¿Una forma adecuada de crear cuentas no interactivas?

12

Para utilizar el uso compartido de archivos protegido por contraseña en una red doméstica básica, deseo crear una cantidad de cuentas de usuario no interactivas en una máquina con Windows 8 Pro además del conjunto existente de cuentas interactivas. Los usuarios que corresponden a esas cuentas adicionales no usarán esta máquina de manera interactiva, por lo que no quiero que sus cuentas estén disponibles para iniciar sesión y no quiero que sus nombres aparezcan en la pantalla de bienvenida.

En versiones anteriores de Windows Pro (hasta Windows 7), hice esto creando primero las cuentas como miembros del grupo "Usuarios" y luego incluyéndolas en la lista "Denegar inicio de sesión local" en la configuración de la Política de seguridad local. Esto siempre tuvo el efecto deseado. Sin embargo, mi pregunta es si esta es la mejor forma de hacerlo.

La razón por la que pregunto es que aunque este método también funciona en Windows 8 Pro, tiene una pequeña peculiaridad: los usuarios interactivos del grupo "Usuario" aún pueden ver estos nombres de usuario adicionales cuando van a la pantalla de Metro y presione su propio nombre de usuario en la esquina superior derecha (es decir, abra el menú "Cerrar sesión / Bloquear"). La lista de comandos que se retira contiene los comandos "Cerrar sesión" y "Bloquear", así como los nombres de otros usuarios (para la funcionalidad "cambiar de usuario"). Por alguna razón, esa lista incluye los usuarios adicionales de la lista "Denegar inicio de sesión local". Es interesante notar que esto sucede cuando el usuario actual pertenece al grupo "Usuarios", pero no sucede cuando el usuario actual es de "Administradores".

Por ejemplo, supongamos que tengo tres cuentas en la máquina: "Administrador" (desde "Administradores", puede iniciar sesión localmente), "A" (desde "Usuarios", puede iniciar sesión localmente), "B" (desde "Usuarios", inicio de sesión denegado localmente). Cuando "Administrador" inicia sesión, solo puede ver al usuario "A" en su menú "Cerrar sesión / Bloquear" de Metro, es decir, todo funciona como debería. Pero cuando el usuario "A" está conectado, puede ver tanto "Administrador" como el usuario "B" en su menú "Cerrar sesión / Bloquear".

Como era de esperar, en el ejemplo anterior, intentar cambiar del usuario "A" al usuario "B" presionando "B" en el menú no funciona: Windows salta a la pantalla de bienvenida que solo muestra "Administrador" y "A".

De todos modos, en la superficie esto parece ser un error de nivel de interfaz en Windows 8. Sin embargo, me pregunto si pasar por la configuración "Denegar inicio de sesión local" es la forma correcta de hacerlo en Windows 8. ¿Hay alguna otra manera de crear una cuenta de usuario oculta no interactiva?

Hormiga
fuente
¿Qué pasaría si también excluyera a esos usuarios del Usersgrupo?
Afrazier
1
Honestamente, este es el tipo de problema que la función HomeGroup se propuso resolver y, en mi opinión, resuelve de manera bastante adecuada.
Taylor Gibb

Respuestas:

1

Necesita el Kit de recursos 2003 y este comando:

ntrights -u "username" +r SeDenyInteractiveLogonRight

Explicación de los derechos del usuario:

SeNetworkLogonRight               Access this computer from the network 
SeInteractiveLogonRight           Log on locally 
SeBatchLogonRight                 Log on as a batch job 
SeServiceLogonRight               Log on as a service 
SeDenyNetworkLogonRight           Deny access this computer from the network 
SeDenyInteractiveLogonRight       Deny log on locally 
SeDenyBatchLogonRight             Deny log on as a batch job 
SeDenyServiceLogonRight           Deny log on as a service 
SeCreateGlobalPrivilege           Create global objects 
SeDebugPrivilege                  Debug programs 
SeDenyRemoteInteractiveLogonRight Deny log on through Terminal Services 
SeEnableDelegationPrivilege       Enable computer and user accounts to be trusted for delegation 
SeImpersonatePrivilege            Impersonate a client after authentication 
SeManageVolumePrivilege           Perform volume maintenance tasks  
SeRemoteInteractiveLogonRight     Allow log on through Terminal Services  
SeSyncAgentPrivilege              Synchronize directory service data 
SeUndockPrivilege                 Remove computer from docking station 

Agregar nuevo usuario en Windows 8:

Agregar nuevo usuario en Windows 8

Instale el Kit de recursos 2003:

Ejecute Instalar Kit de recursos 2003

Establecer ruta de instalación:

Establecer ruta Kit de recursos 2003

Ejecutar en CMD con privilegios administrativos: deshabilite el inicio de sesión interactivo del usuario. Información de la versión del sistema operativo.

Deshabilitar usuario de inicio de sesión interactivo

Cómo utilizar CMD con privilegios administrativos:

Cómo utilizar CMD con privilegios administrativos

Desconectarse:

 shutdown /l

Desconectarse

No inicie sesión en el usuario sin privilegios de inicio de sesión interactivo: no vea al nuevo usuario.

Habilitar, deshabilitar privilegios de inicio de sesión interactivo. Agregar usuario a la lista:

agregar usuario a la lista

Seleccionar usuario sin privilegios de inicio de sesión interactivo:

Seleccionar usuario sin privilegios de inicio de sesión interactivo

No iniciar sesión, regresar en la pantalla de inicio de sesión.

No iniciar sesión, regresar en la pantalla de inicio de sesión

Todo funciona ¡Buena suerte!

Nota: vaya a esta clave de registro:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" 

AndreyT 0 DWORD: puede estar oculto, debe probarse y reiniciarse.

STTR
fuente
1
¡Pero las imágenes que publicaste demuestran exactamente el mismo problema que describí en mi pregunta! En su imagen de Metro (segundo desde abajo), el usuario STTRpuede ver al usuario AndreyTen la lista, aunque AndreyTno tenga privilegios de inicio de sesión. Esto es exactamente lo que quiero arreglar. No quiero que el usuario STTRvea al usuario AndreyTen esa lista.
AnT
Sé que el usuario AndreyTno puede iniciar sesión. Pero por encima de eso quiero usuario AndreyTsea invisible a STTR. Su pantalla de Metro muestra que AndreyTtodavía está visible para STTR. Ese es el problema.
AnT
Si no configuro ntrights -u AndreyT -r SeDenyInteractiveLogonRightdespués de crear un usuario, y no presiono relogon, el usuario no está visible. Puede habilitar el inicio de sesión de auditoría y cambiar la contraseña larga todos los días))).
STTR
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserListAndreyT DWORD 0 -may bee hide it
STTR
1
Desafortunadamente, esta configuración no tiene ningún efecto sobre el tema en cuestión. Los usuarios aún están visibles en la lista "Cerrar sesión".
ANT
0

Sé que esto funciona con Windows 7, no tengo una copia de Windows 8 para probarlo, pero supongo que la funcionalidad es la misma.

Básicamente agrega el nombre del usuario que desea ocultar como una clave DWORD (32) en

HKEY_Local_Machine \ SOFTWARE \ Microsoft \ WindowNT \ CurrentVersion \ Winlogon \ SpecialAccounts \ UserList \

http://www.tech-recipes.com/rx/6222/windows-7-vista-xp-hide-user-account-from-welcome-screen-login-screen/

Usta
fuente
Desafortunadamente, esta configuración no tiene ningún efecto sobre el tema en cuestión. Los usuarios aún están visibles en la lista "Cerrar sesión".
ANT
0

Yo uso una configuración similar (llámame anticuada) como el OP :-). Cuenta de usuario dedicada para compartir archivos con uso compartido explícito de archivos y permisos NTFS.

Además de agregar la cuenta a la lista "Denegar inicio de sesión interactivo" en Asignación de derechos de usuario en el complemento Seguridad local, también debe eliminar la cuenta no interactiva de todas las membresías de grupo (es decir, la cuenta de usuario no debe ser un miembro de cualquier grupo) Haga esto desde el complemento "Usuarios y grupos locales". Parece surtir efecto de inmediato.

Esto funciona en Windows 8, 8.1 y 10.

Raif Atef
fuente