Встроенная учетная запись Администратор в Windows создается автоматически при установке системы, но по умолчанию отключена для повышения безопасности. Она может понадобиться для восстановления системы, сброса паролей или выполнения задач, требующих повышенных прав. В этой статье мы разберем, как включить, отключить или сбросить пароль встроенного администратора в Windows с использованием различных методов, включая командную строку, PowerShell и групповые политики.
Что такое встроенный аккаунт администратора
Учетная запись Администратор создается во время установки Windows и используется для начальной настройки системы. После этого она отключается, а пользователю предлагается создать собственную учетную запись с правами локального администратора. Основные особенности:
— По умолчанию аккаунт Администратор отключен и не отображается на экране входа.
— Имеет фиксированный SID (S-1-5-domain-500), что позволяет идентифицировать его даже после переименования.
— Изначально не имеет пароля (пустой).
— Нельзя удалить или исключить из группы Администраторы.
— В Windows 10 (1709) и выше подчиняется User Account Control (UAC), требуя подтверждения для административных действий.
Для повышения безопасности Microsoft рекомендует держать учетную запись Администратор отключенной и использовать её только в исключительных случаях, таких как восстановление системы или устранение неполадок.
Переименование аккаунта администратора
Переименование встроенного администратора снижает риск атак методом перебора паролей. Это можно сделать через:
1. Консоль lusrmgr.msc: переименуйте учетную запись вручную.
2. Групповую политику: настройте параметр Учетные записи: переименование учетной записи администратора в разделе Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности
3. LAPS: используйте решение Microsoft для управления локальными учетными записями.
Как включить встроенного администратора
Существует несколько способов активации учетной записи Администратор в Windows. Рассмотрим основные:
Через командную строку
1. Откройте Командную строку с правами администратора:
cmd.exe
2. Активируйте учетную запись:
net user Администратор /active:yes
Через PowerShell
1. Запустите PowerShell с правами администратора.
2. Выполните команду:
Get-LocalUser -Name "Administrator" | Enable-LocalUser
Через консоль управления
1. Откройте оснастку lusrmgr.msc:
lusrmgr.msc
2. В разделе Пользователи найдите учетную запись Администратор.
3. Снимите флажок Учетная запись отключена и сохраните изменения.
Через групповые политики
1. Откройте редактор локальных групповых политик:
gpedit.msc
2. Перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности.
3. Найдите политику Учетные записи: состояние учетной записи «Администратор» и установите значение Включено.
4. Обновите политики:
gpupdate /force
Установка пароля для администратора
По умолчанию пароль для учетной записи Администратор не задан. Для установки пароля:
1. В Командной строке выполните:
net user Администратор *
2. Введите новый пароль дважды.
Альтернативно, в lusrmgr.msc выберите Администратор, нажмите Установить пароль и задайте новый пароль.
Рекомендация
Используйте сложный пароль, соответствующий политике безопасности Windows (не менее 8 символов, включая буквы, цифры и специальные знаки).
Определение имени администратора
Если учетная запись Администратор переименована, команда net user Администратор может выдать ошибку «Пользователь не найден». Для определения текущего имени:
1. Найдите учетную запись по SID:
wmic useraccount where "SID like 'S-1-5-%-500'" get name
Или через PowerShell:
Get-LocalUser | Where-Object {$_.Sid -like "*-500"}
2. Активируйте найденную учетную запись, например:
net user Имя_учетной_записи /active:yes
Проверка прав администратора
Если при активации возникает ошибка «Отказ в доступе (System error 5)», убедитесь, что текущая учетная запись имеет права администратора:
1. Проверьте членов группы Администраторы:
net localgroup Администраторы
2. Если текущая учетная запись отсутствует в группе, следуйте инструкциям ниже для восстановления прав.
Включение администратора без прав админа
Если все учетные записи с правами администратора заблокированы, используйте среду восстановления:
1. Создайте загрузочную USB-флешку с Windows с помощью Ventoy.
2. Загрузитесь с флешки и на экране установки нажмите Shift + F10 для открытия Командной строки.
3. Определите букву диска с Windows с помощью diskpart:
diskpart
list vol
exit
4. Создайте резервную копию файла utilman.exe и замените его на cmd.exe:
copy c:\windows\System32\utilman.exe c:\
copy c:\windows\System32\cmd.exe c:\windows\System32\utilman.exe
5. Перезагрузите компьютер:
wpeutil reboot
6. На экране входа нажмите Win + U или кнопку Специальные возможности для открытия Командной строки с правами SYSTEM.
7. Откроется окно командной строки с правами NT Authority\SYSTEM. Выведите список локальных пользователей:
net user
8. Добавьте свою учетную запись в группу Администраторы, включите встроенного Администратора и задайте пароль:
net localgroup Администраторы user1 /add
net user Администратор /active:yes
net user Администратор *
9. Войдите под Администратором или своей учетной записью.
10. Восстановите оригинальный файл utilman.exe, загрузившись снова с флешки:
copy c:\utilman.exe c:\windows\System32\utilman.exe
Отключение учетной записи администратора
После выполнения задач отключите учетную запись Администратор:
1. Через Командную строку:
net user Администратор /active:no
2. Через PowerShell:
Get-LocalUser -Name "Administrator" | Disable-LocalUser
3. Через lusrmgr.msc: установите флажок Учетная запись отключена.
4. Через GPO: установите политику Учетные записи: состояние учетной записи «Администратор» в Отключено.
Отключение UAC для администратора
Для отключения запросов UAC для встроенного Администратора:
1. Откройте gpedit.msc.
2. Перейдите в Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности.
3. Найдите параметр Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора и установите Отключено.
4. Обновите политики:
gpupdate /force
Рекомендации по безопасности
— Не используйте учетную запись Администратор для повседневной работы.
— Устанавливайте сложный пароль при активации.
— Переименуйте учетную запись для защиты от атак.
— Отключайте учетную запись после выполнения задач.
— Регулярно проверяйте состав группы Администраторы.
Учетная запись Администратор в Windows — мощный инструмент для администрирования и восстановления системы, но её использование требует осторожности. Активация через CMD, PowerShell, lusrmgr.msc или GPO проста, а метод с загрузочной флешкой позволяет восстановить доступ без прав администратора. Следуя рекомендациям, вы сможете безопасно управлять встроенным администратором.
