Masquer le compte de l'écran de connexion mais peut être utilisé dans l'UAC

21

J'ai donc une machine à domicile Windows 7 avec 2 comptes d'utilisateurs. L'un est un compte utilisateur standard et l'autre est un compte administrateur. Maintenant, cela va être mis entre les mains d'un utilisateur très low-tech, donc je ne veux pas qu'ils puissent voir le compte administrateur à la connexion, mais ils veulent avoir un mot de passe pour empêcher quelqu'un d'autre d'utiliser la machine .

Mon objectif est que lorsque l'utilisateur allume l'ordinateur, son identifiant lui soit présenté. Après vous être connecté à leur compte non administrateur, si quelque chose doit être installé, le compte administrateur peut être utilisé via UAC.

J'ai essayé de créer la clé reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserListet d'ajouter un dword du nom du compte et de le mettre à 0. Il a réussi à cacher le compte de l'écran de connexion. En plus de le cacher de l'UAC. Il échoue donc à la deuxième exigence, à savoir exécuter les choses en tant qu'administrateur via UAC.

De plus, comme je n'ai pas défini de mot de passe administrateur (laissé vide), il semble que je me sois complètement verrouillé hors de la machine car runas n'accepte pas les mots de passe vides. Donc, je ne peux pas non plus l'annuler, et j'ai très bien installé l'installation, ce qui a entraîné une réinstallation du système d'exploitation.

Il s'agit de Windows 7 Home, il n'y a donc pas de console de gestion des utilisateurs.

tvanover
la source

Réponses:

13

La question d'origine était différente, mais j'ai déjà répondu à cette question auparavant. Voir mon article dans la question " Toujours afficher le dernier écran d'accueil de Windows 7 par défaut " - il explique comment configurer ensemble les comptes UAC et cachés afin que vous puissiez vous authentifier sur le compte via UAC mais pas vous y connecter depuis l'écran d'accueil.

Essentiellement, ce que vous devez faire est de configurer l'UAC pour inviter l'utilisateur à saisir manuellement son nom d'utilisateur et son mot de passe, ce qui vous permet d'entrer un nom d'utilisateur qui est masqué dans l'écran de connexion mais toujours activé. Les instructions sur la façon de le faire sont sur le post lié.

En attendant, il devrait toujours être possible pour vous de récupérer le compte sans effectuer une réinstallation complète. Ouvrez une invite de commande ( cmd.exe) et tapez runas /user:USERNAME regedit.exe, où USERNAME est le nom du compte administratif. Il vous demandera le mot de passe de cet utilisateur; entrez-le et appuyez sur Entrée. Cela ouvrira l'éditeur de registre en cours d'exécution en tant qu'utilisateur, à partir duquel vous pouvez accéder et annuler les modifications que vous avez apportées, en ajoutant à nouveau le compte à l'écran de connexion.

Relisez votre question et remarquez que vous avez dit que le run-as ne fonctionnerait pas. Que se passe-t-il lorsque vous essayez de démarrer en mode sans échec? Je semble me rappeler qu'avec Windows 7 Home Premium, le compte administrateur intégré est désactivé par défaut, mais est activé en mode sans échec, vous permettant de vous y connecter et d'apporter des modifications. Sauf si vous avez masqué le compte intégré en plus du compte que vous avez configuré, cela peut fonctionner.

Enfin, si tout le reste échoue, vous pouvez essayer d'exécuter une restauration du système à partir de la console de récupération. Démarrez sur votre disque d'installation de Windows 7 et choisissez de "réparer une installation de Windows" au lieu d'installer. Vous pouvez sélectionner votre installation, puis vous arriverez éventuellement à un écran où vous pourrez choisir de faire une restauration. Cela devrait ramener le Registre à son état antérieur à la modification, s'il a un point de restauration suffisamment ancien. Vos fichiers ne seront pas modifiés par une restauration du système, bien que certains paramètres système puissent l'être.

nhinkle
la source
C'est en fait presque exactement ce que je cherchais, mais existe-t-il un moyen de nettoyer l'invite d'administration en plus de modifier regedit? J'espère que quelque chose basculera dans les politiques de sécurité locales.
wag2639
1
Oui, il s'agit cependant d'une option gpedit.mscqui n'est pas disponible sur Windows 7 Home Premium, donc je l'ai laissée de côté car les personnes sans Win7 Pro ou version ultérieure seraient confuses et incapables de suivre les instructions. Si vous souhaitez toutefois le faire dans l'éditeur de stratégie de groupe, vous pouvez accéder au Computer Configuration > Administrative Templates > Windows Components > Credential User Interfaceparamètre "Énumérer les comptes d'administrateur en élévation" et le remplacer par "désactivé".
nhinkle
Merci, je cherchais dans les Interwebs et je l'ai trouvé sur une autre question SU pour le contraire. Je voulais faire cela parce que j'aime faire l'administrateur SOHO Windows et ne traiter qu'avec des professionnels ou mieux.
wag2639
Si vous êtes bloqué par Winlogon\SpecialAccounts\UserListsimplement utiliser ceci: ouvrir cmd, tapez runas /user:admin cmd, dans le nouveau type de console: regedit et que vous pouvez modifier le registre. Vous n'avez pas du tout besoin de restaurer le système.
Gergely Fehérvári
5

(Comme la question a changé, ma réponse aussi.)

Mon idée est qu'il n'est pas nécessaire d'afficher le compte administrateur pour l'utiliser. Ce compte peut rester caché de l'écran de bienvenue via le mécanisme de Winlogon\SpecialAccounts\UserList.

Ceci est basé sur le fait que l'on peut toujours émettre dans une invite de commande (ou une boîte d'exécution) n'importe quelle commande en tant qu'administrateur en utilisant RunAs:

RunAs /user:admin "control userpasswords2"
RunAs /user:admin regedit

De cette façon, vous pouvez également importer un fichier .reg pré-préparé qui affichera le compte administrateur pour votre propre usage, puis utiliser un autre fichier .reg pour le masquer à nouveau lorsque vous aurez terminé avec cet ordinateur.

RunAs /user:admin regedit c:\secret\directory\unhide_admin.reg
RunAs /user:admin regedit c:\secret\directory\hide_admin.reg

De cette façon, vous pouvez automatiser le masquage et le dévoilement du compte administrateur.

harrymc
la source