Un modo corretto per creare account non interattivi?

12

Per utilizzare la condivisione file protetta da password in una rete domestica di base, desidero creare un numero di account utente non interattivi su una macchina Windows 8 Pro oltre al set esistente di account interattivi. Gli utenti che corrispondono a quegli account extra non useranno questa macchina in modo interattivo, quindi non voglio che i loro account siano disponibili per l'accesso e non voglio che i loro nomi appaiano nella schermata di benvenuto.

Nelle versioni precedenti di Windows Pro (fino a Windows 7) l'ho fatto creando prima gli account come membri del gruppo "Utenti", quindi includendoli nell'elenco "Nega accesso locale" nelle impostazioni dei criteri di sicurezza locali. Questo ha sempre avuto l'effetto desiderato. Tuttavia, la mia domanda è se questo è il modo giusto / migliore per farlo.

Il motivo per cui sto chiedendo è che anche se questo metodo funziona anche in Windows 8 Pro, ha una piccola stranezza: gli utenti interattivi del gruppo "Utente" sono ancora in grado di vedere questi nomi utente extra quando accedono alla schermata Metro e premere il proprio nome utente nell'angolo in alto a destra (cioè aprire il menu "Esci / Blocca"). L'elenco dei comandi che esce contiene i comandi "Esci" e "Blocca", nonché i nomi di altri utenti (per la funzionalità "cambia utente"). Per qualche motivo tale elenco include gli utenti extra dell'elenco "Nega accesso locale". È interessante notare che ciò accade quando l'utente corrente appartiene al gruppo "Utenti", ma non accade quando l'utente corrente proviene da "Amministratori".

Ad esempio, supponiamo di avere tre account sulla macchina: "Amministratore" (da "Amministratori", può accedere localmente), "A" (da "Utenti", può accedere localmente), "B" (da "Utenti", accesso negato localmente). Quando "Amministratore" è registrato, può vedere solo l'utente "A" elencato nel suo menu "Esci / Blocca" Metro, vale a dire che tutto funziona come dovrebbe. Ma quando l'utente "A" è registrato, può vedere sia "Amministratore" sia l'utente "B" nel suo menu "Esci / Blocca".

Come previsto, nell'esempio precedente il tentativo di passare dall'utente "A" all'utente "B" premendo "B" nel menu non funziona: Windows passa alla schermata di benvenuto che elenca solo "Amministratore" e "A".

Ad ogni modo, in superficie questo sembra essere un bug a livello di interfaccia in Windows 8. Tuttavia, mi chiedo se passare attraverso l'impostazione "Nega accesso locale" sia il modo giusto per farlo in Windows 8. Esiste un altro modo per creare un account utente nascosto non interattivo?

networking  windows-8  home-networking  user-accounts  login 
Formica
fonte
E se dovessi escludere anche quegli utenti dal Usersgruppo?
Afrazier
1
In tutta onestà, questo è il tipo di problema che la funzione HomeGroup ha deciso di risolvere e, secondo me, risolve in modo abbastanza adeguato.
Taylor Gibb,

Risposte:

1

È necessario Resource Kit 2003 e questo comando:

ntrights -u "username" +r SeDenyInteractiveLogonRight

Spiegazione dei diritti dell'utente: 

SeNetworkLogonRight               Access this computer from the network 
SeInteractiveLogonRight           Log on locally 
SeBatchLogonRight                 Log on as a batch job 
SeServiceLogonRight               Log on as a service 
SeDenyNetworkLogonRight           Deny access this computer from the network 
SeDenyInteractiveLogonRight       Deny log on locally 
SeDenyBatchLogonRight             Deny log on as a batch job 
SeDenyServiceLogonRight           Deny log on as a service 
SeCreateGlobalPrivilege           Create global objects 
SeDebugPrivilege                  Debug programs 
SeDenyRemoteInteractiveLogonRight Deny log on through Terminal Services 
SeEnableDelegationPrivilege       Enable computer and user accounts to be trusted for delegation 
SeImpersonatePrivilege            Impersonate a client after authentication 
SeManageVolumePrivilege           Perform volume maintenance tasks  
SeRemoteInteractiveLogonRight     Allow log on through Terminal Services  
SeSyncAgentPrivilege              Synchronize directory service data 
SeUndockPrivilege                 Remove computer from docking station

Aggiungi nuovo utente in Windows 8:

Aggiungi un nuovo utente su Windows 8

Installa Resourse Kit 2003:

Esegui Installa Resourse Kit 2003

Imposta percorso di installazione:

Imposta percorso Resourse Kit 2003

Esegui in CMD con privilegi amministrativi: disabilita l'accesso utente interattivo. Informazioni sulla versione del sistema operativo.

Disabilita l'utente di accesso interattivo

Come rus CMD con privilegi amministrativi:

Come rus CMD con privilegi amministrativi

Disconnettersi:

 shutdown /l

Disconnettersi

Non accedere all'utente senza i privilegi di accesso interattivo - non visualizzare il nuovo utente.

Abilita, disabilita i privilegi di accesso interattivo. Aggiungi utente all'elenco:

aggiungi utente alla lista

Seleziona utente senza privilegi di accesso interattivo:

Seleziona utente senza privilegi di accesso interattivi

Non accedere, tornare alla schermata di accesso.

Non accedere, tornare alla schermata di accesso

Tutte le opere In bocca al lupo!

Nota: vai a questa chiave di registro:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList"

AndreyT 0 DWORD - potrebbe essere nascosto, necessita di test e riavvio.

STTR
fonte
1
Ma le foto che hai pubblicato mostrano esattamente lo stesso problema che ho descritto nella mia domanda! Nella tua immagine Metro (secondo dal basso) l'utente STTRpuò vedere l'utente AndreyTnell'elenco, anche se AndreyTnon ha privilegi di accesso. Questo è esattamente ciò che voglio correggere. Non voglio che l'utente STTRveda l'utente AndreyTin quell'elenco.
AnT
So che l'utente AndreyTnon può accedere. Ma in cima a quello che voglio all'utente AndreyTdi essere invisibile a STTR. La schermata della Metro mostra che AndreyTè ancora visibile STTR. Quello è il problema.
AnT
Se non ho impostato ntrights -u AndreyT -r SeDenyInteractiveLogonRightdopo la creazione dell'utente e non premo il nuovo accesso, l'utente non è visibile. È possibile abilitare l'accesso di controllo e cambiare la password lunga ogni giorno))).
STTR,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserListAndreyT DWORD 0 -può nascondere l'ape
STTR
1
Sfortunatamente, questa impostazione non ha alcun effetto sul problema in questione. Gli utenti sono ancora visibili nell'elenco "Esci".
AnT
0

So che funziona fino a Windows 7, non ho una copia di Windows 8 su cui testarlo, ma suppongo che la funzionalità sia la stessa.

Fondamentalmente aggiungi il nome dell'utente che vuoi nascondere come chiave DWORD (32)

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowNT \ CurrentVersion \ Winlogon \ SpecialAccounts \ UserList \

http://www.tech-recipes.com/rx/6222/windows-7-vista-xp-hide-user-account-from-welcome-screen-login-screen/

usta
fonte
Sfortunatamente, questa impostazione non ha alcun effetto sul problema in questione. Gli utenti sono ancora visibili nell'elenco "Esci".
AnT
0

Uso un setup simile (chiamami vecchio stile) come OP :-). Account utente dedicato per la condivisione di file con condivisione file esplicita e autorizzazioni NTFS.

Oltre ad aggiungere l'account all'elenco "Nega accesso interattivo" in Assegnazione diritti utente nello snap-in Sicurezza locale, è necessario rimuovere anche l'account non interattivo dalle appartenenze a tutti i gruppi (ovvero: l'account utente non deve essere un membro di qualsiasi gruppo). Fallo dallo snap-in "Utenti e gruppi locali". Sembra avere effetto immediato.

Funziona con Windows 8, 8.1 e 10.

Raif Atef
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.