проблем с приложениями из Microsoft Store.

Некоторые приложения Microsoft Store встроены в образы Windows. Эти приложения включают в себя приложения «Почта», «Карты», «Сообщения», «Bing», «Путешествия» и «Новости» и другие. Эти приложения называются подготовленными приложениями. Подготовленные приложения размещаются в образе и должны быть установлены для каждого пользователя образа Windows при первом входе в систему. В дополнение к встроенным приложениям вы можете загружать свои собственные бизнес-приложения Microsoft Store в образ Windows без необходимости публиковать их в Microsoft Store. Вы можете загружать неопубликованные пакеты Appx с помощью онлайн- или офлайн-команд обслуживания, доступных в DISM.exe или через модуль DISM PowerShell.

Симптомы

Рассмотрите следующие сценарии:

  • Вы создаете пользовательский эталонный компьютер с Windows 10 или Windows 11, который вы хотите подготовить и зафиксировать с помощью sysprep.
  • Вы хотите удалить некоторые подготовленные приложения Microsoft Store (пакеты Appx) с этого эталонного компьютера.
  • Вы запускаете dism -online /Remove-ProvisionedAppxPackage /PackageName:

При выполнении операции sysprep в этом сценарии может произойти сбой операции со следующей ошибкой:

Инструмент подготовки системы 3.14
Произошла неустранимая ошибка при попытке sysprep компьютера

  • У вас есть образ Windows, и несколько приложений Microsoft Store загружены в этот образ.
  • Вы хотите удалить некоторые загруженные пакеты Appx из образа и настроить его дальше.
  • Вы загружаетесь на эталонный компьютер и запускаете одну из следующих команд PowerShell, чтобы удалить подготовку пакета Appx:
    • Remove-AppxProvisionedPackage -PackageName

    При выполнении операции sysprep в этом сценарии может произойти сбой операции со следующей ошибкой:

    Инструмент подготовки системы 3.14
    Произошла неустранимая ошибка при попытке sysprep компьютера

    • Вы создаете эталонный образ Windows 10 или Windows 11.
    • Вы подключаетесь к Microsoft Store, а затем обновляете встроенные приложения Microsoft Store с помощью Microsoft Store.

    При выполнении операции sysprep в этом сценарии может произойти сбой операции со следующей ошибкой:

    Инструмент подготовки системы 3.14. Произошла неустранимая ошибка при попытке sysprep компьютера

    Кроме того, в SetupErr.log вы можете заметить следующие записи об ошибках:

    , Ошибка Пакет SYSPRP

    был установлен для пользователя, но не подготовлен для всех пользователей. Этот пакет не будет работать должным образом в образе sysprep.
    , Ошибка SYSPRP Не удалось удалить приложения для текущего пользователя: 0x80073cf2.
    , Ошибка SYSPRP Код выхода потока RemoveAllApps: 0x3cf2.
    , Ошибка [0x0f0082] SYSPRP ActionPlatform::LaunchModule: произошел сбой при выполнении «SysprepGeneralize» из C:\Windows\System32\AppxSysprep.dll; dwRet = 0x3cf2
    , ошибка SYSPRP ActionPlatform::ExecuteAction: ошибка при выполнении действия; dwRet = 0x3cf2
    , ошибка SYSPRP ActionPlatform::ExecuteActionList: ошибка при выполнении действий; dwRet = 0x3cf2
    , Ошибка SYSPRP SysprepSession::Execute: Ошибка при выполнении действий из C:\Windows\System32\Sysprep\ActionFiles\Generalize.xml; dwRet = 0x3cf2
    , Ошибка SYSPRP RunPlatformActions: Ошибка при выполнении действий SysprepSession; dwRet = 0x3cf2
    , ошибка [0x0f0070] SYSPRP RunExternalDlls: Произошла ошибка при запуске sysprep DLL реестра, что остановило выполнение sysprep. dwRet = 0x3cf2
    , ошибка [0x0f00a8] SYSPRP WinMain: сбой при обработке sysprep обобщения внутренних поставщиков; час = 0x80073cf2

    Причина

    У Sysprep есть дополнительный поставщик, добавленный в Windows для очистки пакетов Appx и обобщения образа. Поставщик работает только в том случае, если пакет Appx является пакетом для каждого пользователя или подготовленным для всех пользователей.

    • Пакет для каждого пользователя означает, что пакет Appx установлен для определенной учетной записи пользователя и недоступен для других пользователей компьютера.
    • Пакет для всех пользователей означает, что Appx был предоставлен в образе, чтобы все пользователи, использующие этот образ, могли получить доступ к приложению.

    Если пакет для всех пользователей, подготовленный в образе, был деинициализирован из образа вручную, но не удален для определенного пользователя, поставщик обнаружит ошибку при очистке этого пакета во время sysprep. Поставщик также выйдет из строя, если пакет для всех пользователей, подготовленный в образе, был обновлен одним из пользователей на этом эталонном компьютере.

    Разрешение

    Чтобы решить эту проблему, удалите пакет для пользователя, который запускает sysprep, а также удалите подготовку. Для этого выполните следующие действия.

    Чтобы запретить Microsoft Store обновлять приложения, отключите подключение к Интернету или отключите автоматическое обновление в режиме аудита перед созданием образа.

    Запустите командлет PowerShell Import-Module Appx.

    Запустите Import-Module Dism.

    Запустите Get-AppxPackage -AllUsers | Где PublisherId -eq 8wekyb3d8bbwe | Format-List -Property PackageFullName, PackageUserInformation .

    • В выходных данных этого последнего командлета проверьте пользователей, для которых пакет отображается как установленный. Удалите эти учетные записи пользователей с эталонного компьютера или войдите на компьютер, используя эти учетные записи пользователей. Затем запустите командлет на шаге 4, чтобы удалить пакет Appx.
    • Эта команда выводит список всех пакетов, опубликованных Microsoft и установленных любым пользователем эталонного компьютера. Поскольку компьютер должен быть подготовлен системной подготовкой, мы предполагаем, что для этих профилей пользователей этот пакет больше не требуется.
    • Если у вас есть подготовленные вручную приложения, принадлежащие другим издателям, выполните следующую команду, чтобы вывести их список:
      Get-AppxPackage -AllUsers | Format-List -Property PackageFullName, PackageUserInformation

    Запустите Remove-AppxPackage -Package\

    Удалите подготовку, выполнив следующий командлет:

    Remove-AppxProvisionedPackage -Online -PackageName

    Если вы попытаетесь устранить проблему с обновлением, вы можете повторно подготовить приложение, выполнив следующие действия.

    Проблема не возникает, если вы обслуживаете автономный образ. В этом сценарии подготовка автоматически очищается для всех пользователей. Это включает в себя пользователя, который запускает команду.

    В этом разделе для ИТ-специалистов объясняется, как учетная запись Microsoft работает для повышения безопасности и конфиденциальности пользователей, а также как вы можете управлять этим типом потребительской учетной записи в своей организации.

    На сайтах, службах и свойствах Microsoft, а также на компьютерах под управлением Windows 10 учетная запись Microsoft может использоваться для идентификации пользователя. Учетная запись Microsoft ранее называлась Windows Live ID. Он имеет определяемые пользователем секреты и состоит из уникального адреса электронной почты и пароля.

    Когда пользователь входит в систему с учетной записью Microsoft, устройство подключается к облачным службам. Многие пользовательские настройки, предпочтения и приложения могут использоваться на разных устройствах.

    Как работает учетная запись Microsoft

    Учетная запись Майкрософт позволяет пользователям входить на веб-сайты, поддерживающие эту службу, используя единый набор учетных данных. Учетные данные пользователей проверяются сервером проверки подлинности учетной записи Майкрософт, который связан с веб-сайтом. Microsoft Store является примером этой ассоциации. Когда новые пользователи входят на веб-сайты, на которых разрешено использовать учетные записи Майкрософт, они перенаправляются на ближайший сервер проверки подлинности, который запрашивает имя пользователя и пароль. Windows использует поставщика поддержки безопасности Schannel, чтобы открыть соединение безопасности транспортного уровня/уровня защищенных сокетов (TLS/SSL) для этой функции. Затем пользователи могут использовать Credential Manager для хранения своих учетных данных.

    Важная функциональность локальной учетной записи Windows не была удалена, и ее по-прежнему можно использовать в управляемых средах.

    Как создаются учетные записи Microsoft

    Во избежание мошенничества система Microsoft проверяет IP-адрес, когда пользователь создает учетную запись. Пользователь, пытающийся создать несколько учетных записей Microsoft с одним и тем же IP-адресом, будет остановлен.

    Учетные записи Microsoft не предназначены для пакетного создания, например, для группы пользователей домена на вашем предприятии.

    Существует два способа создания учетной записи Microsoft:

    Использовать существующий адрес электронной почты.

    Пользователи могут использовать свои действительные адреса электронной почты для регистрации учетных записей Microsoft. Служба превращает адрес электронной почты запрашивающего пользователя в учетную запись Microsoft. Пользователи также могут выбирать свои личные пароли.

    Зарегистрируйтесь, чтобы получить адрес электронной почты Microsoft.

    Пользователи могут зарегистрировать учетную запись электронной почты в службах веб-почты Microsoft. Эту учетную запись можно использовать для входа на веб-сайты, на которых разрешено использовать учетные записи Майкрософт.

    Как защищается информация об учетной записи Microsoft

    Учетные данные шифруются дважды. Первое шифрование основано на пароле учетной записи.Учетные данные снова шифруются при отправке через Интернет. Сохраненные данные недоступны для других служб Майкрософт или других служб.

    Требуется надежный пароль.

    Пустые пароли не допускаются.

    Требуется вторичное удостоверение личности.

    Прежде чем в первый раз можно будет получить доступ к информации и настройкам профиля пользователя на втором поддерживаемом компьютере Windows, для этого устройства должно быть установлено доверие путем предоставления вторичного удостоверения личности. Это можно сделать, предоставив Windows код, который будет отправлен на номер мобильного телефона, или следуя инструкциям, которые будут отправлены на дополнительный адрес электронной почты, указанный пользователем в настройках учетной записи.

    Все данные профиля пользователя шифруются на клиенте перед передачей в облако.

    Данные пользователя по умолчанию не перемещаются по беспроводной глобальной сети (WWAN), тем самым защищая данные профиля. Все данные и настройки, покидающие устройство, передаются по протоколу TLS/SSL.

    Добавлена ​​информация о безопасности учетной записи Microsoft.

    Пользователи могут добавлять информацию о безопасности в свои учетные записи Microsoft через интерфейс учетных записей на компьютерах с поддерживаемыми версиями Windows. Эта функция позволяет пользователю обновлять информацию о безопасности, которую он предоставил при создании своей учетной записи. Эта информация безопасности включает в себя альтернативный адрес электронной почты или номер телефона, поэтому, если их пароль скомпрометирован или забыт, им может быть отправлен проверочный код для подтверждения их личности. Пользователи потенциально могут использовать свои учетные записи Майкрософт для хранения корпоративных данных в личном OneDrive или приложении электронной почты, поэтому владелец учетной записи может безопасно обновлять эту информацию о безопасности.

    Учетная запись Microsoft на предприятии

    Хотя учетная запись Майкрософт предназначена для обслуживания потребителей, вы можете столкнуться с ситуациями, когда пользователи вашего домена могут извлечь выгоду, используя свои личные учетные записи Майкрософт на вашем предприятии. В следующем списке описаны некоторые преимущества.

    Загрузить приложения из Microsoft Store:

    Если ваше предприятие решило распространять программное обеспечение через Microsoft Store, ваши пользователи могут использовать свои учетные записи Microsoft для загрузки и использования их на пяти устройствах под управлением любой версии Windows 10, Windows 8.1, Windows 8 или Windows RT.< /p>

    Единый вход:

    Ваши пользователи могут использовать учетные данные учетной записи Microsoft для входа на устройства под управлением Windows 10, Windows 8.1, Windows 8 или Windows RT. Когда они это делают, Windows работает с вашим приложением Microsoft Store, чтобы предоставить им возможности проверки подлинности. Пользователи могут связать учетную запись Microsoft со своими учетными данными для входа в приложения или веб-сайты Microsoft Store, чтобы эти учетные данные перемещались между любыми устройствами, на которых работают эти поддерживаемые версии.

    Синхронизация персональных настроек:

    Пользователи могут связать наиболее часто используемые параметры операционной системы с учетной записью Microsoft. Эти параметры доступны всякий раз, когда пользователь входит в систему с этой учетной записью на любом устройстве, работающем под управлением поддерживаемой версии Windows и подключенном к облаку. После того как пользователь войдет в систему, устройство автоматически попытается получить настройки пользователя из облака и применить их к устройству.

    Синхронизация приложений:

    Приложения Microsoft Store могут хранить пользовательские настройки, чтобы эти настройки были доступны на любом устройстве. Как и в случае с настройками операционной системы, эти пользовательские настройки приложения доступны всякий раз, когда пользователь входит в систему с той же учетной записью Microsoft на любом устройстве с поддерживаемой версией Windows и подключенном к облаку. После того как пользователь войдет в систему, это устройство автоматически загрузит настройки из облака и применит их при установке приложения.

    Интегрированные службы социальных сетей:

    Контактная информация и статус друзей и коллег ваших пользователей автоматически обновляются с таких сайтов, как Hotmail, Outlook, Facebook, Twitter и LinkedIn. Пользователи также могут просматривать и обмениваться фотографиями, документами и другими файлами с таких сайтов, как OneDrive, Facebook и Flickr.

    Управление учетной записью Microsoft в домене

    В зависимости от ваших ИТ- и бизнес-моделей внедрение учетных записей Майкрософт на вашем предприятии может усложнить работу или предоставить решения. Перед тем, как разрешить использование этих типов учетных записей на вашем предприятии, необходимо принять во внимание следующие соображения:

    Приложение B: Привилегированные учетные записи и группы в Active Directory

    «Привилегированные» учетные записи и группы в Active Directory — это те, которым предоставляются мощные права, привилегии и разрешения, позволяющие им выполнять практически любые действия в Active Directory и в системах, присоединенных к домену. Это приложение начинается с обсуждения прав, привилегий и разрешений, после чего следует информация об учетных записях и группах с «самыми высокими привилегиями» в Active Directory, то есть самых мощных учетных записях и группах.

    Также предоставляется информация о встроенных учетных записях и группах по умолчанию в Active Directory в дополнение к их правам. Хотя конкретные рекомендации по настройке для защиты учетных записей и групп с наивысшими привилегиями представлены в виде отдельных приложений, в этом приложении содержится справочная информация, которая поможет вам определить пользователей и группы, на защите которых следует сосредоточиться. Вы должны сделать это, потому что злоумышленники могут использовать их для компрометации и даже уничтожения вашей установки Active Directory.

    Права, привилегии и разрешения в Active Directory

    Различия между правами, разрешениями и привилегиями могут быть запутанными и противоречивыми даже в документации Microsoft. В этом разделе описываются некоторые характеристики каждого из них в том виде, в каком они используются в этом документе. Эти описания не следует считать авторитетными для другой документации Microsoft, поскольку эти термины могут использоваться по-разному.

    Права и привилегии

    Права и привилегии — это фактически те же общесистемные возможности, которые предоставляются субъектам безопасности, таким как пользователи, службы, компьютеры или группы. В интерфейсах, обычно используемых ИТ-специалистами, они обычно называются «правами» или «правами пользователя» и часто назначаются объектами групповой политики. На следующем снимке экрана показаны некоторые из наиболее распространенных прав пользователей, которые могут быть назначены участникам безопасности (он представляет объект групповой политики контроллеров домена по умолчанию в домене Windows Server 2012). Некоторые из этих прав применяются к Active Directory, например право «Включить доверительные учетные записи компьютеров и пользователей для делегирования», в то время как другие права применяются к операционной системе Windows, например «Изменение системного времени».

    В таких интерфейсах, как редактор объектов групповой политики, все эти назначаемые возможности широко называются правами пользователя. Однако в действительности некоторые права пользователя программно называются правами, а другие — привилегиями. Таблица B-1: Права и привилегии пользователей содержат некоторые из наиболее распространенных назначаемых прав пользователей и их программные константы. Хотя групповая политика и другие интерфейсы называют все это правами пользователя, некоторые программно идентифицируются как права, а другие определяются как привилегии.

    Для получения дополнительных сведений о каждом из прав пользователя, перечисленных в следующей таблице, воспользуйтесь ссылками в таблице или см. Руководство по угрозам и мерам противодействия: Права пользователя в руководстве по устранению угроз и уязвимостей для Windows Server 2008 R2 на сайте Microsoft TechNet. . Информацию, относящуюся к Windows Server 2008, см. в документе Права пользователя в документации по устранению угроз и уязвимостей на сайте Microsoft TechNet. На момент написания этого документа соответствующая документация для Windows Server 2012 еще не опубликована.

    Для целей настоящего документа термины "права" и "права пользователя" используются для обозначения прав и привилегий, если не указано иное.

    Таблица B-1: Права и привилегии пользователей
    < td>Действовать как часть операционной системы < td>SeSystemtimePrivilege td>
    Право пользователя в групповой политике Имя константы
    Доступ к диспетчеру учетных данных в качестве доверенный вызывающий абонент SeTrustedCredManAccessPrivilege
    Доступ к этому компьютеру из сети SeNetworkLogonRight
    SeTcbPrivilege
    Добавить рабочие станции в домен SeMachineAccountPrivilege
    Настроить квоты памяти для процесса SeIncreaseQuotaPrivilege
    Разрешить локальный вход SeInteractiveLogonRight
    Разрешить вход через службы терминалов SeRemoteInteractiveLogonRight
    Резервное копирование файлов и каталогов SeBackupPrivilege
    Обход проверки обхода SeChangeNotifyPrivilege
    Изменить системное время
    Изменить часовой пояс SeTimeZonePrivilege
    Создать файл подкачки SeCreatePagefilePrivilege
    Создать объект токена SeCreateTokenPrivilege
    Создание глобальных объектов SeCreateGlobalPrivilege
    Создание постоянных общих объектов SeCreatePermanentPrivilege
    Создание символических ссылок SeCreateSymbolicLinkPrivilege
    Отладка программ SeDebugPrivilege
    Запретить доступ к этому компьютеру из сети SeDenyNetworkLogonRight
    Запретить вход в систему как пакетное задание SeDenyBatchLogonRight
    Запретить вход в качестве службы SeDenyServiceLogonRight
    Запретить локальный входSeDenyInteractiveLogonRight
    Запретить вход через службы терминалов SeDenyRemoteInteractiveLogonRight
    Включить компьютер и учетные записи пользователей, которым можно доверять для делегирования SeEnableDelegationPrivilege
    Принудительное завершение работы из удаленной системы SeRemoteShutdownPrivilege
    Создание аудитов безопасности SeAuditPrivilege
    Имитация клиента после аутентификации SeImpersonatePrivilege
    Увеличение рабочего набора процесса SeIncreaseWorkingSetPrivilege
    Повысить приоритет планирования SeIncreaseBasePriorityPrivilege
    Загружать и выгружать драйверы устройств SeLoadDriverPrivilege
    Блокировка страниц в памяти SeLockMemoryPrivilege
    Вход в систему как пакетное задание SeBatchLogonRight
    Вход в качестве службы SeServiceLogonRight
    Управление журналом аудита и безопасности SeSecurityPrivilege
    Изменить метку объекта SeRelabelPrivilege
    Изменить значения среды прошивки SeSystemEnvironmentPrivilege
    Выполнение задач обслуживания тома SeManageVolumePrivilege
    Профиль одного процесса SeProfileSingleProcessPrivilege
    Производительность системы профиля SeSystemProfilePrivilege
    Удалить компьютер с док-станции SeUndockPrivilege
    Заменить маркер уровня процесса SeAssignPrimaryTokenPrivilege
    Восстановление файлов и каталогов SeRestorePrivilege
    Завершение работы система SeShutdownPrivilege
    Синхронизировать данные службы каталогов SeSyncAgentPrivilege
    Получить право собственности на файлы или другие объекты SeTakeOwnershipPrivilege

    Разрешения

    Разрешения — это элементы управления доступом, которые применяются к защищаемым объектам, таким как файловая система, реестр, службы и объекты Active Directory. Каждый защищаемый объект имеет связанный список управления доступом (ACL), который содержит записи управления доступом (ACE), предоставляющие или запрещающие участникам безопасности (пользователям, службам, компьютерам или группам) возможность выполнять различные операции с объектом. Например, списки управления доступом для многих объектов в Active Directory содержат элементы управления доступом, которые позволяют пользователям, прошедшим проверку подлинности, читать общую информацию об объектах, но не дают им возможности читать конфиденциальную информацию или изменять объекты. За исключением встроенной гостевой учетной записи каждого домена, каждому участнику безопасности, который входит в систему и проходит проверку подлинности контроллером домена в лесу Active Directory или доверенном лесу, по умолчанию к маркеру доступа добавляется идентификатор безопасности аутентифицированных пользователей (SID). . Таким образом, независимо от того, пытается ли пользователь, служба или учетная запись компьютера прочитать общие свойства пользовательских объектов в домене, операция чтения завершается успешно.

    Если участник безопасности пытается получить доступ к объекту, для которого не определены записи ACE и который содержит SID, присутствующий в маркере доступа участника, участник не может получить доступ к объекту. Кроме того, если запись ACE в ACL объекта содержит запрещающую запись для SID, соответствующего маркеру доступа пользователя, ACE «запретить» обычно переопределяет конфликтующую ACE «разрешить». Дополнительные сведения об управлении доступом в Windows см. в разделе Управление доступом на веб-сайте MSDN.

    В этом документе разрешения относятся к возможностям, которые предоставляются или запрещаются участникам безопасности для защищаемых объектов. Всякий раз, когда возникает конфликт между правом пользователя и разрешением, право пользователя обычно имеет приоритет. Например, если объект в Active Directory был настроен с помощью ACL, который запрещает администраторам все права на чтение и запись объекта, пользователь, являющийся членом группы администраторов домена, не сможет просматривать большую часть информации об объекте. Однако, поскольку группе администраторов предоставлено право пользователя «Вступить во владение файлами или другими объектами», пользователь может просто стать владельцем соответствующего объекта, а затем переписать ACL объекта, чтобы предоставить администраторам полный контроль над объектом.

    Именно по этой причине в этом документе рекомендуется избегать использования мощных учетных записей и групп для повседневного администрирования, а не пытаться ограничить возможности учетных записей и групп. Фактически невозможно запретить определенному пользователю, имеющему доступ к мощным учетным данным, использовать эти учетные данные для получения доступа к любому защищаемому ресурсу.

    Встроенные привилегированные учетные записи и группы

    Active Directory предназначен для облегчения делегирования администрирования и принципа наименьших привилегий при назначении прав и разрешений. «Обычные» пользователи, имеющие учетные записи в домене Active Directory, по умолчанию могут читать большую часть того, что хранится в каталоге, но могут изменять только очень ограниченный набор данных в каталоге. Пользователям, которым требуются дополнительные права, может быть предоставлено членство в различных привилегированных группах, встроенных в каталог, чтобы они могли выполнять определенные задачи, связанные с их ролями, но не могли выполнять задачи, не относящиеся к их обязанностям.

    В Active Directory есть три встроенные группы, которые включают в себя группы с наивысшими правами в каталоге: группа администраторов предприятия (EA), группа администраторов домена (DA) и встроенная группа администраторов (BA). .

    Четвертая группа, группа администраторов схемы (SA), обладает привилегиями, злоупотребление которыми может привести к повреждению или уничтожению всего леса Active Directory, но эта группа более ограничена в своих возможностях, чем группы EA, DA и BA. .

    В дополнение к этим четырем группам в Active Directory существует ряд дополнительных встроенных учетных записей и групп по умолчанию, каждой из которых предоставляются права и разрешения, позволяющие выполнять определенные административные задачи. Хотя в этом приложении не содержится подробного описания каждой встроенной группы или группы по умолчанию в Active Directory, в нем содержится таблица групп и учетных записей, которые вы, скорее всего, встретите в своих установках.

    Например, если вы устанавливаете Microsoft Exchange Server в лесу Active Directory, в контейнерах «Встроенные» и «Пользователи» в ваших доменах могут быть созданы дополнительные учетные записи и группы. В этом приложении описываются только те группы и учетные записи, которые создаются в контейнерах «Встроенные» и «Пользователи» в Active Directory на основе собственных ролей и функций. Учетные записи и группы, созданные при установке корпоративного программного обеспечения, не включены.

    Администраторы предприятия

    Группа администраторов предприятия (EA) находится в корневом домене леса и по умолчанию является членом встроенной группы администраторов в каждом домене леса. Встроенная учетная запись администратора в корневом домене леса является единственным членом группы EA по умолчанию. Экспертам предоставляются права и разрешения, которые позволяют им влиять на изменения в масштабах леса. Это изменения, влияющие на все домены в лесу, такие как добавление или удаление доменов, установление доверительных отношений между лесами или повышение функциональных уровней леса. В правильно спроектированной и реализованной модели делегирования членство в EA требуется только при первом создании леса или при внесении определенных изменений на уровне леса, таких как установление исходящего доверия леса.

    Группа EA по умолчанию находится в контейнере «Пользователи» в корневом домене леса и является универсальной группой безопасности, если только корневой домен леса не работает в смешанном режиме Windows 2000 Server, в этом случае группа является глобальной. группа безопасности. Хотя некоторые права предоставляются непосредственно группе EA, многие права этой группы фактически наследуются группой EA, поскольку она является членом группы администраторов в каждом домене леса. Администраторы предприятия не имеют прав по умолчанию на рабочих станциях или рядовых серверах.

    Администраторы домена

    Каждый домен в лесу имеет собственную группу администраторов домена (DA), которая является членом встроенной группы администраторов (BA) этого домена в дополнение к члену локальной группы администраторов на каждом компьютере, присоединенном к домен. Единственным членом группы DA по умолчанию для домена является встроенная учетная запись администратора этого домена.

    DA всемогущи в своих доменах, а советники имеют привилегии на уровне леса. В правильно разработанной и реализованной модели делегирования членство в DA должно требоваться только в сценариях «разбитого стекла», то есть в ситуациях, когда требуется учетная запись с высоким уровнем привилегий на каждом компьютере в домене или когда необходимо внести определенные изменения в масштабах домена. быть сделано. Хотя встроенные механизмы делегирования Active Directory позволяют делегировать в той степени, в какой можно использовать учетные записи DA только в экстренных случаях, создание эффективной модели делегирования может занять много времени, и многие организации используют сторонние приложения для ускорения процесса.

    Группа DA — это глобальная группа безопасности, расположенная в контейнере "Пользователи" домена. Для каждого домена в лесу существует одна группа DA, и единственным членом группы DA по умолчанию является встроенная учетная запись администратора домена. Поскольку группа DA домена вложена в группу BA домена и в локальную группу администраторов каждой системы, присоединенной к домену, DA не только имеют разрешения, которые специально предоставлены администраторам домена, но также наследуют все права и разрешения, предоставленные группе администраторов домена и локальная группа администраторов на всех системах, присоединенных к домену.

    Администраторы

    Встроенная группа администраторов (BA) — это локальная группа домена во встроенном контейнере домена, в который вложены DA и EA, и именно этой группе предоставляются многие прямые права и разрешения в каталоге. и на контроллерах домена. Однако группа «Администраторы» для домена не имеет никаких привилегий на рядовых серверах или рабочих станциях. Членство в локальной группе администраторов компьютеров, присоединенных к домену, дает локальные привилегии; и из обсуждаемых групп только DA являются членами локальных групп администраторов всех присоединенных к домену компьютеров по умолчанию.

    Группа «Администраторы» — это локальная группа домена во встроенном контейнере домена. По умолчанию группа BA каждого домена содержит встроенную учетную запись администратора локального домена, группу DA локального домена и группу EA корневого домена леса. Многие права пользователей в Active Directory и на контроллерах домена предоставляются именно группе администраторов, а не советникам или администраторам. Группе BA домена предоставляются разрешения на полный доступ к большинству объектов каталога, и она может стать владельцем объектов каталога. Хотя группам EA и DA предоставляются определенные разрешения для конкретных объектов в лесу и доменах, большая часть возможностей групп фактически «унаследована» от их членства в группах BA.

    Хотя это конфигурации по умолчанию для этих привилегированных групп, член любой из трех групп может манипулировать каталогом, чтобы получить членство в любой из других групп. В некоторых случаях добиться этого несложно, а в других сложнее, но с точки зрения потенциальных привилегий все три группы следует считать фактически эквивалентными.

    Администраторы схемы

    Группа администраторов схемы (SA) является универсальной группой в корневом домене леса и имеет только встроенную учетную запись администратора этого домена в качестве члена по умолчанию, аналогично группе EA. Хотя членство в группе SA может позволить злоумышленнику скомпрометировать схему Active Directory, которая является основой для всего леса Active Directory, SA имеют мало прав и разрешений по умолчанию за пределами схемы.

    Вы должны тщательно управлять и контролировать членство в группе SA, но в некоторых отношениях эта группа является "менее привилегированной", чем три группы с наивысшим уровнем привилегий, описанные ранее, поскольку объем ее привилегий очень узок; то есть SA не имеют административных прав нигде, кроме схемы.

    Дополнительные встроенные группы и группы по умолчанию в Active Directory

    Для облегчения делегирования администрирования в каталоге Active Directory поставляется с различными встроенными группами и группами по умолчанию, которым предоставлены определенные права и разрешения. Эти группы кратко описаны в следующей таблице.

    В следующей таблице перечислены встроенные группы и группы по умолчанию в Active Directory. Оба набора групп существуют по умолчанию; однако встроенные группы расположены (по умолчанию) в контейнере Built-in в Active Directory, а группы по умолчанию расположены (по умолчанию) в контейнере Users в Active Directory. Группы во встроенном контейнере — это все локальные группы домена, а группы в контейнере «Пользователи» — это смесь локальных, глобальных и универсальных групп домена в дополнение к трем отдельным учетным записям пользователей (Администратор, Гость и Krbtgt).

    В дополнение к группам с наивысшими привилегиями, описанными ранее в этом приложении, некоторым встроенным учетным записям и группам по умолчанию предоставляются повышенные привилегии, и их также следует защищать и использовать только на защищенных административных хостах. Эти группы и учетные записи можно найти в заштрихованных строках таблицы B-1: Встроенные группы и учетные записи по умолчанию в Active Directory. Поскольку некоторым из этих групп и учетных записей предоставлены права и разрешения, которые могут быть использованы для компрометации Active Directory или контроллеров домена, им предоставляется дополнительная защита, как описано в Приложении C: Защищенные учетные записи и группы в Active Directory.

    Контроль учетных записей пользователей (UAC) — это фундаментальный компонент общей концепции безопасности Microsoft. UAC помогает смягчить воздействие вредоносного ПО.

    Процесс и взаимодействие UAC

    Каждое приложение, которому требуется токен доступа администратора, должно запрашивать согласие. Единственным исключением являются отношения, существующие между родительским и дочерним процессами. Дочерние процессы наследуют маркер доступа пользователя от родительского процесса. Однако и родительский, и дочерний процессы должны иметь одинаковый уровень целостности. Windows защищает процессы, помечая их уровни целостности. Уровни честности являются мерой доверия. Приложение с «высокой» целостностью — это приложение, которое выполняет задачи, изменяющие системные данные, например приложение для создания разделов диска, а приложение с «низкой» целостностью — это приложение, выполняющее задачи, которые потенциально могут скомпрометировать операционную систему, например веб-браузер. Приложения с более низким уровнем целостности не могут изменять данные в приложениях с более высоким уровнем целостности. Когда обычный пользователь пытается запустить приложение, для которого требуется токен доступа администратора, UAC требует, чтобы пользователь предоставил действительные учетные данные администратора.

    Чтобы лучше понять, как происходит этот процесс, давайте рассмотрим процесс входа в систему Windows.

    Процесс входа

    Ниже показано, чем процесс входа в систему для администратора отличается от процесса входа в систему для обычного пользователя.

    По умолчанию обычные пользователи и администраторы получают доступ к ресурсам и запускают приложения в контексте безопасности обычных пользователей. Когда пользователь входит в систему на компьютере, система создает маркер доступа для этого пользователя. Маркер доступа содержит информацию об уровне доступа, предоставленном пользователю, включая определенные идентификаторы безопасности (SID) и привилегии Windows.

    Когда администратор входит в систему, для пользователя создаются два отдельных маркера доступа: стандартный маркер доступа пользователя и маркер доступа администратора. Маркер доступа стандартного пользователя содержит ту же информацию о пользователе, что и маркер доступа администратора, но административные привилегии Windows и SID удалены. Маркер доступа стандартного пользователя используется для запуска приложений, которые не выполняют административные задачи (стандартные пользовательские приложения). Затем маркер доступа стандартного пользователя используется для отображения рабочего стола (explorer.exe). Explorer.exe — это родительский процесс, от которого все другие инициированные пользователем процессы наследуют свои маркеры доступа. В результате все приложения запускаются от имени обычного пользователя, если пользователь не предоставит согласие или учетные данные для утверждения приложения для использования маркера полного административного доступа.

    Пользователь, являющийся членом группы администраторов, может входить в систему, просматривать веб-страницы и читать электронную почту, используя маркер доступа стандартного пользователя. Когда администратору необходимо выполнить задачу, для которой требуется маркер доступа администратора, Windows 10 или Windows 11 автоматически запрашивает у пользователя подтверждение. Этот запрос называется запросом на повышение прав, и его поведение можно настроить с помощью оснастки «Локальная политика безопасности» (Secpol.msc) или групповой политики. Дополнительные сведения см. в разделе Параметры политики безопасности контроля учетных записей.

    Пользовательский интерфейс UAC

    Когда контроль учетных записей включен, взаимодействие с обычными пользователями отличается от взаимодействия с администраторами в режиме одобрения администратором. Рекомендуемый и более безопасный метод запуска Windows 10 или Windows 11 — сделать вашу основную учетную запись пользователя стандартной учетной записью пользователя. Запуск от имени обычного пользователя помогает максимально повысить безопасность управляемой среды. Благодаря встроенному компоненту повышения прав UAC обычные пользователи могут легко выполнять административные задачи, вводя действительные учетные данные для учетной записи локального администратора. По умолчанию встроенным компонентом повышения прав UAC для обычных пользователей является запрос учетных данных.

    Альтернативой запуску от имени обычного пользователя является запуск от имени администратора в режиме одобрения администратором. Благодаря встроенному компоненту повышения прав UAC члены локальной группы администраторов могут легко выполнять административные задачи, предоставив одобрение. Встроенный по умолчанию компонент повышения прав UAC для учетной записи администратора в режиме одобрения администратором называется запросом согласия.

    Запросы согласия и учетных данных

    При включенном UAC Windows 10 или Windows 11 запрашивает согласие или запрашивает учетные данные действительной учетной записи локального администратора перед запуском программы или задачи, требующей маркера полного доступа администратора. Это приглашение гарантирует, что никакое вредоносное программное обеспечение не может быть установлено без вывода сообщений.

    Запрос согласия

    Запрос согласия отображается, когда пользователь пытается выполнить задачу, для которой требуется маркер административного доступа пользователя. Ниже приведен пример запроса согласия UAC.

    Запрос учетных данных

    Запрос учетных данных отображается, когда обычный пользователь пытается выполнить задачу, для которой требуется маркер административного доступа пользователя. От администраторов также может потребоваться предоставить свои учетные данные, установив для параметра политики Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором значение Запрашивать учетные данные.

    Ниже приведен пример запроса учетных данных UAC.

    Запросы на повышение прав UAC

    Запросы на повышение прав UAC имеют цветовую кодировку для конкретных приложений, что позволяет сразу определить потенциальную угрозу безопасности приложения. Когда приложение пытается запуститься с маркером полного доступа администратора, Windows 10 или Windows 11 сначала анализирует исполняемый файл, чтобы определить его издателя. Сначала приложения делятся на три категории в зависимости от издателя файла: Windows 10 или Windows 11, проверенный издатель (подписанный) и непроверенный издатель (неподписанный). На следующей диаграмме показано, как Windows определяет, какой запрос на повышение прав цвета будет отображаться для пользователя.

    Цветовая кодировка подсказки о высоте выглядит следующим образом:

    • Красный фон с красным значком щита: приложение заблокировано групповой политикой или принадлежит заблокированному издателю.
    • Синий фон с сине-золотым значком щита. Приложение представляет собой административное приложение для Windows 10 и Windows 11, например элемент панели управления.
    • Синий фон со значком синего щита: приложение подписано с использованием Authenticode и является доверенным для локального компьютера.
    • Желтый фон с желтым значком щита: приложение не подписано или подписано, но еще не является доверенным для локального компьютера.

    Значок щита

    Некоторые элементы панели управления, такие как свойства даты и времени, содержат комбинацию действий администратора и стандартных пользователей. Обычные пользователи могут просматривать часы и изменять часовой пояс, но для изменения локального системного времени требуется маркер полного доступа администратора. Ниже приведен снимок экрана элемента панели управления «Свойства даты и времени».

    Значок щита на кнопке "Изменить дату и время" указывает на то, что для процесса требуется токен полного доступа администратора, и будет отображаться запрос на повышение прав UAC.

    Защита запроса на повышение прав

    Процесс повышения прав дополнительно защищен за счет направления приглашения на безопасный рабочий стол. Запросы согласия и учетных данных отображаются на защищенном рабочем столе по умолчанию в Windows 10 и Windows 11. Только процессы Windows могут получить доступ к защищенному рабочему столу. Для более высокого уровня безопасности мы рекомендуем оставить включенным контроль учетных записей: переключаться на безопасный рабочий стол при запросе параметра политики повышения прав.

    Когда исполняемый файл запрашивает повышение прав, интерактивный рабочий стол, также называемый рабочим столом пользователя, переключается на безопасный рабочий стол. Защищенный рабочий стол затемняет рабочий стол пользователя и отображает запрос на повышение прав, на который необходимо ответить, прежде чем продолжить. Когда пользователь нажимает «Да» или «Нет», рабочий стол снова переключается на рабочий стол пользователя.

    Вредоносное ПО может имитировать защищенный рабочий стол, но если для параметра политики Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором задано значение Запрашивать согласие, вредоносное ПО не получает повышение прав, если пользователь щелкает Да на подражание. Если для параметра политики задано значение Запрашивать учетные данные, вредоносное ПО, имитирующее запрос учетных данных, может получить учетные данные от пользователя. Однако вредоносная программа не получает повышенных привилегий, а в системе есть другие средства защиты, которые не позволяют вредоносным программам получить контроль над пользовательским интерфейсом даже с помощью собранного пароля.

    Хотя вредоносное ПО может имитировать безопасный рабочий стол, эта проблема не может возникнуть, если пользователь предварительно не установил вредоносное ПО на ПК. Поскольку процессы, требующие маркера доступа администратора, не могут устанавливаться автоматически, когда включен контроль учетных записей, пользователь должен явным образом дать согласие, нажав Да или предоставив учетные данные администратора. Конкретное поведение запроса на повышение прав UAC зависит от групповой политики.

    Читайте также: