Uma maneira adequada de criar contas não interativas?

12

Para usar o compartilhamento de arquivos protegido por senha em uma rede doméstica básica, desejo criar várias contas de usuário não interativas em uma máquina Windows 8 Pro, além do conjunto existente de contas interativas. Os usuários que correspondem a essas contas extras não usarão esta máquina de maneira interativa; portanto, não desejo que suas contas estejam disponíveis para logon e que seus nomes não apareçam na tela de boas-vindas.

Nas versões mais antigas do Windows Pro (até Windows 7), eu fazia isso criando primeiro as contas como membros do grupo "Usuários" e depois incluí-las na lista "Negar logon localmente" nas configurações da Diretiva de Segurança Local. Isso sempre teve o efeito desejado. No entanto, minha pergunta é se essa é a melhor / melhor maneira de fazê-lo.

A razão pela qual estou perguntando é que, embora esse método funcione também no Windows 8 Pro, ele tem uma pequena peculiaridade: os usuários interativos do grupo "Usuário" ainda podem ver esses nomes de usuário extras quando acessam a tela Metro e pressione seu próprio nome de usuário no canto superior direito (por exemplo, abra o menu "Sair / Bloquear"). A lista de comandos suspensa contém os comandos "Sair" e "Bloquear", além dos nomes de outros usuários (para a funcionalidade "alternar usuário"). Por algum motivo, essa lista inclui os usuários extras da lista "Negar logon localmente". É interessante notar que isso acontece quando o usuário atual pertence ao grupo "Usuários", mas não acontece quando o usuário atual é de "Administradores".

Por exemplo, digamos que eu tenha três contas na máquina: "Administrador" (de "Administradores", pode efetuar logon localmente), "A" (de "Usuários", pode efetuar logon localmente), "B" (de "Usuários", logon negado localmente). Quando o "Administrador" está logado, ele só pode ver o usuário "A" listado no menu "Sair / Bloquear" do Metro, ou seja, tudo funciona como deveria. Mas quando o usuário "A" está conectado, ele pode ver "Administrador" e usuário "B" no menu "Sair / Bloquear".

Como esperado, no exemplo acima, tentar alternar do usuário "A" para o usuário "B" pressionando "B" no menu não funciona: o Windows salta para receber a tela de boas-vindas que lista apenas "Administrador" e "A".

De qualquer forma, na superfície, isso parece ser um bug no nível da interface no Windows 8. No entanto, eu estou me perguntando se passar pela configuração "Negar logon localmente" é o caminho certo para fazê-lo no Windows 8. Existe alguma outra maneira de criar uma conta de usuário não interativa oculta?

Formiga
fonte
E se você também excluísse esses usuários do Usersgrupo?
afrazier
1
Com toda a honestidade, esse é o tipo de problema que o recurso Grupo Doméstico se propôs a resolver e, na minha opinião, resolve bastante adequadamente.
Taylor Gibb

Respostas:

1

Você precisa do Resource Kit 2003 e este comando:

ntrights -u "username" +r SeDenyInteractiveLogonRight

Explicação dos direitos do usuário:

SeNetworkLogonRight               Access this computer from the network 
SeInteractiveLogonRight           Log on locally 
SeBatchLogonRight                 Log on as a batch job 
SeServiceLogonRight               Log on as a service 
SeDenyNetworkLogonRight           Deny access this computer from the network 
SeDenyInteractiveLogonRight       Deny log on locally 
SeDenyBatchLogonRight             Deny log on as a batch job 
SeDenyServiceLogonRight           Deny log on as a service 
SeCreateGlobalPrivilege           Create global objects 
SeDebugPrivilege                  Debug programs 
SeDenyRemoteInteractiveLogonRight Deny log on through Terminal Services 
SeEnableDelegationPrivilege       Enable computer and user accounts to be trusted for delegation 
SeImpersonatePrivilege            Impersonate a client after authentication 
SeManageVolumePrivilege           Perform volume maintenance tasks  
SeRemoteInteractiveLogonRight     Allow log on through Terminal Services  
SeSyncAgentPrivilege              Synchronize directory service data 
SeUndockPrivilege                 Remove computer from docking station 

Adicione novo usuário no Windows 8:

Adicionar novo usuário no Windows 8

Instale o Resourse Kit 2003:

Execute o Install Resourse Kit 2003

Defina o caminho da instalação:

Definir caminho Resourse Kit 2003

Executar no CMD com privilégios administrativos: Desative o logon interativo do usuário. Informações da versão do SO.

Desativar usuário de logon interativo

Como criar CMD com privilégios administrativos:

Como criar CMD com privilégios administrativos

Sair:

 shutdown /l

Sair

Não efetue login no usuário sem privilégios de logon interativos - não visualize o novo usuário.

Habilite, desabilite privilégios de logon interativos. Adicionar usuário à lista:

adicionar usuário na lista

Selecione o usuário sem privilégios de logon interativos:

Selecionar usuário sem privilégios de logon interativos

Não faça login, retorne à tela de logon.

Não faça login, retorne na tela de logon

Tudo funciona. Boa sorte!

Nota: Vá para esta chave do registro:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" 

AndreyT 0 DWORD - pode estar oculto, precisa de teste e reinicialização.

STTR
fonte
1
Mas as fotos que você postou demonstram exatamente o mesmo problema que descrevi na minha pergunta! Na sua imagem do Metro (o segundo da parte inferior), o usuário STTRpode ver o usuário AndreyTna lista, mesmo que AndreyTnão tenha privilégios de logon. É exatamente isso que eu quero consertar. Eu não quero que o usuário STTRveja o usuário AndreyTnessa lista.
AnT
Eu sei que o usuário AndreyTnão pode fazer login. Mas em cima do que eu quero usuário AndreyTpara ser invisível para STTR. Sua tela do Metro mostra que AndreyTainda está visível para STTR. Esse é o problema.
AnT
Se eu não definir ntrights -u AndreyT -r SeDenyInteractiveLogonRightdepois de criar usuário e não pressionar novamente, usuário não visível. Você pode ativar o logon de auditoria e alterar a senha longa todos os dias))).
STTR
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserListAndreyT DWORD 0 -May hide abelha-lo
STTR
1
Infelizmente, essa configuração não afeta o problema em questão. Os usuários ainda estão visíveis na lista "Sair".
AnT
0

Sei que isso funciona com o Windows 7, não tenho uma cópia do Windows 8 para testá-lo, mas estou assumindo que a funcionalidade é a mesma.

Basicamente, você adiciona o nome do usuário que deseja ocultar como uma chave DWORD (32)

HKEY_Local_Machine \ SOFTWARE \ Microsoft \ WindowNT \ CurrentVersion \ Winlogon \ SpecialAccounts \ UserList \

http://www.tech-recipes.com/rx/6222/windows-7-vista-xp-hide-user-account-from-welcome-screen-login-screen/

Usta
fonte
Infelizmente, essa configuração não afeta o problema em questão. Os usuários ainda estão visíveis na lista "Sair".
AnT
0

Eu uso uma configuração semelhante (me chame à moda antiga) como o OP :-). Conta de usuário dedicada ao compartilhamento de arquivos com compartilhamento explícito de arquivos e permissões NTFS.

Além de adicionar a conta à lista "Negar logon interativo" em Atribuição de direitos do usuário no snap-in Segurança local, você também precisa remover a conta não interativa de todas as associações ao grupo (por exemplo: a conta do usuário não deve ser membro de qualquer grupo). Faça isso no snap-in "Usuários e grupos locais". Parece entrar em vigor imediatamente.

Isso funciona no Windows 8, 8.1 e 10.

Raif Atef
fonte