Windows: создать пользователя без пароля (с пустым паролем)

Хотя практики безопасности категорически не рекомендуют использовать учетные записи без паролей, все же в некоторых сценариях они могут быть нужны. В этой статье мы рассмотрим, как в Windows создать пользователя с пустым паролем.

Несколько более безопасных сценариев, альтернативных созданию пользователя без пароля:

  • Если пользователь без пароля вам нужен для запуска одного/двух приложений на общедоступном компьютере, скорее всего будет более безопасным настроить Windows на работу в режиме киоска.
  • Если вы хотите настроить вход в Windows без пароля, то вместо создания пользователя с пустым паролем, более безопасным будет сохранение пароля пользователя для автоматического входа в реестр (статья по ссылке).

Создать пользователя с пустым паролем на рабочей станции Windows

Чтобы создать нового пользователя без пароля на компьютере с Windows 11 или 10, откройте командную строку и выполните:

net user test_usr /add *

Щелкните дважды Enter в приглашении ввести новый пароль (это означает, что вы хотите задать пустой пароль).

Однако, скорее всего, появится ошибка:

The password does not meet the password policy requirements. Check the minimum password length, password complexity and password history requirements. More help is available by typing NET HELPMSG 2245. 

net user test_usr /add * - создать пользователя без пароля

Дело в том, что стандартные политики безопасности Windows требуют, чтобы минимальная длина пароля была не меньше 7 символов.

Вывести текущие настройки парольной политики в Windows:

net accounts

net accounts - парольные политики в Windows

В данном случае минимальная длина пароля 7 символов. Чтобы временно отключить ограничение на минимальную длину пароля до 0, выполните команду:

net accounts /minpwlen:0

Либо можно изменить настройки в параметре Minimum password length в редакторе локальной GPO: Computer Configuration -> Windows Settings -> Security settings -> Account policies -> Password policy.

GPO: Minimum password length

Теперь можно создать пользователя с пустым паролем с помощью команды net use. После этого верните предыдущее значение парольной политики:

net accounts /minpwlen:7

Новый пользователь появится в списке локальных пользователей на экране входа в Windows, и чтобы войти под ним, достаточно щелкнуть по аккаунту. Пароль запрашиваться не будет.

Вход в Windows без пароля

Если попытаться запустить под пользователем без пароля программу (через runas) или задание планировщика, появится ошибка:

1327: Account restrictions are preventing this user from signing in. For example: blank passwords aren't allowed, sign-in times are limited, or a policy restriction has been enforced.

1327: Account restrictions are preventing this user from signing in. For example: blank passwords aren't allowed, sign-in times are limited, or a policy restriction has been enforced

Дело в том, что локальная политика безопасности Windows блокирует любое использование аккаунтов без паролей, кроме локального входа (невозможен в том числе удаленный вход по RDP, FTP и т.д.).

Отройте консоль редактора локальной GPO ( gpedit.msc ) и перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Найдите параметр Accounts: Limit local account use of blank passwords to console logon only (по умолчанию эта политика включена).

Чтобы разрешить запуск программ (в том числе удаленный вход) под учетной записью без пароля, измените значение политики на Disabled. Обновите настройки групповых политик: gpupdate /force

Политика: Accounts: Limit local account use of blank passwords to console logon only

Также этот политику можно включить/отключить через реестр. Чтобы ограничить вход пользователя без пароля только локальной (физической) консолью компьютера, выполните:

Reg.Exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t REG_DWORD /d 1 /f

Теперь можно запускать программы от имени учетной записи пользователя без пароля:

runas /user:test_usr cmd

Запуск команды через runas под пользователем без пароля

Также с помощью локальных политики можно ограничить локальный, удаленный вход, сетевой доступ, или использование этого аккаунта в заданиях планировщика:

Чтобы пользователь не мог изменить свой пароль, нужно включить для него опцию User cannot change password. Можно включить опцию в графической оснастке lusmgr.msc или выполнить PowerShell команду для изменения настроек локального пользователя.

Get-LocalUser test_usr| Set-LocalUser –PasswordNeverExpires $True -UserMayChangePassword $False

Если компьютер добавлен в домен AD, политики безопасности домена будут иметь более высокий приоритет, чем локальные настройки, поэтому создать локального пользователя с пустым паролем не удастся.

Пользователь без пароля в домене Active Directory

Стандартные политики безопасности домена AD также блокируют возможность создания доменных аккаунтов пользователей без пароля. Однако есть небольшой трюк, который потенциально позволяет администратору создать пользователя без пароля, не меняя настройки доменной парольной политики.

Сначала нужно включить для нужного аккаунта пользователя атрибут PASSWD_NOTREQD (пароль не требуется). Для этого нужны права Domain Admin или Account Operator:

Get-ADUser a.grey | Set-ADUser -PasswordNotRequired $true

Аттрибут PASSWD_NOTREQD в AD

После этого администратор сможет задать для этой учетки пустой пароль. Выполните такую команду (просто нажмите дважды Enter на предложение задать новый пароль):

net user a.grey *

net user - задать пустой пароль

Этот способ подробно описан в статье Поиск пользователей AD без пароля (PasswordNotRequired).

Предыдущая статья Следующая статья


Комментариев: 0 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)