Переименовать учетную запись администратора windows server 2019

Обновлено: 04.07.2024

Пользовательские учетные записи одни из самых популярных объектов в AD. Они нужны для аутентификации и авторизации на рабочих компьютерах и во многих сервисах, интегрированных с AD. Решение различных проблем связанных с УЗ пользователей, а также управление ими является одной из главных рутин для администраторов и специалистов хелпдеска. Данное руководство поможет вам сделать это несколькими способами. Чтобы управлять УЗ пользователей, необходимо войти на контроллер домена или сервер или устройство с установленными средствами удаленного администрирования сервера (RSAT) для Active Directory Domain Services.

Для того, чтобы не было ошибок доступа нам нужен аккаунт администратора домена или группы операторов учетных записей (Account Operators group) или нам нужна УЗ, которая делегирована на создание пользовательских объектов в домене или в нужной нам организационной единице (OU), которую мы будем использовать для хранения аккаунтов.

Как переместить учетную запись пользователя

После создания пользователя вы можете захотеть переместить его в другую OU или контейнер, вот несколько инструкций для этого.

Перемещение учетной записи пользователя через Active Directory Users and Computers

В Active Directory Users and Computers (dsa.msc) включите "Advanced Features" в меню "View".

Перейдите к OU или контейнеру с нужной учетной записью пользователя. В меню "Actions" выберите "Find. ”. В поле “Name” введите имя учетной записи пользователя и нажмите кнопку “Find now. ” В списке результатов поиска выберите нужный объект пользователя.

Щелкните правой кнопкой мыши на учетной записи пользователя. В меню выберите Move.

Откроется окно Перемещения:


В этом окне перейдите к OU или контейнеру, в который вы хотите переместить пользователя, выберите его и нажмите OK.

Перемещение учетной записи пользователя через командную строку

Чтобы переместить объект пользователя (в нашем случае GSoul) в OU "Employees", запустите dsmove.exe в cmd со следующими параметрами:

dsmove.exe "CN=GSoul,CN=Users,DC=office,DC=local" -newparent "OU=Employees,DC=office,DC=local"

Перемещение учетной записи пользователя с помощью Windows PowerShell

Используйте следующий код Powershell для перемещения учетной записи пользователя (GSoul в нашем примере) в OU "Employees".

Import-Module ActiveDirectory
Move-ADObject -Identity:"CN=GSoul,CN=Users,DC=office,DC=local" -TargetPath:"OU=Employees,DC=office,DC=local"

Как переименовать учетную запись пользователя в Active Directory

Для того чтобы переименовать учетную запись пользователя, выполните следующие инструкции.

Переименование учетной записи пользователя в Active Directory Users and Computers

В Active Directory Users and Computers (dsa.msc) в меню View включите Advanced Features.

Перейдите к OU или контейнеру, в котором находится нужный объект пользователя. Щелкните его правой кнопкой мыши и выберите Find. В поле Name введите имя пользователя и нажмите "Find now". В результатах поиска щелкните правой кнопкой мыши нужную учетную запись пользователя и выберите Rename. Введите новое имя и нажмите Enter.


В появившемся окне введите новые данные для других атрибутов и нажмите OK.

Переименование учетной записи пользователя через командную строку

Для переименования пользователя используйте команду dsmove.exe со следующими параметрами:

dsmove.exe "CN=GSoul,CN=Users,DC=office,DC=local" -NewName "Gordon Gates"

Переименование учетной записи пользователя с помощью PowerShell

Чтобы переименовать пользователя в AD, введите этот код в Windows PowerShell:

Import-Module ActiveDirectory
Rename-ADObject -Identity "CN=GSoul,CN=Users,DC=office,DC=local" -NewName "Gordon Gates"

В каждой операционной системе Windows по умолчанию присутствует встроенная (built-in) учетная запись администратора. Эта учетная запись имеет неограниченные права и при ее компрометации злоумышленник получает полный контроль над системой. Чтобы этого не произошло, встроенную учетную запись администратора необходимо защитить.

Существует множество различных способов защиты и сегодня мы рассмотрим некоторые из них.

Отключение и переименование

Одной из наиболее распространенных атак является перебор паролей. Обычно от перебора защищаются с помощью политик блокировки, ограничивающих количество попыток ввода пароля. Однако особенностью встроенной учетной записи администратора является то, что она не зависит от количества неправильного ввода пароля и ее невозможно заблокировать. Поэтому учетная запись администратора является распространенной целью для подобного рода атак.

Одним из способов защиты от перебора является отключение учетной записи либо, если отключение невозможно, то ее переименование.

В производственной среде сделать это проще всего с помощью групповых политик. Нужные нам параметры находятся в разделе Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options.

объект групповой политики, раздел опций безопасности

За переименование отвечает параметр политики с именем Accounts: Rename administrator account. Надо открыть его, отметить чекбокс ″Define this policy settings″ и задать новое имя пользователя. Имя может быть любое, насколько хватит фантазии. Как вариант, можно переименовать администратора в гостя (Guest), а гостя в администратора. Поскольку у гостевой учетной записи практически нулевые права в системе, то взломав ее злоумышленник будет неприятно удивлен 🙂

переименование учетной записи администратора

Переименование учетной записи повышает безопасность, однако эта мера недостаточно эффективна. Учетная запись администратора имеет известный идентификатор безопасности (SID) и существуют средства, позволяющие проходить аутентификацию с использованием SID а не имени пользователя.

Поэтому более эффективным способом защиты учетной записи администратора является ее отключение. Для отключения используется параметр политики с названием Accounts: Administrator account status. Надо открыть его, отметить чекбок ″Define this policy settings″ и поставить переключатель в положение Disabled.

отключение учетной записи администратора

Ну а для большей безопасности учетную запись можно и переименовать и отключить. В результате должно получиться что то типа этого.

отключенный переименованный пользователь

Примечание. Если вы сначала переименуете учетную запись администратора, а потом захотите ее отключить, то ничего не получится. Видимо дело в том, что политика жестко привязана к имени пользователя и при его изменении просто не находит нужную учетку. А вот в обратном порядке все отлично работает и переименовать отключенную учетную запись можно без проблем.

Запрет на вход

И переименование и даже отключение учетной записи администратора вовсе не гарантируют ее полную безопасность. Поэтому следующим этапом защиты будет минимизация потерь в том случае, если учетная запись все же оказалась скомпрометирована.

Надо сказать, что ограничить права локального администратора в системе практически невозможно, но зато можно запретить сам вход в систему. Для этого мы ограничим права входа для учетной записи локального администратора, также с помощью групповых политик.

Примечание. Права входа (Logon Rights) определяют способы входа в систему, доступные для пользователя.

В разделе Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment находятся следующие параметры:

политики безопасности для локальных пользователей

Для активации параметра политики надо надо открыть его, отметить чекбок ″Define this policy settings″ и указать пользователей или группы, для которого эта политика будет применяться. В нашем случае надо указать имя Administrator.

пример включения параметра групповой политики

Microsoft рекомендует отключать для локального администратора все способы входа кроме локального, в результате должно получиться примерно так.

результат настройки

ошибка при попытке подключения по RDP

Проверить запрет на доступ по сети несколько сложнее. Для проверки надо зайти на сервер локально, запустить от имени администратора командную консоль и выполнить команду net use. Например:

Если политика отработала корректно, то вместо ответа будет выдана ошибка с номером 1385.

ошибка при попытке удаленного подключения по сети

Для проверки запрета на запуск в виде сервиса надо открыть оснастку Services, выбрать любой некритичный сервис, например сервис печати (Print spooler), и попробовать запустить его от имени локального администратора.

настройка сервиса

В результате должна получиться следующая ошибка.

ошибка при запуске сервиса от имени администратора

Ну и проверить запрет на запуск в виде пакетного задания можно с помощью планировщика заданий (Task scheduler). Для этого создадим в планировщике задание и укажем его запуск от имени учетной записи локального администратора.

настройка задания в планировщике

В случае успеха при сохранении задания мы получим ошибку.

ошибка при сохранении задания

Заключение

В заключение некоторые важные моменты, о которых необходимо помнить:

• Если вы решили отключить встроенную учетную запись администратора, то не забудьте создать на компьютере хотя бы одного пользователя с административными правами;
• Не рекомендуется применять вышеописанные политики к контроллерам домена. Дело в том, что на контроллерах домена нет локальных учетных записей и политики применяться к учетной записи DSRM администратора. При недоступности этой учетной записи вы не сможете зайти на контроллер домена в режиме восстановления Active Directory;
• При отключении политики переименования учетной записи администратора имя пользователя может не измениться на исходное. В этом случае потребуется в политике прописать стандартное имя, подождать пока она применится, и только потом ее отключать.

Titul


Как Вам возможно известно, Windows создаёт аккаунт администратора с соответствующим именем «Администратор». Этот административный аккаунт имеет привилегии на другими пользовательскими в вашей копии ОС Windows, и используя его, Вы можете делать почти всё что угодно без каких-либо ограничений. Потенциальная опасность этого аккаунта в том, что он является целью хакеров, завладев которым можно получить широкие возможности на компьютере жертвы. Одним из решений является переименование аккаунта администратора во что-либо другое.

Использование «Командной строки» Windows

Используем «Редактор локальной групповой политики»

Вторым способом изменить имя администратора компьютера является использование «Редактора локальной групповой политики». Вам понадобится версия Windows не ниже Pro (Pro или Enterprise), и в зависимости от Ваших потребностей, можно применить это правило к целой сети. Для начала нажмите сочетание клавиш “Win+R”, чтобы запустить диалоговое окно «Выполнить» и введите команду “gpedit.msc” для запуска «Редактора локальной групповой политики».

После того, как редактор будет запущен, Перейдите в области навигации по следующему пути: «Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности». В открывшемся списке найдите и дважды кликните мышкой на политику «Учётные записи: Переименование учётной записи администратора».

Сделанные действия откроют окно настройки выбранной политики. Просто введите новое имя администратора и нажмите «ОК» для того, чтобы сохранить изменения.

Этого достаточно, чтобы переименовать администратора через «Редактор локальной групповой политики». Чтобы изменения вступили в силу, необходимо перезагрузить компьютер или выйти из системы и войти заново. Альтернативным способом применения политик является использование команд, представленной ниже в «Командной строке» с правами администратора.
gpupdate /force

Использование утилиты «Управление компьютером»

Переименовать аккаунт администратора можно и с использованием утилиты «Управление компьютером». Для того, чтобы сделать это, запустите утилиту «Управление компьютером». Запустить её можно разными способами: «Панель управления» -> «Администрирование» -> «Управление компьютером», Нажав сочетание клавиш “Win+X” и выбрав «Управление компьютером» или с помощью диалогового окна «Выполнить».

Теперь перейдите по следующему пути: «Служебные программы -> Локальные пользователи и группы -> Пользователи». Здесь Вы сможете найти аккаунт администратора с именем «Администратор».

Кликните правой кнопкой мыши на аккаунте «Администратор» и выберете опцию «Переименовать», затем введите новое имя администратора и подтвердите изменения.

Вот и всё, что нужно сделать.
Здесь мы рассмотрели 3 способа переименования аккаунта администратора. Надеюсь данная статья будет Вам полезна. Оставляйте комментарии, делитесь советами и опытом использования. До скорого.

Хотите узнать, как использовать групповую политику для переименования учетной записи Администратора в Windows? В этом учебнике мы покажем вам, как создать групповую политику для переименования учетной записи локального администратора на компьютерах домена.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7

Список оборудования

Здесь вы можете найти список оборудования, используемого для создания этого учебника.

Эта ссылка будет также показать список программного обеспечения, используемого для создания этого учебника.

Windows - Связанные Учебник:

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.

Учебник GPO - Переименовать учетную запись администратора

На контроллере домена откройте инструмент управления групповой политикой.

Создание новой групповой политики.

Введите имя для новой политики группы.

Windows - Add GPO

В нашем примере, новый GPO был назван: MY-GPO.

На экране управления групповой политикой расширьте папку под названием «Объекты групповой политики».

Нажмите правой кнопкой мыши на новый объект групповой политики и выберите опцию редактирования.

Windows - Edit GPO

На экране редактора групповой политики расширьте папку конфигурации компьютера и найдите следующий элемент.

Доступ к папке под названием Параметры безопасности.

GPO - Rename administrator account

Включите следующий элемент и настройте новое имя учетной записи Администратора.

• Учетные записи: Переименование учетной записи администратора

GPO Rename administrator

Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.

Поздравляю! Вы закончили создание GPO.

Переименование учетной записи Администратора с помощью GPO

На экране управления политикой Группы необходимо правильно нажать на желаемую Организационную группу и выбрать возможность связать существующий GPO.

В нашем примере мы собираемся связать групповую политику под названием MY-GPO с корнем домена.

GPO- tutorial linking

После применения GPO вам нужно подождать 10 или 20 минут.

В течение этого времени GPO будет реплицироваться на другие контроллеры доменов.

На удаленном компьютере прояви список локальных учетных записей пользователей

Windows - GPO Rename Administrator account

В нашем примере учетная запись местного администратора была переименована в Goku.

Читайте также: