Запрещены пустые пароли или в политике включено ограничение использования
В сегодняшней статье рассмотрим как избавиться от ошибки «Ошибка ограниченного использования учетной записи пользователя. Возможные причины — запрещены пустые пароли или в политике включено ограничение использования.»
Если ваша учетная запись без пароля и вы через удаленный рабочий стол пытаетесь зайти на другой компьютер, или если вы хотите для всех пользователей в планировщике заданий создать задачу, также при этом используете учетную запись без пароля — вы увидите ошибку ограничения использования учетной записи пользователя. Конечно вы можете задать пароль для своей учетной записи и в следующий раз при выполнении вышеописанных действий, ошибки вы не увидите. Но, что если вы хотите и дальше использовать учетную запись без пароля?
Исправляем ошибку ограниченного использования учетной записи в групповых политиках
Данный способ работает в Windows 10 Pro, Enterprise или Education, если у вас домашняя версия десятки — переходите к первому способу.
1. Откройте групповые политики: в строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите gpedit.msc и нажмите клавишу Enter.
2. Зайдите в «Конфигурация компьютера» => Конфигурация Windows => Параметры безопасности => Локальные политики => Параметры безопасности => в правой колонке откройте Учетные записи: разрешить использования пустых паролей только при консольном входе => поставьте точку напротив «Отключен» и нажмите «ОК». Закройте окно редактора локальной групповой политики, изменения должны вступить в силу сразу же.
Исправляем ошибку ограниченного использования учетной записи в групповых политиках
Данный способ работает во всех изданиях Windows 10. Перед редактированием реестра рекомендуется создать точку для восстановления системы.
1. Откройте редактор реестра: в строке поиска или в меню выполнить (выполнить вызывается клавишами Win+R) введите команду regedit и нажмите клавишу Enter.
2. Перейдите по пути HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Lsa. В разделе Lsa откройте параметр LimitBlankPasswordUse и измените его значение на 0, после чего нажмите «ОК» и закройте окно редактора реестра.
На сегодня всё, если вы знаете другие способы или у вас есть дополнения — пишите комментарии! Удачи Вам 🙂
Windows: вход не выполнен (сетевые проблемы)
Чаще всего при работе с сетью встречаются одни и те же проблемы, вопросы о которых задают на форумах. Зачастую, решения внятного там так и не находят.
С переходом на Windows 7 многие из проблем решились, т.к. авторы сборок стали меньше глубоко копаться в системных настройках: менять системные настройки, политики безопасности, параметры реестра. Ведь чаще всего, проблемы в работе сети были вызваны именно применением всевозможных сборок 🙂
Именно поэтому опишу типовые проблемы, которые чаще всего встречаются при доступе в сетевым ресурсам сетей на базе Windows.
Сетевые ошибки Windows
Итак, по умолчанию в стандартной Windows XP Professional доступ к сетевым ресурсам без пароля запрещен. В бездоменной сети или необходимо создать пользователей с одинаковыми паролями для на всех машинах, или же включить учетные записи гостей, после чего обязательно расшарить ресурс или для пользователя «Все» (если используется авторизация через Гостя) или же назначить тех пользователей, которые будут авторизоваться на на машине (в случае авторизации по имени пользователя и паролю).
И здесь могут возникнуть 2 типовые ошибки:
- Вход в систему не произведен. Имеются ограничения, связанные с учетной записью.
- Вход в систему не возможен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
Обе они вызваны настройками локальных политик безопасности на том компьютере, к которому производится подключение.
Решение
Вход в систему не произведен. Имеются ограничения, связанные с учетной записью.
Необходимо изменить: Панель управления > Администрирование > Локальные параметры безопасности > Локальные политики > Назначение прав пользователя > Отказ в доступе к компьютеру из сети.
Из списка пользователей там необходимо удалить всех, кроме SUPPORT_*. Это позволит подключаться к машине под аккаунтом Гость (если на включена локально).
Вход в систему не возможен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.
Необходимо изменить: Панель управления > Администрирование > Локальные параметры безопасности > Локальные политики > Параметры безопасности > Учетные записи: ограничить использование пустых паролей только для консольного входа.
Изменить на Выключен. Это позволит входить на компьютер по сети от имени пользователя с пустым паролем и без включенной учетной записи Гостя.
Учетные записи: разрешить использование пустых паролей только при консольном входе Accounts: Limit local account use of blank passwords to console logon only
Область применения Applies to
В этой статье описаны рекомендации, сведения о расположении, значения и рекомендации по обеспечению безопасности для учетных записей: ограничить использование пустых паролей только параметрами политики безопасности «только консольный вход» . Describes the best practices, location, values, and security considerations for the Accounts: Limit local account use of blank passwords to console logon only security policy setting.
Справочные материалы Reference
Учетные записи: ограничить использование пустых паролей только параметрами политики входа в систему. определяет, разрешены ли в локальных учетных записях, которые содержат пустые пароли, удаленные интерактивные входы в сеть с помощью сетевых служб, таких как службы удаленных рабочих столов, Telnet и протокол передачи файлов (FTP). The Accounts: Limit local account use of blank passwords to console logon only policy setting determines whether remote interactive logons by network services such as Remote Desktop Services, Telnet, and File Transfer Protocol (FTP) are allowed for local accounts that have blank passwords. Если этот параметр политики включен, локальная учетная запись должна содержать непустой пароль, который будет использоваться для интерактивного или сетевого входа на удаленный клиент. If this policy setting is enabled, a local account must have a nonblank password to be used to perform an interactive or network logon from a remote client.
Этот параметр политики не влияет на интерактивные входы, которые физически выполняются на консоли или в сеансах, использующих учетные записи домена. This policy setting does not affect interactive logons that are performed physically at the console or logons that use domain accounts. В других приложениях Майкрософт, использующих удаленные интерактивные входы, можно пропустить этот параметр политики. It is possible for non-Microsoft applications that use remote interactive logons to bypass this policy setting. Пустые пароли — это серьезная угроза безопасности компьютера, и они должны быть запрещены как в корпоративной политике, так и в соответствующих технических мерах. Blank passwords are a serious threat to computer security and they should be forbidden through both corporate policy and suitable technical measures. Тем не менее, если пользователь, имеющий возможность создавать новые учетные записи, создает учетную запись, которая не позволяет использовать параметры политики паролей на основе домена, она может иметь пустой пароль. Nevertheless, if a user with the ability to create new accounts creates one that has bypassed your domain-based password policy settings, that account might have a blank password. Например, пользователь может построить автономную систему, создать одну или несколько учетных записей с пустыми паролями, а затем присоединить компьютер к домену. For example, a user could build a stand-alone system, create one or more accounts with blank passwords, and then join the computer to the domain. Локальные учетные записи с пустыми паролями будут по-прежнему работать. The local accounts with blank passwords would still function. Любой пользователь, который знает имя учетной записи, может использовать учетные записи с пустыми паролями для входа в систему. Anyone who knows the account name can then use accounts with blank passwords to log on to systems.
Устройства, не включенные в физически безопасные расположения, должны всегда применять надежные политики паролей для всех локальных учетных записей пользователей. Devices that are not in physically secure locations should always enforce strong password policies for all local user accounts. В противном случае любой пользователь, имеющий физический доступ к устройству, может войти в систему с помощью учетной записи пользователя, не имеющей пароля. Otherwise, anyone with physical access to the device can log on by using a user account that does not have a password. Это особенно важно для переносных устройств. This is especially important for portable devices.
Если вы примените эту политику безопасности к группе «все», ни один из них не сможет войти в службу удаленных рабочих столов. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services.
Возможные значения Possible values
Рекомендации Best practices
- Рекомендуется настроить учетные записи: ограничить использование пустых паролей для входа в консоль только для включения. It is advisable to set Accounts: Limit local account use of blank passwords to console logon only to Enabled.
Location Location
Параметры компьютера Configuration\Windows Settings\Security Settings\Local Policies\Security Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Значения по умолчанию Default values
В приведенной ниже таблице перечислены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Не определено Not defined |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Enabled Enabled |
| Параметры по умолчанию, действующие на контроллере домена DC Effective Default Settings | Enabled Enabled |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Enabled Enabled |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Enabled Enabled |
Управление политикой Policy management
В этом разделе описаны возможности и инструменты, которые можно использовать для управления политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики вступают в силу без перезапуска устройства, когда они хранятся на локальном компьютере или распределены с помощью групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.
Рекомендации по конфликтам политики Policy conflict considerations
Политика, предоставленная через GPO, имеет приоритет по сравнению с локально настроенным параметром политики на компьютере, подключенном к домену. The policy as distributed through the GPO takes precedence over the locally configured policy setting on a computer joined to a domain. Для определения действующей минимальной длины пароля на контроллере домена используйте команду ADSI Edit или dsquery. On the domain controller, use ADSI Edit or the dsquery command to determine effective minimum password length.
Групповая политика Group Policy
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) для распространения с помощью объектов групповой политики (GPO). This policy setting can be configured by using the Group Policy Management Console (GPMC) to be distributed through Group Policy Objects (GPOs). Если эта политика не содержится в распределенном объекте групповой политики, эту политику можно настроить на локальном устройстве с помощью оснастки локальной политики безопасности. If this policy is not contained in a distributed GPO, this policy can be configured on the local device by using the Local Security Policy snap-in.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Пустые пароли — это серьезная угроза безопасности компьютера, и их следует отключать с помощью организационной политики и подходящие технические меры. Blank passwords are a serious threat to computer security, and they should be forbidden through organizational policy and suitable technical measures. Начиная с Windows Server 2003, параметры доменов Active Directory по умолчанию используют сложные пароли не менее семи знаков и восемь символов, начиная с Windows Server2008. Starting with Windows Server 2003, the default settings for Active Directory domains require complex passwords of at least seven characters, and eight characters starting with Windows Server2008. Тем не менее, если пользователи, у которых есть возможность создавать новые учетные записи, пропускают политики паролей на основе домена, они могут создавать учетные записи с пустыми паролями. However, if users with the ability to create new accounts bypass your domain-based password policies, they could create accounts with blank passwords. Например, пользователь может создать на отдельном компьютере один или несколько учетных записей с пустыми паролями, а затем присоединить компьютер к домену. For example, a user could build a stand-alone computer, create one or more accounts with blank passwords, and then join the computer to the domain. Локальные учетные записи с пустыми паролями будут по-прежнему работать. The local accounts with blank passwords would still function. Любой пользователь, который знает имя одной из этих незащищенных учетных записей, может использовать ее для входа в систему. Anyone who knows the name of one of these unprotected accounts could then use it to log on.
Противодействие Countermeasure
Включите учетные записи: ограничить использование пустых паролей для параметра «только консольный вход» . Enable the Accounts: Limit local account use of blank passwords to console logon only setting.
Возможное влияние Potential impact
Нет. None. Это конфигурация по умолчанию. This is the default configuration.