Максимальное количество учетных записей windows 7

Обновлено: 05.07.2024

Суть квоты добавления учетных записей компьютеров

Иногда пробегаешь мимо чего-то, в голове мелькает интересный вопрос, но ответ искать недосуг: в этот момент времени нет, а позже мысль ускользает, потому что это же вопрос, а не проблема требующая решения. И так продолжается долго. И как всегда в поисках одного вдруг попадается ответ на давний вопрос.

Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.

Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.

1. Предварительное создание администратором учетных записей компьютеров

2. Делегирование права на создание учетных записей компьютеров в контейнере Computers нужным пользователям

3. Увеличение квоты по умолчанию равной 10-ти установкой нового значения атрибута ms-DS-MachineAccountQuota в Active Directory

Все это хорошо известно, но всякий раз, когда мне приходилось с этим сталкиваться, мелькала мысль: а как считается квота, ведь в учетной записи пользователя нет соответствующего атрибута?

И вот случайно попалась статья KB243327 Default limit to number of workstations a user can join to the domain, которая отвечает на этот вопрос.

Оказывается, в учетной записи компьютера есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя создавшего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер к домену, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то новая учетная запись компьютера создается, иначе появляется выше приведенная ошибка.

Отсюда можно сделать полезные выводы:

1. Квота носит относительный характер, а не абсолютный. За время жизни учетной записи пользователя она может создать сотни учетных записей компьютеров, но именно в момент добавления очередной учетной записи компьютера число учетных записей компьютеров созданных пользователем и существующих в домене должно быть меньше 10-ти

2. Рекомендация по преодолению квоты путем пересоздания учетной записи пользователя совершенно ложная: сработает для одной учетной записи пользователя, но корень проблемы не устранит

3. Надо регулярно чистить AD от мусора: удаляйте старые учетные записи компьютеров, а также пользователей, групп и т.п.

У меня никогда не было проблем с квотами добавления и видимо потому, что имею привычку регулярно удалять мусор J

Существует ли ограничение по программному обеспечению в Windows 7 Home Premium, которое не позволяет вам создавать более чем определенное количество учетных записей локальных пользователей? Мне нужно сделать до 50 разных учетных записей на одном ПК.

Как Windows справляется с этим? Очевидно, что он не может отображать 50 различных изображений профиля пользователя на экране приветствия, поэтому он возвращается к традиционным двум полям «Имя пользователя» и «Пароль»?

В интересах любопытства я создал 50 учетных записей на своей виртуальной машине Windows 7 Professional.

Я использовал net user testx /add где x было значением от 1 до 50 (включительно).

Хотя я понимаю, что это отличается от Home Premium, я могу, по крайней мере, ответить на вторую часть вашего вопроса: это выглядит нелепо.

Это на моей виртуальной машине с Windows 7 Professional, работающей в VirtualBox:

~~Я полагаю, что с помощью локальной политики вы можете изменить экран входа по умолчанию.~~

Чтобы на экране входа отображалось приглашение Ctrl + Alt + Del, используйте netplwiz из командной строки с повышенными привилегиями, нажмите «Дополнительно» и выберите «Требовать, чтобы пользователи нажимали Ctrl + Alt + Del».

Как отметил @BloodPhilia, вы ограничены только ресурсами, но я бы сказал, что если в систему одновременно войдут только два или три человека, все будет в порядке.

Количество учетных записей не ограничено программными ограничениями. Однако в определенный момент у вас закончатся системные ресурсы, чтобы упростить учетные записи пользователей.

Обратите внимание на тот факт, что только 20 пользователей одновременно могут подключиться к общему сетевому ресурсу, расположенному на этом компьютере.

Я не знаю, верно ли это до сих пор, но вот что я нашел в одном из моих старых ноутбуков .

Максимальное количество учетных записей локальных пользователей = 4 294 967 296

Это было проверено кем-то в 32-битной системе много лет назад.

Максимальное количество учетных записей локальных пользователей, которое может отображаться на экране приветствия = 100

Я записал эту информацию в какой-то блокнот много лет назад, но забыл сослаться на тестера или записать его. Я думаю, что он проверял это на Win2K и XP Professional. Кредит достается ему, ребята.

Каждая созданная учетная запись пользователя получает уникальный номер или идентификатор, который увеличивается каждый раз, когда кто-либо или что-либо выполняет удаление, создает учетную запись пользователя с тем же именем или создает новую операцию учетной записи пользователя.

Ограничения также применяются к оборудованию, на котором работает Windows.

Маленький квадрат этого пользователя появляется с пустым изображением на экране входа в систему (без цветов, без собак, без роботов, просто пустой квадрат)

Что такое учётная запись Windows 7

Учётная запись – это у нас своего рода надстройка поверх системного ядра, которая персонализирована определенным образом под пользователя. Это профиль, личное виртуальное пространство, в котором у него может быть своё оформление рабочего стола, системного интерфейса, экранной заставки и прочие профильные настройки, у него могут храниться свои какие-либо файлы. У пользователя может быть установлен свой отдельный софт, а тот софт, что устанавливается для всех пользователей, может быть настроен для каждого из них, конкретно под его индивидуальные потребности. Учётная запись пользователя, будучи уже его личным виртуальным пространством, может быть запаролена и тем самым защищена от доступа других людей, у которых также есть доступ к компьютеру.

Первичная учётная запись создаётся при установке Windows 7, и создаётся она для главного пользователя. В дальнейшем каждый из пользователей компьютера может создать свою личную учётку. И каждый такой вот пользователь будет иметь доступ к своему личному виртуальному пространству на экране блокировки Windows 7.

Имя пользователя учётной записи будет отображается в меню «Пуск».

На диске С в системе создаётся профиль пользователя – папка с комплектом разных подпапок, где хранятся его личные данные. Часть из этих данных скрыта, это данные, которые необходимы для профильной работы Windows 7 и установленных сторонних программ. А часть открыта и доступна для использования – это тематические папки для хранения разнообразных данных пользователя типа видео, аудио, изображений, документов, контактов и прочих файлов.

Если учётная запись запаролена, тогда к папкам профиля пользователя не смогут получить доступ другие пользователи системы через свои учётные записи.

Все учётные записи в среде Windows 7 только локальные, они единожды создаются на компьютере и могут быть использованы только на нём. Тогда как в Windows 8.1 и Windows 10 они могут быть как локальными, так и подвязанными к интернет-аккаунту Microsoft, который обеспечивает больший уровень защиты и открывает возможность для синхронизации отдельных профильных данных, что очень удобно при переходе на другой компьютер или переустановке Windows.

Типы учётных записей

Учётные записи Windows 7 могут быть трёх типов, определяющих уровень доступа к системным возможностям.

Администратор – это пользователь со всеми возможными правами, он может вносить любой значимости системные настройки и контролировать работу других пользователей. Первая учётная запись, та, что создаётся в процессе установки Windows 7 – с правами администратора.
Обычный (стандартный) пользователь – это тип учётки уже с ограниченными возможностями, такие пользователи не могут запускать любой системный функционал и сторонние программы, которые требуют прав администратора.

К системному функционалу относятся утилиты, которые вносят важные изменения, а также настройки в панели управления, которые отмечены значком доступа только с правами администратора.

В обычных учётках пользователи могут проделывать операции, которые требуют прав администратора, но только при условии ввода пароля от любой из учётных записей администратора, имеющихся на компьютере.

Гость – это тип учётной записи для временного доступа к компьютеру. Это по сути такая же учётка, как и у обычного пользователя, но только обезличенная, предназначается для разовой работы на компьютере разных людей.

Создание учётных записей и управление ими

Если нам нужно создать отдельную учётку для другого пользователя, отправляемся в панель управления. Здесь есть целый раздел по работе с учётными записями, где мы можем проводить те или иные манипуляции с ними. Заходим в этот раздел.

И нажимаем «Добавление и удаление учётных записей пользователей».

Далее мы можем включить учётку гостя, если нужно обеспечить отдельную среду для работы непостоянных пользователей. Если на компьютере постоянно будет работать какой-то один конкретный человек, нажимаем «Создание учётной записи».

Указываем имя пользователя и выбираем тип учётной записи – будет это обычная или с правами администратора. Нажимаем кнопку создания внизу окна.

Учётная запись создана, нажимаем на неё.

И вот здесь можем проводить с ней разного рода манипуляции – менять имя, менять тип, назначать пароль, менять аватарку, настраивать родительский контроль. Ну а за ненадобностью можем и удалить.

После создания учётки мы выходим из системы или просто меняем пользователя.

И заходим в созданную учётную запись. При первом входе в неё нужно будет немного подождать, пока система сформирует отдельный пользовательский профиль.

Удаление учётных записей

Если учётка больше не нужна, чтобы её удалить, заходим в раздел панели управления «Учётные записи пользователей», выбираем пункт «Добавление и удаление учётных записей пользователей», указываем удаляемого пользователя и выбираем операцию удаления. При этом система предложит нам два варианта удаления – с сохранением файлов удаляемого пользователя и просто удаление без сохранения.

Если в профиле пользователя есть ценные личные файлы, можно выбрать вариант с их сохранением. Тогда после удаления учётки в оставшейся таковой администратора появится папка с именем удалённого пользователя и его профильными файлами.

Управление учётными записями в оснастке локальных групп и пользователей

Панель управления – не единственная системная среда, из которой можно управлять учётками пользователей. В редакциях Windows 7 от Pro и выше есть альтернативная реализация управления учётными записями – «Локальные группы и пользователи». Она не только являет собой альтернативный инструмент, но также и предусматривает немногим большие возможности, нежели те, что в панели управления. Для запуска оснастки мы нажимаем клавиши Win+R, вписываем в окне «Выполнить»: lusrmgr.msc

В окне оснастки слева заходим в раздел «Пользователи», и вот здесь мы, собственно, можем и выполнять манипуляции с учётками. Для создания новой учётной записи на пустом месте в окне мы вызываем контекстное меню и жмём «Новый пользователь».

В появившемся окне вводим имя пользователя и, если данный пользователь будет у нас работать с незапароленной учётной записью, тогда снимаем предустановленную галку требования смены пароля при следующем заходе в систему. И жмём «Создать».

А если же пользователь хочет иметь учётную запись, защищённую паролем, эту галку оставляем. И тогда при первом его входе у него будет возможность самому создать себе пароль.

В контекстном меню уже имеющихся учётных записей можно выбрать операции как то: задание пароля (используется и для сброса пароля), удаление пользователей, их переименование, открытие свойств.

В свойствах учётной записи во вкладке «Членство в группах» у нас есть возможность назначать пользователям членство в группах с различными возможностями. И таким образом, устанавливается тип учётной записи администратора, ведь по умолчанию у нас при создании назначается тип обычного пользователя. Во вкладке «Общие» у нас есть возможность назначать срок действия пароля учётных записей, отключать их и разблокировывать.

С помощью данной оснастки также происходит разблокировка учётных записей, если для них изначально уже в локальных групповых политиках настроена блокировка при определённом лимите попыток ввода пароля в качестве защиты от подбора паролей сторонними лицами. А временное отключение учётных записей можно использовать как альтернативу их удалению для пользователей, которые могут длительное время не использовать компьютер, но с определённой периодикой всё же это делают.

По умолчанию право на присоединение компьютеров к домену предоставляется группе пользователей Прошедшие проверку (Autentificated Users). Другими словами, любой пользователь, имеющий доменную учетную запись, может добавить свой компьютер в домен. Однако чтобы избежать злоупотреблений, максимальное количество машин, которое может присоединить рядовой пользователь, ограничено 10.

За размер квоты отвечает атрибут пользователя ms-DS-MachineAccountQuota. Считается квота следующим образом: в учетной записи компьютера (а не пользователя) есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя, заводившего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер в домен, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то компьютер подключается к домену, иначе появляется приведенная выше ошибка. Квота носит относительный характер, т.е. считаются не все учетные записи компьютеров, когда либо заведенные пользователем, а только существующие в домене на данный момент.

Есть несколько способов обойти квоту.

Предварительное создание учетной записи компьютера

Открываем оснастку «Active Directory — пользователи и компьютеры».
Щелкаем правой кнопкой мыши на контейнере, в котором планируется создавать учетную запись и выбираем пункт Создать — Компьютер.
В открывшемся окне вводим имя компьютера, который необходимо добавить в домен.
Жмем на кнопку Изменить и выбираем пользователя или группу, от имени которого производится присоединение к домену. При выборе имейте ввиду, что квота не распространяется только на членов группы Администраторы домена (Domain admins) и тех пользователей, которым делегированы права на управление данным контейнером.
Далее жмем OK и учетная запись компьютера создана, а в значении атрибута ms-DS-CreatorSID будет указан SID того пользователя, от имени которого заводилась учетная запись в AD, а не того кто физически подключал компьютер к домену.

Достоинство этого способа в том, что мы сразу создаем учетную запись в нужном нам контейнере, а не в контейнере Computers (контейнер для компьютеров по умолчанию). Однако он более трудоемок, чем остальные, ведь таким образом придется создавать учетку для каждого нового компьютера.

Делегирование прав на создание и удаление учетных записей компьютеров

Открываем оснастку «Active Directory — пользователи и компьютеры».
Щелкаем правой кнопкой мыши на контейнере Computers и выбираем пункт «Делегирование управления».
В мастере делегирования управления выбираем пользователя или группу, которой доверим создавать учетные записи компьютеров. Правильным решением, на мой взгляд, будет создать для этой цели отдельную группу.

В следующем окне отмечаем пункт «Создать особую задачу для делегирования», т.к. в стандартных задачах нет возможности выбрать создание и удаление учетных записей компьютеров.

Отмечаем пункт «Разрешения для создания и удаления дочерних объектов» и выбираем из списка пункты «Создание объекта компьютер» и «Удаление объекта компьютер».

Жмем кнопку Далее, затем Готово. Делегирование создано, и теперь на выбранных пользователей квота не распространяется.

По моему, наиболее оптимальный способ, достаточно один раз создать группу и делегировать ей полномочия, а затем при необходимости просто добавлять в нее пользователей.

Изменение установленной по умолчанию квоты

Подключаемся к контесту именования домена по умолчанию.

Подключившись, щелкаем правой кнопкой мыши на нашем домене и в контекстном меню выбираем пункт «Свойства».

Находим в свойствах атрибут ms-DS-MachineAccountQuota и изменяем его значение на нужное нам.

Читайте также: