Как добавить пользователя в группу администраторов windows 7

Обновлено: 08.01.2025

Чтобы получить права администратора в Windows 7, необходимо внести изменения в соответствующие параметры операционной системы (ОС). Всего есть четыре способа назначить другого пользователя админом. Выполнение поставленной задачи не требует установки стороннего программного обеспечения.

Активация возможности передачи прав в редакторе групповых политик

По умолчанию в системе каждый пользователь может обладать повышенными полномочиями, для этого основной администратор должен выдать такое право другой учетной записи. Но если в групповые политики были внесены изменения, функция отключится.

Активировать соответствующую опцию можно следующим образом:

1. Открыть интерпретатор команд нажатием Win + R , ввести значение gpedit.msc , щелкнуть ОК .

1. На левой панели проследовать по пути « Конфигурация компьютера » → « Конфигурация Windows » → « Параметры безопасности » → « Локальные политики » → « Параметры безопасности ».
2. Справа кликнуть дважды по параметру « Учетные записи: Состояние учетной записи Администратор ».

1. В появившемся окне установить отметку « Включен », нажать Применить , ОК .

Как дать пользователю права администратора в Windows 7

Включение юзеров в список суперпользователей производится с помощью встроенных средств ОС. Поменять тип учетной записи способен только профиль, который имеет наивысшие права доступа.

Важно! Сделать самого себя администратором в Windows 7 нельзя.

Через «Панель управления»

Настроить права доступа других аккаунтов можно через « Панель управления ». Для этого необходимо:

1. Раскрыть меню « Пуск », перейти в « Панель управления ».

1. Выставив режим просмотра « Категории », проследовать по ссылке « Учетные записи пользователей ».

1. Щелкнуть по пункту « Изменение типа учетной записи ».

1. Выбрать из списка аккаунт, полномочия которого нужно изменить.

1. Перейти по гиперссылке « Изменение типа учетной записи ».

1. Установить отметку напротив пункта « Администратор », щелкнуть Изменение типа учетной записи .

Обратите внимание! Если на компьютере нет второго профиля, предварительно потребуется создать аккаунт.

С помощью «Командной строки»

Включить учетную запись администратора в Windows 7 другому юзеру можно посредством выполнения определенной команды в консоли. Пошаговое руководство:

1. Раскрыть меню « Пуск », в поисковой строке ввести запрос « Командная строка ».
2. Нажать правой кнопкой мыши (ПКМ) по одноименному приложению, выбрать « Запуск от имени администратора ».

1. Запомнить название профиля пользователя, полномочия которого нужно сменить.
2. Ввести net localgroup Администраторы <имя> /add , нажать Enter .

Обратите внимание! Для создания нового профиля используется команда net user <имя> <пароль> /add .

В утилите «Локальные пользователи и группы»

В системе есть специальное меню для управления аккаунтами, в котором можно произвести создание админа. Получение повышенных привилегий производится следующим образом:

1. Открыть интерпретатор команд нажатием Win + R , вписать lusrmgr.msc , кликнуть ОК .

1. В новом окне перейти в папку « Пользователи », щелкнуть ПКМ по нужному профилю, выбрать « Свойства ».

1. Открыть вкладку « Членство в группах » и нажать Добавить .

1. В поле « Введите имена набираемых объектов » вписать слово « Администраторы ». Нажать ОК .

Посредством редактирования системного реестра

Поменять права аккаунта можно через редактор реестра, внеся правки в соответствующие параметры. Пошаговое руководство:

1. Нажатием Win + R раскрыть интерпретатор команд, вписать regedit , щелкнуть ОК .

1. Проследовать по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System .
2. Дважды кликнуть по следующим параметрам и ввести указанные значения:
   • FilterAdministratorToken — 1 ;
   • ConsentPromptBehaviorAdmin — 0 ;
   • EnableLUA — 1 .
3. Закрыть программу, перезапустить компьютер.

Важно! Если параметра из списка в реестре не оказалось, необходимо создать вручную через контекстное меню.

Заключение

Неопытным пользователям для выполнения поставленной задачи рекомендуется вносить изменения через « Панель управления » или утилиту « Локальные пользователи и группы ». Применение редактора реестра и « Командной строки » требует определенных знаний от юзера.

( 1 оценка, среднее 5 из 5 )

Образование: Комсомольский Индустриальный техникум, специальность "Техническая эксплуатация электрооборудования"; Донецкий национальный университет, филологический факультет, специальность "Фундаментальная прикладная лингвистика". Опыт работы оператором компьютерного набора на предприятии "Почта Донбасса", ньюсмейкером на новостном портале DA-Info, автором информационных статей на различных ресурсах и биржах контента.

Зайти в БИОС на Windows можно четырьмя способами, которые косвенно пересекаются между собой. Классически

Переход в спящий режим Windows 7 по умолчанию в компьютере осуществляется автоматически после пяти

Вся информация о программном обеспечении, установленном на компьютере, помещается в специальный системный реестр, чтобы

Чтобы снести Windows через БИОС на ноутбуке, необходимо предварительно создать установочную флешку, после чего Операционная система Windows 7 является одним из самых популярных дистрибутивов, разработанных компанией Microsoft. Достигнуто

Восстановить пароль на Windows 7, когда были потеряны нужные данные и нет доступа к

Принцип такой же как у 10 виндуса, но там все же вариантов побольше, да и безопасней для неопытных пользователей. Лезть в системный реестр или командную строку могут позволить себе лишь уверенные в своих знаниях люди. Одна ошибка там и проще провести восстановление системы, чем найти и устранить проблему.
А вообще нужно сильно подумать, так ли вам нужны права администратора, для обычного пользователя они будут лишними. Хоте если есть необходимость, то лучше воспользоваться панелью управления, там есть все необходимое для этой цели. Хотя как тут и указано, нужно подготовиться создав 2 профиль, простая, но надежная система безопасности.

Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.

По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.

Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.

Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.

Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.

Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.

Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.

Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.

Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.

Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.

Создание группы в Windows.

Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.

Как видите, наша группа появилась в перечне групп.

Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.

Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.

Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.

Сперва нужно выбрать субъект, на который будут распространяться новые права.

Впишите название группы и нажмите кнопку Проверить имена.

Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.

Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.

Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.

27.11.2019

Active Directory, Windows 10, Групповые политики

комментариев 11

С помощью доменных групповых политик вы можете добавить необходимых пользователей AD (или группы) в локальную группу администраторов на серверах или рабочих станциях. Так можно предоставить права локального администратора на компьютерах домена сотрудникам техподдержки, службе HelpDesk, определенным пользователям и другим привилегированным аккаунтам. В этой статье мы покажем насколько способов управления членами локальной группы администраторов на компьютерах домена через GPO.

При добавлении компьютера в домен AD в группу Administrators автоматически добавляется группы Domain Admins, а группа Domain User добавляется в локальную Users.

В классических рекомендациях по безопасности Microsoft рекомендуется использовать следующие группы для разделения полномочиями администраторов в домене:

Domain Admins – администраторы домена, используются только на контроллерах домена;

С точки зрения безопасности привилегированных аккаунтов администраторов не рекомендуется выполнять повседневные задачи администрирования рабочих станций и серверов под учетной записью с правами администратора домена. Такие учётные записи нужно использовать только для задач администрирования AD (добавление новых контроллеров домена, управление репликацией, модификация схемы и т.д.). Большинство задач управления пользователями, компьютерами и политиками в домене можно делегировать для обычных учетных записей администраторов. Не используйте аккаунты из группы Domain Admins для входа на любые рабочие станции и сервера хроме контроллеров домена. Также вы можете полностью отказаться от предоставления прав администратора для доменных пользователей и групп. В этом случае для выполнения административных задач на компьютерах использовать встроенного локального администратора с паролем, хранящимся в AD (реализуется с помощью LAPS).

Допустим, нам нужно предоставить группе сотрудников техподдержки и HelpDesk права локального админа на компьютерах в конкретном OU. Создайте в домене новую группу безопасности с помощью PowerShell и добавьте в нее учетные записи сотрудников техподдержки:

New-ADGroup "mskWKSAdmins" -path 'OU=Groups,OU=Moscow,DC=winitpro,DC=ru' -GroupScope Global –PassThru

Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3

В групповых политиках AD есть два метода управления локальными группами на компьютерах домена. Рассмотрим их по-очереди:

• Ограниченные группы (Restricted Groups)
• Управление локальным группами через предпочтения групповых политик (Group Policy Preferences)

Добавление пользователей в локальную группу администраторов через Group Policy Preferences

Предпочтения групповых политик (Group Policy Preferences, GPP) предоставляют наиболее гибкий и удобный способ предоставления прав локальных администраторов на компьютерах домена через GPO.

Если вы хотите удалить из текущей локальной группы на компьютере пользователей и группы, добавленных вручную, отметьте опции “Delete all member users” и “Delete all member groups”. В большинстве случае это целесообразно, т.к. вы гарантируете, что на всех компьютерах права администратора будут только у назначенной доменной группы. Теперь если на компьютере вручную добавить пользователя в группу администраторов, при следующем применении политики он будет автоматически удален. Если политика не применилась на клиенте, для диагностики воспользуйтесь командой gpresult. Также убедитесь что компьютер находится в OU, на которое нацелена политика, а также проверьте рекомендации из статьи “Почему не применяются политики в домене AD?”

Вы можете настроить дополнительные (гранулярные) условия нацеливания данной политики на конкретные компьютеры с помощью WMI фильтров GPO или Item-level Targeting. Во втором случае перейдите на вкладку Common и отметьте опцию Item-level targeting. Нажмите на кнопку Targeting. Здесь вы можете указать условия, когда данная политика будет применяться. Например, я хочу, чтобы политика добавления группф администраторов применялась только к компьютерам с Windows 10, чьи NetBIOS/DNS имена не содержат adm . Вы можете использовать свои условия фильтрации.

Не рекомендуется добавлять в этой политики индивидуальные аккаунты пользователей, лучше использовать доменные группы безопасности. В этом случае, чтобы предоставить права администраторов очередному сотруднику тех. поддержки, вам достаточно добавить его в доменную группу (не придется редактировать GPO),

Управление локальными администраторами через Restricted Groups

Политика групп с ограниченным доступом (Restricted Groups) также позволяет добавить доменные группы/пользователей в локальные группы безопасности на компьютерах. Это более старый способ предоставления прав локального администратора и сейчас используется реже (способ менее гибкий, чем способ с Group Policy Preferences).

1. Перейдите в режим редактирования политики;
2. Разверните секцию Computer Configuration -> Policies -> Security Settings -> Restrictred Groups (Конфигурация компьютера -> Политики -> Параметры безопасности -> Ограниченные группы);
3. В контекстном меню выберите Add Group;
4. В открывшемся окне укажите Administrators -> Ok;
5. В секции “Members of this group” нажмите Add и укажите группу, которую вы хотите добавить в локальные админы;
6. Сохраните изменения, примените политику на компьютеры пользователей и проверьте локальную групп Administrators. В ней должна остаться только указанная в политике группа.

Данная политика всегда (!) удаляет всех имеющихся членов в группе локальных администраторов (добавленных вручную, другими политиками или скриптами). Если на компьютер действует несколько политик с настройками Restrictred Groups, применяется только последняя. Можно обойти это ограничение, добавив в Restrictred Groups сначала группу mskWKSAdmins, и потом эту группу включить в Administrators.

Предоставление прав администратора на конкретном компьютере

Иногда нужно предоставить определенному пользователю права администратора на конкретном компьютере. Например, у вас есть несколько разработчиков, которым периодически необходимы повышенные привилегии для тестирования драйверов, отладки, установки на своих компьютерах. Нецелесообразно добавлять их в группу администраторов рабочих станций на всех компьютерах.

Чтобы предоставить права лок. админа на одном конкретном компьютере можно использовать такую схему.

Прямо в созданной ранее политике AddLocalAdmins в секции предпочтений (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups) создайте новую запись для группы Administrators со следующими настройками:

Также обратите внимание на порядок применения групп на компьютере – Order. Настройки локальных групп применяются сверху вниз (начиная с политики с Order 1).

Первая политика GPP (с настройками “Delete all member users” и “Delete all member groups” как описано выше), удаляет всех пользователей/группы из группы локальных администраторов и добавляет указанную доменную группу. Затем применится дополнительная политика для конкретного компьютера и добавит в администраторы указанного пользователя. Если нужно изменить порядок применения членства в группе Администраторы, воспользуйтесь кнопками вверху консоли редактора GPO.

27.11.2019

Active Directory, Windows 10, Групповые политики

комментариев 11

С помощью доменных групповых политик вы можете добавить необходимых пользователей AD (или группы) в локальную группу администраторов на серверах или рабочих станциях. Так можно предоставить права локального администратора на компьютерах домена сотрудникам техподдержки, службе HelpDesk, определенным пользователям и другим привилегированным аккаунтам. В этой статье мы покажем насколько способов управления членами локальной группы администраторов на компьютерах домена через GPO.

При добавлении компьютера в домен AD в группу Administrators автоматически добавляется группы Domain Admins, а группа Domain User добавляется в локальную Users.

В классических рекомендациях по безопасности Microsoft рекомендуется использовать следующие группы для разделения полномочиями администраторов в домене:

Domain Admins – администраторы домена, используются только на контроллерах домена;

С точки зрения безопасности привилегированных аккаунтов администраторов не рекомендуется выполнять повседневные задачи администрирования рабочих станций и серверов под учетной записью с правами администратора домена. Такие учётные записи нужно использовать только для задач администрирования AD (добавление новых контроллеров домена, управление репликацией, модификация схемы и т.д.). Большинство задач управления пользователями, компьютерами и политиками в домене можно делегировать для обычных учетных записей администраторов. Не используйте аккаунты из группы Domain Admins для входа на любые рабочие станции и сервера хроме контроллеров домена. Также вы можете полностью отказаться от предоставления прав администратора для доменных пользователей и групп. В этом случае для выполнения административных задач на компьютерах использовать встроенного локального администратора с паролем, хранящимся в AD (реализуется с помощью LAPS).

Допустим, нам нужно предоставить группе сотрудников техподдержки и HelpDesk права локального админа на компьютерах в конкретном OU. Создайте в домене новую группу безопасности с помощью PowerShell и добавьте в нее учетные записи сотрудников техподдержки:

New-ADGroup "mskWKSAdmins" -path 'OU=Groups,OU=Moscow,DC=winitpro,DC=ru' -GroupScope Global –PassThru

Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3

В групповых политиках AD есть два метода управления локальными группами на компьютерах домена. Рассмотрим их по-очереди:

• Ограниченные группы (Restricted Groups)
• Управление локальным группами через предпочтения групповых политик (Group Policy Preferences)

Добавление пользователей в локальную группу администраторов через Group Policy Preferences

Предпочтения групповых политик (Group Policy Preferences, GPP) предоставляют наиболее гибкий и удобный способ предоставления прав локальных администраторов на компьютерах домена через GPO.

Если вы хотите удалить из текущей локальной группы на компьютере пользователей и группы, добавленных вручную, отметьте опции “Delete all member users” и “Delete all member groups”. В большинстве случае это целесообразно, т.к. вы гарантируете, что на всех компьютерах права администратора будут только у назначенной доменной группы. Теперь если на компьютере вручную добавить пользователя в группу администраторов, при следующем применении политики он будет автоматически удален. Если политика не применилась на клиенте, для диагностики воспользуйтесь командой gpresult. Также убедитесь что компьютер находится в OU, на которое нацелена политика, а также проверьте рекомендации из статьи “Почему не применяются политики в домене AD?”

Вы можете настроить дополнительные (гранулярные) условия нацеливания данной политики на конкретные компьютеры с помощью WMI фильтров GPO или Item-level Targeting. Во втором случае перейдите на вкладку Common и отметьте опцию Item-level targeting. Нажмите на кнопку Targeting. Здесь вы можете указать условия, когда данная политика будет применяться. Например, я хочу, чтобы политика добавления группф администраторов применялась только к компьютерам с Windows 10, чьи NetBIOS/DNS имена не содержат adm . Вы можете использовать свои условия фильтрации.

Не рекомендуется добавлять в этой политики индивидуальные аккаунты пользователей, лучше использовать доменные группы безопасности. В этом случае, чтобы предоставить права администраторов очередному сотруднику тех. поддержки, вам достаточно добавить его в доменную группу (не придется редактировать GPO),

Управление локальными администраторами через Restricted Groups

Политика групп с ограниченным доступом (Restricted Groups) также позволяет добавить доменные группы/пользователей в локальные группы безопасности на компьютерах. Это более старый способ предоставления прав локального администратора и сейчас используется реже (способ менее гибкий, чем способ с Group Policy Preferences).

1. Перейдите в режим редактирования политики;
2. Разверните секцию Computer Configuration -> Policies -> Security Settings -> Restrictred Groups (Конфигурация компьютера -> Политики -> Параметры безопасности -> Ограниченные группы);
3. В контекстном меню выберите Add Group;
4. В открывшемся окне укажите Administrators -> Ok;
5. В секции “Members of this group” нажмите Add и укажите группу, которую вы хотите добавить в локальные админы;
6. Сохраните изменения, примените политику на компьютеры пользователей и проверьте локальную групп Administrators. В ней должна остаться только указанная в политике группа.

Данная политика всегда (!) удаляет всех имеющихся членов в группе локальных администраторов (добавленных вручную, другими политиками или скриптами). Если на компьютер действует несколько политик с настройками Restrictred Groups, применяется только последняя. Можно обойти это ограничение, добавив в Restrictred Groups сначала группу mskWKSAdmins, и потом эту группу включить в Administrators.

Предоставление прав администратора на конкретном компьютере

Иногда нужно предоставить определенному пользователю права администратора на конкретном компьютере. Например, у вас есть несколько разработчиков, которым периодически необходимы повышенные привилегии для тестирования драйверов, отладки, установки на своих компьютерах. Нецелесообразно добавлять их в группу администраторов рабочих станций на всех компьютерах.

Чтобы предоставить права лок. админа на одном конкретном компьютере можно использовать такую схему.

Прямо в созданной ранее политике AddLocalAdmins в секции предпочтений (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups) создайте новую запись для группы Administrators со следующими настройками:

Также обратите внимание на порядок применения групп на компьютере – Order. Настройки локальных групп применяются сверху вниз (начиная с политики с Order 1).

Первая политика GPP (с настройками “Delete all member users” и “Delete all member groups” как описано выше), удаляет всех пользователей/группы из группы локальных администраторов и добавляет указанную доменную группу. Затем применится дополнительная политика для конкретного компьютера и добавит в администраторы указанного пользователя. Если нужно изменить порядок применения членства в группе Администраторы, воспользуйтесь кнопками вверху консоли редактора GPO.

Читайте также:

  
• Windows 10 не полностью русифицировалась
  
• Linux mint 18 что нового
  
• Manjaro linux очистка системы от мусора
  
• Не устанавливается майнкрафт на виндовс 10
  
• Debian hibernate выключается и сам включается