Windows admin centre смена пользователя
В данной статье мы продолжаем рассказывать про работу с Windows Server Core 2019. В прошлых постах мы рассказали как готовим клиентские виртуальные машины на примере нашего нового тарифа VDS Ultralight с Server Core за 99 рублей. Затем показали как работать с Windows Server 2019 Core и как установить на него GUI. Сегодня мы поговорим про управление с помощью Windows Admin Center.
Головной болью было, наверное, по соображениям безопасности, разделять роли серверов. Заводить несколько машин, чтобы физически разделить контроллер домена и файловый сервер.
Благо нам на помощь пришла виртуализация, и теперь изолированно друг от друга могут работать несколько служб, которые из соображений безопасности не могут работать на том же сервере. Виртуализация принесла массу удобства, развертывание виртуальных машин из одного шаблона экономит время специалистам, и физически, все в одной коробке с мощным железом.
Машин все меньше, а серверов все больше, даже у меня, для «просто посмотреть» образовалось два контроллера домена, файловый сервер, сервер под Java приложения и еще пачка веб серверов, поэтому давайте поговорим о том, как можно эффективно управлять серверами на Windows, не отрывая левой руки от кофе.
— С помощью Powershell!
Конечно да, но… нет. Продукт позиционируется как удобный инструмент управления гигантской инфраструктурой. Понятно, что это не совсем так, для таких случаев есть Powershell ISE и скрипты, поэтому хотелось бы рассмотреть действительно полезные юзкейсы. Если у вас есть свой опыт, которым вы вы хотели поделиться, мы можем добавить его в эту статью.
Windows Admin Center лучше подходит для управления стоковыми компонентами. На текущий момент только RSAT может управлять установленными ролями.
Используя WAC, можно улучшить безопасность вашей инфраструктуры, если будете использовать его как шлюз.
Сводная таблица того, он умеет и не умеет:
Управление системой
| WAC | RSAT | |
|---|---|---|
| Управление компонентами | Да | Да |
| Редактор реестра | Да | Нет |
| Управление сетью | Да | Да |
| Просмотр событий | Да | Да |
| Общие папки | Да | Да |
| Управление дисками | Да | Только для серверов с GUI |
| Планировщик заданий | Да | Да |
| Управление устройствами | Да | Только для серверов с GUI |
| Управление файлами | Да | Нет |
| Управление пользователями | Да | Да |
| Управление группами | Да | Да |
| Управление сертификатами | Да | Да |
| Обновления | Да | Нет |
| Удаление программ | Да | Нет |
| Системный монитор | Да | Да |
| WAC | RSAT | |
|---|---|---|
| Advanced Thread Protection | ПРЕВЬЮ | Нет |
| Windows Defender | ПРЕВЬЮ | Да |
| Контейнеры | ПРЕВЬЮ | Да |
| AD Administrativ Center | ПРЕВЬЮ | Да |
| AD Domain and Trusts | Нет | Да |
| AD sites and services | Нет | Да |
| DHCP | ПРЕВЬЮ | Да |
| DNS | ПРЕВЬЮ | Да |
| Диспетчер DFS | Нет | Да |
| Диспетчер GPO | Нет | Да |
| Диспетчер IIS | Нет | Да |
Превью — установка бета версий компонентов для WAC, не входит в состав сборки. Перечислять все не нужно, потому что буквально все компоненты управляются только с помощью RSAT.
Нюансы
Powershell в Windows Admin Center не имеет своей среды сценариев аналогичной Powershell ISE.
Windows Admin Center не поддерживает Powershell ниже 5.0, на старых машинах обязательно нужно ставить новый Powershell, если хотите использовать его.
Главным минусом Windows Admin Center в микро инстансах является потребление оперативной памяти сервера. Он создает четыре сессии по 50-60 мегабайт каждая, и каждая эта сессия остается даже после закрытия Windows Admin Center.
Та же самая проблема и с Powershell через Enter-PSSession, он так же создает новую сессию, и если просто закрыть окно терминала, сессия весом и 70 мегабайт так и останется на удалённом сервере, если её не закрыть её перед выходом с помощью Exit-PSSession или Remove-Pssession.
При использовании Windows Admin Center с этим придется мириться, он отнимет около 170 мегабайт ОЗУ, RSAT таким не страдает.
(См. wsmprovhost.exe)
Упрощаем работу
Максимальное удобство управления достигается если ваша рабочая станция, на которой установлен WAC находится в домене. Он берет учетные данные пользователя, который зашел в систему, подключение к серверам осуществляется по одному щелчку мыши.
Импортировать список серверов можно с помощью txt файла, перечислив имена серверов переносом строки, как и в RSAT.
Что тоже радует, ранее, чтобы интегрировать в AD виртуальную машину на Server Core, приходилось делать это через sconfig, а это значит нужен прямой доступ к его экрану. В случае с хостингами приходилось делать все это через VNC. Теперь, при переходе на главную страницу можно нажать «Изменить идентификатор компьютера» и ввести в домен.
Кстати, чтобы ввести в домен Windows Server 2019, больше не требуется делать Sysprep, потому что Sysprep тоже нужно было завершать через VNC.
Чтобы изменить сетевые настройки теперь нужно сделать два клика. Подключаешься к серверу и меняешь.
Это выходит так же быстро, как и через WinRM, только одной рукой.
Повышаем безопасность
На текущий момент есть четыре типа развертывания. Локальный, в качестве шлюза, установка на один из продакшн серверов и в составе кластера.
*Картинка с сайта майкрософт
Установка в качестве шлюза, на отдельный сервер, наиболее безопасный и рекомендуемый вариант. Это аналог схемы с VPN, когда доступ к управлению имеется только с определенного IP адреса или участка сети.
Согласитесь, гораздо удобнее держать на одной вкладке видосы и мемасы, а на другой Windows Admin Center, нежели целиком терять подключение к ютубу из-за входа в защищенную сеть.
Как же обезопасить все свои N серверов? С помощью следующего скрипта:
Этот скрипт изменит стандартные правила брандмауэра таким образом, что вы сможете использовать RDP и WinRM только с определенного IP адреса, понадобится для организации безопасного доступа к инфраструктуре.
Powershell в Windows Admin Center не имеет своей среды сценариев аналогичной Powershell ISE, можно только вызывать готовые скрипты.
Кстати, вот так выглядит RDP на Windows Server Core.
Выводы
На текущий момент Windows Admin Center не способен заменить RSAT, однако в нём уже присутствуют функции, которых нет у RSAT. Добавляются старые оснастки, которые не так удобны для управления через браузер.
Странным является приоритет разработки, наиболее активно добавляются функции интегрированные с Azure, хостингом от Майкрософт, вместо реально полезных функций.
К сожалению, пока что, управлять всеми функциями Windows Server с удобствами можно только подключившись к нему по RDP.
Не смотря на все минусы, у Windows Admin Center есть свой SDK, с помощью которого можно писать свои собственные модули и управлять своим собственным ПО через него, что однажды сделает его лучше RSAT.
Windows Центр администрирования, установленный на Windows 10
для использования центра администрирования Windows в Windows 10 необходимо быть членом группы локальных администраторов.
Выбор сертификата клиента
в Microsoft Edge при появлении запроса в этом диалоговом окне:
Щелкните больше вариантов
выберите сертификат, помеченный Windows клиент центра администрирования , и нажмите кнопку ок .
Убедитесь, что установлен флажок всегда разрешать доступ , и нажмите кнопку Разрешить .
Подключение к управляемым узлам и кластерам
после завершения установки центра администрирования Windows можно добавить серверы или кластеры для управления с главной страницы обзора.
Добавление одного сервера или кластера в качестве управляемого узла
Щелкните + Добавить в разделе Все подключения.
выберите добавление сервера, кластера, Windows пк или виртуальной машины Azure.
--ИЛИ--
Групповое импорт нескольких серверов
На странице Добавление соединения с сервером перейдите на вкладку Импорт серверов .
Файл .csv, созданный при экспорте подключений с помощью PowerShell , содержит дополнительные сведения за пределами имен серверов и не совместим с этим методом импорта.
--ИЛИ--
Добавление серверов путем поиска Active Directory
На странице Добавление соединения с сервером перейдите на вкладку Поиск Active Directory .
Введите условия поиска и нажмите кнопку Поиск. Поддерживаются подстановочные знаки (*).
После завершения поиска выберите один или несколько результатов, при необходимости добавьте теги и нажмите кнопку Добавить.
Проверка подлинности с помощью управляемого узла
Windows Центр администрирования поддерживает несколько механизмов проверки подлинности с помощью управляемого узла. По умолчанию используется единый вход.
Единый вход
для проверки подлинности на управляемом узле можно использовать текущие учетные данные Windows. это значение по умолчанию, и Windows центр администрирования пытается войти в систему при добавлении сервера.
Единый вход при развертывании в качестве службы в Windows Server
если вы установили Windows центра администрирования на Windows Server, для единого входа требуется дополнительная настройка. Настройка среды для делегирования
--ИЛИ--
Используйте Управление как для указания учетных данных
В разделе все подключения выберите сервер из списка и щелкните Управление как , чтобы указать учетные данные, которые будут использоваться для проверки подлинности на управляемом узле.
если Windows центр администрирования работает в режиме службы на Windows сервере, но делегирование Kerberos не настроено, необходимо повторно ввести учетные данные Windows:
Вы можете применить учетные данные ко всем подключениям, которые будут кэшировать их для конкретного сеанса браузера. При перезагрузке браузера необходимо повторно ввести учетные данные управления .
Решение "пароль локального администратора" (Lap)
если в вашей среде используется lapWindows и на Windows 10 компьютере установлен центр администрирования, для проверки подлинности на управляемом узле можно использовать учетные данные lap. Если вы используете этот сценарий, оставьте отзыв.
Использование тегов для Организации подключений
Теги можно использовать для поиска и фильтрации связанных серверов в списке подключений. Это позволяет просматривать подмножество серверов в списке подключений. Это особенно удобно при наличии большого числа подключений.
Изменить Теги
- Выберите сервер или несколько серверов в списке все подключения
- В разделе все подключения щелкните изменить теги .
Панель изменение тегов подключения позволяет изменять, добавлять или удалять теги выбранных соединений.
Чтобы добавить новый тег к выбранным соединениям, выберите Добавить тег и введите имя тега, который вы хотите использовать.
Чтобы пометить выбранные соединения с существующим именем тега, установите флажок рядом с именем тега, который вы хотите применить.
Чтобы удалить тег из всех выбранных подключений, снимите флажок рядом с тегом, который вы хотите удалить.
Если к подмножеству выбранных соединений применяется тег, флажок отображается в промежуточном состоянии. Можно щелкнуть поле, чтобы проверить его и применить тег ко всем выбранным подключениям, или щелкнуть еще раз, чтобы снять его, и удалить тег из всех выбранных подключений.
Фильтрация подключений по тегу
После добавления тегов в одно или несколько подключений к серверу можно просмотреть теги в списке подключений и отфильтровать список подключений по тегам.
Чтобы выполнить фильтрацию по тегу, щелкните значок фильтра рядом с полем поиска.
- Можно выбрать "или", "и" или "не", чтобы изменить поведение фильтра для выбранных тегов.
Импорт и экспорт подключений (с тегами) с помощью PowerShell
Формат CSV-файла для подключений для импорта
Формат CSV-файла начинается с четырех заголовков "name","type","tags","groupId" , за которыми следуют соединения, каждое в новой строке.
name (Имя) — полное доменное имя подключения
type — это тип соединения. Для соединений по умолчанию, включенных в Windows Admin Center, вы будете использовать одно из следующих.
| Тип подключения | Строка подключения. |
|---|---|
| Windows Server | msft.sme.connection-type.server |
| ПК с Windows 10 | msft.sme.connection-type.windows-client |
| Отказоустойчивый кластер | msft.sme.connection-type.cluster |
| Гиперконвергентный кластер | msft.sme.connection-type.hyper-converged-cluster |
tags (Теги) разделяются вертикальной чертой.
groupId используется для общих соединений. Используйте значение global в этом столбце, чтобы сделать соединение общим.
Изменение общих подключений ограничено администраторами шлюза. Любой пользователь может использовать PowerShell для изменения списка личных подключений.
Пример CSV-файла для подключений для импорта
Подключения для импорта RDCman
Используйте приведенный ниже сценарий для экспорта сохраненных в RDCman соединений в файл. Затем файл можно импортировать в Windows Admin Center, сохранив иерархию группирования RDCMan с помощью тегов. Попробуйте сами!
Скопируйте приведенный ниже код и вставьте его в сеанс PowerShell.
Для создания CSV-файла, выполните приведенную ниже команду.
Импортируйте полученный CSV-файл в Windows Admin Center, и вся иерархия группирования RDCMan будет представлена в списке соединений тегами. Дополнительные сведения см. в разделе Use PowerShell to import or export your connections (with tags) (Использование PowerShell для импорта или экспорта подключений (с тегами)).
просмотр скриптов PowerShell, используемых в центре администрирования Windows
после подключения к серверу, кластеру или пк можно просмотреть сценарии PowerShell, в которых доступны действия пользовательского интерфейса, доступные в Windows центре администрирования. В средстве щелкните значок PowerShell на верхней панели приложения. Выберите команду из раскрывающегося списка для перехода к соответствующему скрипту PowerShell.
С выходом новой операционки Windows 10, разработчики добавили новые функции управления учетными записями и разделили их на два типа. Первый тип учетных записей — он-лайновый, то есть для входа в систему используются аккаунты Outlook. Второй тип учетных записей — локальный. Этот тип учеток хорошо знаком всем со времен Windows XP. Именно такая неразбериха с типом учетных записей вызвала у многих проблемы при смене администратора. В этом материале мы подробно опишем процесс смены администратора, как для он-лайновых учетных записей, так и для локальных.
Меняем локальную учетную запись администратора
Чтобы сменить локального администратора в Windows 10, сначала нужно создать нового, чтобы потом удалить старого. Поэтому перейдем в Панель управления. Найти ее в десятке можно, кликнув на иконке меню «Пуск» и выбрать в появившемся контекстном меню нужный нам пункт.
В запущенной Панели перейдем к разделу учетных записей и выберем там ссылку «Изменение типа учетной записи».
В появившемся окне вы увидите старую учетную запись администратора, в нашем случае это имя «User». В нижней части этого окна есть кнопка добавления нового пользователя, кликнув по которой мы перейдем в раздел параметров ОС.
В этом разделе можно добавить нового админа и убрать старого. Для его добавления нажмите кнопку «Добавить пользователя для этого компьютера». Это действие перебросит нас в мастер создания нового пользователя.
Поскольку мы создаем локального админа, поэтому пропустим пункт ввода электронной почты, нажав на ссылку «У меня нет данных для входа этого человека». Это действие перебросит нас в окно создания он-лайнового аккаунта для Microsoft.
Чтобы опустить процесс создания аккаунта, нажимаем на самую нижнюю ссылку в окне мастера, что перебросит нас в окно создания локального пользователя.
В качестве примера запишем имя «New Admin» и продолжим работу мастера. После этих действий новая локальная учетка будет создана.
Теперь перейдем к нашим пользователям и выберем имя «New Admin».
В следующем окне нам необходимо выбрать пункт «Изменение типа учетной записи». Это нужно для того, чтобы изменить тип нашей учетки с обычной на администратора.
Сделав нашего пользователя админом, теперь можно приступать к непосредственному удалению старого пользователя. Теперь необходимо поменять пользователей. Поэтому зайдем под админом, имя которого «New Admin» в систему и перейдем к списку наших админов, выбирая «User». Теперь чтобы убрать старого пользователя, выбираем пункт «Удаление учетной записи».
После выбора этого пункта система нам предложит удалить все данные пользователя или сохранить их. Поэтому будьте внимательны, если там есть важная информация, то сохраните ее.
Выбираем одну из опций, в которой мы можем удалить или сохранить файлы. После подтверждения старый админ будет окончательно стёрт из системы.
Из примера видно, что создать нового и удалить старого админа совсем нетрудно, хотя немножко придется повозиться.
Меняем он-лайновую учетную запись администратора
Чтобы сменить аккаунт Microsoft, который выступает в нашем случае в роли администратора, перейдем в тот же мастер, рассмотренный в предыдущем примере.
В мастере введите почту своего аккаунта Outlook и нажмите кнопку Далее . На этих действиях работа мастера завершится, и онлайн аккаунт будет добавлен в качестве новой учетки. Теперь перейдем к нашей он-лайновой учетной записи и сменим ее тип, как в предыдущем примере на администратора.
После изменения типа учетки нам нужно поменять пользователя в системе. Это нужно для того, чтобы убрать старую учетку. Дальнейший порядок действий такой же, как в предыдущем примере. Поэтому смело переходите в Панель управления и отключайте старую учетку.
Из примера видно, что сменить он-лайнового пользователя можно еще быстрее, чем локального.
Также хочется отметить на заметку нашим читателям, если вы будете использовать он-лайновый аккаунт Microsoft в Windows 10, то вы значительно расширите возможности этой операционной системы.
Создаем локального пользователя в Windows 10 с помощью консоли
Первым делом запустим консоль от имени администратора. Это можно сделать, введя в поиске Windows 10 введя фразу «CMD». Теперь кликнем правой кнопкой мыши на найденный результат и выберем в списке пункт «Запустить от имени администратора».
Теперь выполните команду для создания нового пользователя, у которого имя «New_Admin_2», показанную на изображении ниже.
Чтобы изменить обычного пользователя на админа для вновь созданной учетки «New_Admin_2», выполните эту команду.
Осталось последнее действие — удаление старого админа. В нашем случае имя этого админа «Old_Admin». Для этого зайдем под «New_Admin_2» в систему и откроем консоль от имени админа. В консоли выполним команду, показанную на изображении ниже.
После этого учетка будет отключена.
Из примера видно, что в Windows 10, используя командную строку, можно довольно быстро как создать, так и удалить локального админа.
Подводим итог
В большинстве случаев смена пользователя требуется для правильного функционирования некоторых программ. Например, нужно выполнить программу, у которой есть привязка к определенному пользователю и при выполнении этой программы под другим именем возникает ошибка.
Эта ошибка возникает из-за того, что программа пытается получить доступ к файлам пользователя из его папки, но путь к директории не совпадает с заложенным в утилиту, так как имя другое. Это один из множества случаев, когда нужно сменить админа.
В нашем материале мы рассмотрели все способы смены администратора в Windows 10. Поэтому надеемся, наша статья поможет нашим читателям выполнить эту задачу.
Комбинацию клавиш Win+L знают многие, но иногда удобнее переключаться минуя диалог выбора пользователя. Варианты реализации такого переключения пользователей будут рассмотрены в данной статье.
Назначение:
Если компьютером пользуются несколько человек, то удобно иметь для каждого свою учетную запись. Например, у одного пользователя могут быть изменены переменные окружения, включена автоматическая смена языка ввода, управление окнами с помощью жестов мыши, а другому пользователю ничего кроме браузера не нужно. Чтобы не вводить его в замешательство нетипичными реакциями компьютера, создается отдельная учетная запись стандартного вида и поведения.
Особенности:
Пользователи, между которыми будет происходить переключение, должны предварительно войти в свою учетную запись. Так же не затрагивается вопрос безопасности. Будем считать, что они полностью доверяют друг другу. И, в то же время, могут ограничить доступ третьих лиц, простым нажатием Win+L и вызовом диалога переключения пользователей (при условии наличия паролей на своих учетных записях).
Реализация:
Например, в системе есть два пользователя: Ivanov и Petrov.
Для переключения необходимо узнать ID сеансов пользователей. Воспользуемся командной строкой и командой query user (отображает сведения о пользовательских сеансах на сервере терминалов).
Переключение производится командой tscon (команда подключения к сеансу к терминального сервера).
Остается только создать ярлык на рабочем столе пользователя Petrov (правой кнопкой по рабочему столу → Создать ярлык с командой
C:\Windows\System32\tscon.exe 1 /password:123
где 1 – ID сеанса Ivanov, а 123 – его пароль).
Аналогичным образом создать ярлык на рабочем столе пользователя Ivanov (с командой
C:\Windows\System32\tscon.exe 2 /password:321
где 2 – ID сеанса Petrov, а 321 – его пароль).
Для переключения с клавиатуры можно задать сочетание клавиш для быстрого вызова (например, Ctrl + Num 0)
Windows 10
В Windows 10 есть много разных усовершенствований и новых функций, ранее отсутствующих в предыдущих версиях данного семейства операционных систем. Коснулось это и смены учетных записей пользователей. Теперь для этого необходимо выполнить еще меньше кликов, а окно авторизации при запуске самой системы стало красивее, появилось несколько разных вариантов защиты профиля и его модернизации под каждого юзера одного компьютера. Все, что вам нужно знать о смене аккаунтов в этой версии ОС, вы найдете в инструкции, нажав по заголовку ниже.
Учитывайте, что если вы еще не добавили других локальных пользователей, переключение будет недоступно и произойдет обычный выход из системы. В случае необходимости обратитесь к другому руководству, в котором написано, как осуществляется добавление нового профиля при помощи привязки аккаунта Microsoft или с использованием локальных возможностей Windows.
Отдельного упоминания заслуживают инструменты управления учетными записями. Они пригодятся для того, чтобы настроить аккаунт администратора, организовать уровни доступа и решить, какие средства безопасности будут применены для защиты профилей (некоторые из них доступны только в определенных моделях ноутбуков и ПК, а именно распознавание лиц и сканирование отпечатков пальцев). К управлению пользователями относится и организация семьи с дальнейшим отслеживанием действий ребенка и установлением ограничений, если таковые потребуются.
Windows 8
Windows 7
В следующей статье, посвященной смене пользователей в Windows 7, вы найдете общую информацию об управлении профилями, поскольку для нормального переключения их должно быть минимум два. Если же оказалось, что какой-то из аккаунтов больше не используется, его можно беспрепятственно удалить, только перед этим убедитесь, что нет никаких важных пользовательских файлов, стирать которые вам бы не хотелось.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Читайте также: