Хотя практики безопасности категорически не рекомендуют использовать учетные записи без паролей, все же в некоторых сценариях они могут быть нужны. В этой статье мы рассмотрим, как в Windows создать пользователя с пустым паролем.
- Если пользователь без пароля вам нужен для запуска одного/двух приложений на общедоступном компьютере, скорее всего будет более безопасным настроить Windows на работу в режиме киоска.
- Если вы хотите настроить вход в Windows без пароля, то вместо создания пользователя с пустым паролем, более безопасным будет сохранение пароля пользователя для автоматического входа в реестр (статья по ссылке).
Создать пользователя с пустым паролем на рабочей станции Windows
Чтобы создать нового пользователя без пароля на компьютере с Windows 11 или 10, откройте командную строку и выполните:
net user test_usr /add *
Щелкните дважды
Enter
в приглашении ввести новый пароль (это означает, что вы хотите задать пустой пароль).
Однако, скорее всего, появится ошибка:
The password does not meet the password policy requirements. Check the minimum password length, password complexity and password history requirements. More help is available by typing NET HELPMSG 2245.
Дело в том, что стандартные политики безопасности Windows требуют, чтобы минимальная длина пароля была не меньше 7 символов.
Вывести текущие настройки парольной политики в Windows:
net accounts
В данном случае минимальная длина пароля 7 символов. Чтобы временно отключить ограничение на минимальную длину пароля до 0, выполните команду:
net accounts /minpwlen:0
Теперь можно создать пользователя с пустым паролем с помощью команды net use. После этого верните предыдущее значение парольной политики:
net accounts /minpwlen:7
Новый пользователь появится в списке локальных пользователей на экране входа в Windows, и чтобы войти под ним, достаточно щелкнуть по аккаунту. Пароль запрашиваться не будет.
Если попытаться запустить под пользователем без пароля программу (через runas) или задание планировщика, появится ошибка:
1327: Account restrictions are preventing this user from signing in. For example: blank passwords aren't allowed, sign-in times are limited, or a policy restriction has been enforced.
Дело в том, что локальная политика безопасности Windows блокирует любое использование аккаунтов без паролей, кроме локального входа (невозможен в том числе удаленный вход по RDP, FTP и т.д.).
Отройте консоль редактора локальной GPO (
gpedit.msc
) и перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Найдите параметр Accounts: Limit local account use of blank passwords to console logon only (по умолчанию эта политика включена).
Чтобы разрешить запуск программ (в том числе удаленный вход) под учетной записью без пароля, измените значение политики на Disabled. Обновите настройки групповых политик:
gpupdate /force
Reg.Exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t REG_DWORD /d 1 /f
Теперь можно запускать программы от имени учетной записи пользователя без пароля:
runas /user:test_usr cmd
Также с помощью локальных политики можно ограничить локальный, удаленный вход, сетевой доступ, или использование этого аккаунта в заданиях планировщика:
Чтобы пользователь не мог изменить свой пароль, нужно включить для него опцию User cannot change password. Можно включить опцию в графической оснастке
lusmgr.msc
или выполнить PowerShell команду для изменения настроек локального пользователя.
Get-LocalUser test_usr| Set-LocalUser –PasswordNeverExpires $True -UserMayChangePassword $False
Пользователь без пароля в домене Active Directory
Стандартные политики безопасности домена AD также блокируют возможность создания доменных аккаунтов пользователей без пароля. Однако есть небольшой трюк, который потенциально позволяет администратору создать пользователя без пароля, не меняя настройки доменной парольной политики.
Сначала нужно включить для нужного аккаунта пользователя атрибут
PASSWD_NOTREQD
(пароль не требуется). Для этого нужны права Domain Admin или Account Operator:
Get-ADUser a.grey | Set-ADUser -PasswordNotRequired $true
После этого администратор сможет задать для этой учетки пустой пароль. Выполните такую команду (просто нажмите дважды Enter на предложение задать новый пароль):
net user a.grey *