Une bonne façon de créer des comptes non interactifs?

12

Afin d'utiliser le partage de fichiers protégé par mot de passe dans un réseau domestique de base, je souhaite créer un certain nombre de comptes d'utilisateurs non interactifs sur une machine Windows 8 Pro en plus de l'ensemble existant de comptes interactifs. Les utilisateurs qui correspondent à ces comptes supplémentaires n'utiliseront pas cette machine de manière interactive, donc je ne veux pas que leurs comptes soient disponibles pour la connexion et je ne veux pas que leurs noms apparaissent sur l'écran d'accueil.

Dans les anciennes versions de Windows Pro (jusqu'à Windows 7), je l'ai fait en créant d'abord les comptes en tant que membres du groupe "Utilisateurs", puis en les incluant dans la liste "Refuser la connexion localement" dans les paramètres de la stratégie de sécurité locale. Cela a toujours eu l'effet souhaité. Cependant, ma question est de savoir si c'est la bonne / meilleure façon de le faire.

La raison pour laquelle je demande, c'est que même si cette méthode fonctionne également dans Windows 8 Pro, elle a une petite bizarrerie: les utilisateurs interactifs du groupe "Utilisateur" sont toujours en mesure de voir ces noms d'utilisateur supplémentaires lorsqu'ils accèdent à l'écran Metro et appuyez sur leur propre nom d'utilisateur dans le coin supérieur droit (c'est-à-dire ouvrez le menu "Déconnexion / Verrouillage"). La liste de commandes qui disparaît contient les commandes "Se déconnecter" et "Verrouiller" ainsi que les noms des autres utilisateurs (pour la fonctionnalité "changer d'utilisateur"). Pour une raison quelconque, cette liste inclut les utilisateurs supplémentaires de la liste "Refuser l'ouverture de session localement". Il est intéressant de noter que cela se produit lorsque l'utilisateur actuel appartient au groupe "Utilisateurs", mais cela ne se produit pas lorsque l'utilisateur actuel est "Administrateurs".

Par exemple, supposons que j'ai trois comptes sur la machine: "Administrateur" (depuis "Administrateurs", peut se connecter localement), "A" (depuis "Utilisateurs", peut se connecter localement), "B" (depuis "Utilisateurs", connexion refusée localement). Lorsque "Administrateur" est connecté, il ne peut voir que l'utilisateur "A" répertorié dans son menu Metro "Déconnexion / Verrouillage", c'est-à-dire que tout fonctionne comme il se doit. Mais lorsque l'utilisateur "A" est connecté, il peut voir à la fois "Administrateur" et l'utilisateur "B" dans son menu "Déconnexion / Verrouillage".

De manière attendue, dans l'exemple ci-dessus, essayer de basculer de l'utilisateur "A" à l'utilisateur "B" en appuyant sur "B" dans le menu ne fonctionne pas: Windows passe à l'écran d'accueil qui répertorie uniquement "Administrateur" et "A".

Quoi qu'il en soit, en apparence, cela semble être un bogue au niveau de l'interface dans Windows 8. Cependant, je me demande si passer par le paramètre "Refuser l'ouverture de session localement" est la bonne façon de le faire dans Windows 8. Existe-t-il une autre façon de créer un compte utilisateur non interactif caché?

networking windows-8 home-networking user-accounts login Fourmi
la source
Et si vous excluiez également ces utilisateurs du Usersgroupe?
afrazier
1
En toute honnêteté, c'est le genre de problème que la fonctionnalité HomeGroup a cherché à résoudre, et résout assez bien à mon avis.
Taylor Gibb

Réponses:

1

Vous avez besoin du Kit de ressources 2003 et de cette commande:

ntrights -u "username" +r SeDenyInteractiveLogonRight

Explication des droits des utilisateurs: 

SeNetworkLogonRight               Access this computer from the network 
SeInteractiveLogonRight           Log on locally 
SeBatchLogonRight                 Log on as a batch job 
SeServiceLogonRight               Log on as a service 
SeDenyNetworkLogonRight           Deny access this computer from the network 
SeDenyInteractiveLogonRight       Deny log on locally 
SeDenyBatchLogonRight             Deny log on as a batch job 
SeDenyServiceLogonRight           Deny log on as a service 
SeCreateGlobalPrivilege           Create global objects 
SeDebugPrivilege                  Debug programs 
SeDenyRemoteInteractiveLogonRight Deny log on through Terminal Services 
SeEnableDelegationPrivilege       Enable computer and user accounts to be trusted for delegation 
SeImpersonatePrivilege            Impersonate a client after authentication 
SeManageVolumePrivilege           Perform volume maintenance tasks  
SeRemoteInteractiveLogonRight     Allow log on through Terminal Services  
SeSyncAgentPrivilege              Synchronize directory service data 
SeUndockPrivilege                 Remove computer from docking station

Ajouter un nouvel utilisateur dans Windows 8:

Ajouter un nouvel utilisateur sous Windows 8

Installer le kit de recours 2003:

Exécutez le kit d'installation de ressources 2003

Définissez le chemin d'installation:

Set Path Resourse Kit 2003

Exécuter dans CMD avec des privilèges administratifs: désactivez la connexion utilisateur interactive. Informations sur la version du système d'exploitation.

Désactiver l'utilisateur d'ouverture de session interactive

Comment utiliser CMD avec des privilèges administratifs:

Comment utiliser CMD avec des privilèges administratifs

Se déconnecter:

 shutdown /l

Se déconnecter

Ne vous connectez pas à l'utilisateur sans privilèges de connexion interactifs - ne visualisez pas le nouvel utilisateur.

Activez, désactivez les privilèges de connexion interactive. Ajouter un utilisateur à la liste:

ajouter un utilisateur à la liste

Sélectionnez un utilisateur sans privilèges de connexion interactifs:

Sélectionnez un utilisateur sans privilèges de connexion interactifs

Pas de connexion, retour à l'écran de connexion.

Pas de connexion, retour à l'écran de connexion

Tout fonctionne. Bonne chance!

Remarque: accédez à cette clé de registre:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList"

AndreyT 0 DWORD - peut être masqué, doit être testé et redémarré.

STTR
la source
1
Mais les photos que vous avez publiées montrent exactement le même problème que celui décrit dans ma question! Dans votre image Metro (deuxième à partir du bas), l'utilisateur STTRpeut voir l'utilisateur AndreyTdans la liste, même s'il AndreyTn'a aucun privilège de connexion. C'est exactement ce que je veux corriger. Je ne veux pas que l'utilisateur STTRvoit l'utilisateur AndreyTdans cette liste.
AnT
Je sais que l'utilisateur AndreyTne peut pas se connecter. Mais en plus de ce que je veux utilisateur AndreyTd'être invisible à STTR. Votre écran Metro montre que AndreyTc'est toujours visible pour STTR. C'est le problème.
AnT
Si je ne définis pas ntrights -u AndreyT -r SeDenyInteractiveLogonRightaprès la création de l'utilisateur et n'appuie pas sur la reconnexion, l'utilisateur n'est pas visible. Vous pouvez activer la connexion à l'audit et changer le mot de passe long tous les jours))).
STTR
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserListAndreyT DWORD 0 -may bee hide it
STTR
1
Malheureusement, ce paramètre n'a aucun effet sur le problème en question. Les utilisateurs sont toujours visibles dans la liste "Déconnexion".
AnT
0

Je sais que cela fonctionne jusqu'à Windows 7, je n'ai pas de copie de Windows 8 pour le tester, mais je suppose que la fonctionnalité est la même.

Fondamentalement, vous ajoutez le nom de l'utilisateur que vous souhaitez masquer en tant que clé DWORD (32) dans

HKEY_Local_Machine \ SOFTWARE \ Microsoft \ WindowNT \ CurrentVersion \ Winlogon \ SpecialAccounts \ UserList \

http://www.tech-recipes.com/rx/6222/windows-7-vista-xp-hide-user-account-from-welcome-screen-login-screen/

Usta
la source
Malheureusement, ce paramètre n'a aucun effet sur le problème en question. Les utilisateurs sont toujours visibles dans la liste "Déconnexion".
AnT
0

J'utilise une configuration similaire (appelez-moi à l'ancienne) comme l'OP :-). Compte d'utilisateur de partage de fichiers dédié avec partage de fichiers explicite et autorisations NTFS.

En plus d'ajouter le compte à la liste "Refuser la connexion interactive" dans Attribution des droits utilisateur dans le composant logiciel enfichable Sécurité locale, vous devez également supprimer le compte non interactif de toutes les appartenances au groupe (par exemple: le compte utilisateur ne doit pas être membre de quelque groupe que ce soit). Pour ce faire, à partir du composant logiciel enfichable «Utilisateurs et groupes locaux». Il semble prendre effet immédiatement.

Cela fonctionne sous Windows 8, 8.1 et 10.

Raif Atef
la source