Учетные записи: блокировать учетные записи Майкрософт
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Учетные записи: блокировать учетные записи Майкрософт.
Справочные материалы
Этот параметр политики не позволяет пользователям добавлять новые учетные записи Майкрософт на устройстве.
Если выбрать вариант Пользователи не могут добавлять учетные записи Майкрософт, пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт, а также подключать учетные записи домена к учетным записям Майкрософт. Этот вариант предпочтителен, если требуется ограничить число используемых учетных записей Майкрософт в организации.
Если выбрать вариант Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа, существующие пользователи с учетными записями Майкрософт не смогут войти в Windows. Выбор этого параметра может сделать вход в систему и управление ею недоступным для существующего администратора на данном компьютере.
Если эта политика отключена или не настроена (рекомендуется), пользователи смогут использовать учетные записи Майкрософт в Windows.
Возможные значения
Эта политика отключена
Пользователи не могут добавлять учетные записи Майкрософт
Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа
По умолчанию этот параметр имеет значение "Не определено" на контроллерах домена и "Отключено" на отдельных серверах.
Рекомендации
Если вы отключаете или не настраиваете этот параметр политики на клиентском компьютере, для сеансов входа в Windows пользователи будут использовать свои учетные записи Майкрософт, локальные учетные записи или учетные записи домена. Он также позволяет пользователям подключать локальные или доменные учетные записи к учетным записям Майкрософт. Это довольно удобно.
Если необходимо ограничить использование учетных записей Майкрософт в организации, выберите вариант Пользователи не могут добавлять учетные записи Майкрософт и пользователи не смогут создавать новые учетные записи Майкрософт на компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт или подключать учетные записи домена к учетным записям Майкрософт.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Несмотря на то, что учетные записи Майкрософт защищены паролем, вероятность их раскрытия за пределами предприятия не исключается. Кроме того, если владельца учетной записи Майкрософт трудно определить, затрудняется проведение процессов аудита и процедур экспертного анализа.
Меры противодействия
Требовать в среде предприятия только учетные записи домена, ограничив использование учетных записей Майкрософт. Выберите вариант Пользователи не могут добавлять учетные записи Майкрософт, чтобы пользователи не могли создавать новые учетные записи Майкрософт на устройстве, преобразовывать локальные учетные записи в учетные записи Майкрософт, а также подключать учетные записи домена к учетным записям Майкрософт.
Возможные последствия
Усиление контроля над учетными записями в организации обеспечивает большую защищенность возможностей, связанных с управлением, включая связанные со сбросом паролей процедуры.