По умолчанию, учетная запись первого созданного пользователя в Windows 10 (например, при установке) имеет права администратора, однако последующие создаваемые учетные записи — права обычного пользователя.
В этой инструкции для начинающих пошагово о том, как дать права администратора создаваемым пользователям несколькими способами, а также о том, как стать администратором Windows 10, если у вас нет доступа к администраторской учетной записи, плюс видео, где весь процесс показан наглядно. См. также: Как создать пользователя Windows 10, Встроенная учетная запись Администратор в Windows 10.
Как включить права администратора для пользователя в параметрах Windows 10
В Windows 10 появился новый интерфейс для управления учетными записями пользователей — в соответствующем разделе «Параметров».
Чтобы сделать пользователя администратором в параметрах достаточно выполнить следующие простые шаги (эти действия должны выполняться из учетной записи, которая уже имеет права администратора)
- Зайдите в Параметры (клавиши Win+I) — Учетные записи — Семья и другие люди.
- В разделе «Другие люди» нажмите по учетной записи пользователя, которого требуется сделать администратором и нажмите кнопку «Изменить тип учетной записи».
- В следующем окне в поле «Тип учетной записи» выберите «Администратор» и нажмите «Ок».
Готово, теперь пользователь при следующем входе в систему будет иметь необходимые права.
С использованием панели управления
Чтобы изменить права учетной записи с простого пользователя на администратора в панели управления выполните следующие шаги:
- Откройте панель управления (для этого можно использовать поиск в панели задач).
- Откройте пункт «Учетные записи пользователей».
- Нажмите «Управление другой учетной записью».
- Выберите пользователя, права которого нужно изменить и нажмите «Изменение типа учетной записи».
- Выберите «Администратор» и нажмите кнопку «Изменение типа учетной записи».
Готово, теперь пользователь является администратором Windows 10.
С помощью утилиты «Локальные пользователи и группы»
Ещё один способ сделать пользователя администратором — использовать встроенное средство «Локальные пользователи и группы»:
- Нажмите клавиши Win+R на клавиатуре, введите lusrmgr.msc и нажмите Enter.
- В открывшемся окне откройте папку «Пользователи», затем дважды кликните по пользователю, которого требуется сделать администратором.
- На вкладке «Членство в группах» нажмите «Добавить».
- Введите «Администраторы» (без кавычек) и нажмите «Ок».
- В списке групп выберите «Пользователи» и нажмите «Удалить».
- Нажмите «Ок».
При следующем входе в систему пользователь, который был добавлен в группу «Администраторы», будет иметь соответствующие права в Windows 10.
Как сделать пользователя администратором с помощью командной строки
Существует и способ дать права администратора пользователю используя командную строку. Порядок действий будет следующим.
- Запустите командную строку от имени Администратора (см. Как запустить командную строку в Windows 10).
- Введите команду net users и нажмите Enter. В результате вы увидите список учетных записей пользователей и системные учетные записи. Запомните точное имя учетной записи, права которой нужно изменить.
- Введите команду net localgroup Администраторы имя_пользователя /add и нажмите Enter.
- Введите команду net localgroup Пользователи имя_пользователя /delete и нажмите Enter.
- Пользователь будет добавлен в список администраторов системы и удален из списка обычных пользователей.
Примечания по команде: на некоторых системах, созданных на базе англоязычных версий Windows 10 следует использовать «Administrators» вместо «Администраторы» и «Users» вместо «Пользователи». Также, если имя пользователя состоит из нескольких слов, возьмите его в кавычки.
Как сделать своего пользователя администратором, не имея доступа к учетным записям с правами администратора
Ну и последний возможный сценарий: вы хотите дать себе права администратора, при этом отсутствует доступ к уже имеющейся учетной записи с этими правами, из-под которой можно было бы выполнить описанные выше действия.
Даже в этой ситуации существуют некоторые возможности. Один из самых простых подходов будет таким:
- Используйте первые шаги в инструкции Как сбросить пароль Windows 10 до того момента, как будет запущена командная строка на экране блокировки (она как раз открывается с нужными правами), сбрасывать какой-либо пароль не потребуется.
- Используйте в этой командной строке способ «с помощью командной строки», описанный выше, чтобы сделать себя администратором.
Видео инструкция
На этом завершаю инструкцию, уверен, что у вас всё получится. Если же остаются вопросы — задавайте в комментариях, а я постараюсь ответить.
Рассмотрим два простых способа предоставления учетной записи прав локального администратора.
После того, как вы создали учетную запись на сервере Windows Server, часто возникает вопрос, как добавить пользователя в группу локальных администраторов?
В этом статье мы покажем, как добавить пользователя в локальные админы на примере операционной системы Windows Server 2012 R2. Вся информация применима к любым другим поддерживаемым операционным системам Windows. Естественно, для выполнения этих операций учетная запись, выполняющая данные изменения должна обладать административными полномочиями.
- Добавление в группу администраторов при помощи консоли Сomputer Management
- Добавление пользователя в администраторы с помощью команды net user
Содержание:
Добавление в группу администраторов при помощи консоли Сomputer Management
- Нажмите кнопки Win + X, чтобы открыть консоль управления компьютером — «Сomputer Management»
- В списке с левой стороны разверните секцию Computer Management -> System Tools -> Local Users and Groups и выберите пункт Groups.
- Щелкните правой кнопкой мыши по группе Administrators , выберите пункт Add to Group , а затем нажмите кнопку Add.
- В диалоговом окне «Select Users» в поле «Enter the object names to select» введите имя учетной записи пользователя или группы, которую вы хотите добавить в группу Administrators и нажмите OK.
- Если в группу локальных администраторов нужно добавить учетную запись другого компьютера, выберите «Object Types», установите флажок «Computers» и нажмите «ОК». В поле «Enter the object names to select» и укажите имя компьютера.
Добавление пользователя в администраторы с помощью команды net user
Войдите в операционную систему Windows под учетной записью, обладающей правами администратора и запустите командную строку с повышенными привилегиями.
Для того, чтобы вывести список всех локальных учетных записей пользователей в системе введите команду
net user
Как вы видите, в системе имеется 6 учетных записей.
Чтобы добавить учетную запись пользователя root в группу локальных администраторов, выполните следующую команду и нажмите Enter:
net localgroup administrators root /add
В русской версии Windows локальная группа администраторов называется по-другому, поэтому если предыдущая команда вернула ошибку «Указанная локальная группа не существует», воспользуйтесь другой командной:
net localgroup "Администраторы" root /add
Если нужно добавить в администраторы системы учетную запись пользователя домена Active Directory, формат команды будет такой:
net localgroup administrators yourdomain\root /add
Проверить состав группы локальных администраторов можно с помощью команды:
Net localgroup administrators
Как вы видите, учетная запись пользователя root теперь является администратором сервера.
In Windows 11 or Windows 10, administrative permissions or rights are required to perform certain actions that make changes to the system or data, such as installing or uninstalling an app or program, renaming, moving, or deleting a file or folder.
A user account in Windows can be either an administrator, a guest, or a standard user account without admin rights. If you have access to an administrator account, you can grant admin rights to another user account. This short tutorial will show you 2 methods (via Settings and CMD) on how to give full administrator permission and rights to a user in Windows 10/11.
Also see: How to Change Administrator Email on Windows 11
How to give admin rights to user in Windows 11/10 via Settings
The bottom line is you need to have access to an administrator account on the Windows PC in order to give admin rights to another user account. Only the administrator account can grant admin rights and privileges to other users.
To give admin rights to a user in Windows 10/11, follow the steps below.
- In the Start menu, search for and open “Settings“.
- In Settings window, click on Accounts.
- On the left pane, click on Family & other users.
- Under “Other users“, select the account you want to give admin rights to.
- Then, click on Change account type.
- In the pop up window, click on the Account type down-down menu, then select Administrator.
- Click OK to confirm the changes.
After changing the account type to administrator, you should then be able to see an “Administrator – Local account” label under the selected user account.
In addition, a Windows 11/10 system can have multiple administrator accounts. Thus, you can give admin rights to as many other user accounts as you like.
If you have not created the user account yet, you can directly create a new local admin account instead. Read: How to Create Local Admin Account Without Password on Windows 11/10.
How to give administrator permission in Windows 10/11 via CMD
If you prefer to give admin rights to a user via the command prompt instead of the GUI, here’s how to do it.
Firstly, open an elevated command prompt: Search for “cmd” on the Windows 10/11 search bar. Right-click Command Prompt from the search result, and then select “Run as administrator“.
In the command prompt window, enter the following command to list all existing user accounts on your Windows 10/11 PC. This step is optional but useful if you do not know or are not sure about the exact name of the user account you want to give administrative rights to. You can copy the name of the user account to be used in the next step.
net user
To give admin rights to a user account, use the following command. Note: Replace “UserAccount” with the actual name of the user account that you want to give admin rights to.
The following command will add the specified user account to the administrator group, thus granting full administrator rights to the user account.
Net Localgroup Administrators UserAccount /add
For example:
Net Localgroup Administrators alvintest2 /add
To remove an existing administrator account from the administrator group, in other words, changing it back to a standard user account, use the following command. Replace “UserAccount” with the actual user account name that you want to delete from the admin group.
Net Localgroup Administrators UserAccount /Delete
For example:
Net Localgroup Administrators alvintest2 /Delete
How to check if you have admin rights
If you’re not sure whether you have admin rights on your Windows 11/10 PC, you can check your account type by following these steps:
- Click the Start button and select Settings.
- Click on Accounts.
- On the left pane, click on Your info.
- Under “Your account type”, you should see whether you have an Administrator or Standard account.
If you have an Administrator account, you have admin rights on your PC. If you have a Standard account, you do not have admin rights and will need to be granted them by an Administrator.
How to remove admin rights from a user
If you’ve granted admin rights to a user and want to revoke them, you can do so by following the same steps as above and changing the account type back to Standard. Alternatively, you can use the CMD method described earlier to remove the user from the Administrators group.
Windows provides command line utilities to manager user groups. In this post, learn how to use the command net localgroup to add user to a group from command prompt’
Add user to a group
Run the steps below –
- Open elevated command prompt
- Run the below command
net localgroup group_name UserLoginName /add
For example to add a user ‘John’ to administrators group, we can run the below command.
net localgroup administrators John /add
Few more examples:
To add a domain user to local users group:
net localgroup users domainname\username /add
This command should be run when the computer is connected to the network. Otherwise you will get the below error.
H:\>net localgroup users domain\user /add System error 1789 has occurred. The trust relationship between this workstation and the primary domain failed.
To add a domain user to local administrator group:
net localgroup administrators domainname\username /add
To add a user to remote desktop users group:
net localgroup "Remote Desktop Users" UserLoginName /add
To add a user to debugger users group:
net localgroup "Debugger users" UserLoginName /add
To add a user to Power users group:
net localgroup "Power users" UserLoginName /add
This command works on all editions of Windows OS i.e Windows 2000, Windows XP, Windows Server 2003, Windows Vista and Windows 7. In Vista and Windows 7, even if you run the above command from administrator login you may still get access denied error like below.
C:\> net localgroup administrators techblogger /add System error 5 has occurred. Access is denied.
The solution for this is to run the command from elevated administrator account. See How to open elevated administrator command prompt
When you run the ‘net localgroup’ command from elevated command prompt:
C:\>net localgroup administrators techblogger /add The command completed successfully.
To list the users belonging to a particular group we can run the below command.
net localgroup group_name
For example to list all the users belonging to administrators group we need to run the below command.
net localgroup administrators
Related posts:
Add new user account
Delete user account
Для предоставления прав локального администратора на компьютерах домена сотрудникам техподдержки, службе HelpDesk, определенным пользователям и другим привилегированным аккаунтам, вам нужно добавить необходимых пользователей или группы Active Directory в локальную группу администраторов на серверах или рабочих станциях. В этой статье мы покажем несколько способов управления членами локальной группы администраторов на компьютерах домена вручную и через GPO.
Содержание:
- Добавляем пользователя в локальные администраторы компьютера вручную
- Добавляем пользователей в локальную группу администраторов через Group Policy Preferences
- Предоставление прав администратора на конкретном компьютере
- Управление локальными администраторами через Restricted Groups
Добавляем пользователя в локальные администраторы компьютера вручную
Самый простой способ предоставить пользователю или группе права локального администратора на конкретном компьютере — добавить его в локальную группу Administrators с помощью оснастки “Локальные пользователи и группы” (Local users and groups — lusrmgr.msc).
После того, как вы добавили компьютер в домен AD, в локальную группу Administrators компьютера автоматически добавляется группы Domain Admins, а группа Domain User добавляется в локальную Users. Остальных пользователей вы можете добавить в группу администраторов вручную или с помощью GPO.
Нажмите кнопку Add и укажите имя пользователя, группы, компьютера или сервисного аккаунта (gMSA), которому вы хотите предоставить права локального администратора. С помощью кнопки Location вы можете переключать между поиском принципалов в домене или на локальном компьютере.
Также вы можете вывести список пользователей с правами локального администратора компьютера из командной строки:
net localgroup administrators
Или для русской версии Windows:
net localgroup администраторы
Для получения списка пользователей в локальной группе можно использовать следующую команду PowerShell (используется встроенный модуль LocalAccounts для управления локальными пользователями и группами):
Get-LocalGroupMember administrators
Данная команда показывает класс объекта, которому предоставлены права администратора (ObjectClass = User, Group или Computer) и источник учетной записи или группы (ActiveDirectory, Azure AD или локальные пользователи/группы).
Чтобы добавить доменную группу (или пользователя) spbWksAdmins в локальные администраторы, выполните команду
net localgroup administrators /add spbWksAdmins /domain
Через PowerShell можно добавить пользователя в администраторы так:
Add-LocalGroupMember -Group Administrators -Member ('winitpro\a.novak', 'winitpro\spbWksAdmins','wks-pc11s22\user1') –Verbose
В этом примере мы добавили в администраторы компьютеры пользователя и группу из домена winitpro и локального пользователя wks-pc11s22\user1.
Можно добавить пользователей в группу администраторов на нескольких компьютерах сразу. В этом случая для доступа к удаленного компьютерам можно использовать командлет Invoke-Command из PowerShell Remoting:
$WKSs = @("wks1","wks2","wks3")
Invoke-Command -ComputerName $WKSs –ScriptBlock { Add-LocalGroupMember -Group Administrators -Member 'winitpro\spbWksAdmins'}
Также вы можете полностью отказаться от предоставления прав администратора для доменных пользователей и групп. Для выполнения разовых задач администрирования на компьютерах (установка программ, настройка системных параметров Windows можно использовать встроенного локального администратора с паролем, хранящимся в AD (реализуется с помощью Local Administrator Password Solution (LAPS)).
В доменной среде Active Directory предоставления прав локального администратора на компьютерах домена лучше использовать возможности групповых политик. Это намного проще, удобнее и безопаснее, чем ручное добавление пользователей в локальную группу администраторов на каждом компьютере. В групповых политиках AD есть два способа управления группой администраторов на компьютерах домена:
- Ограниченные группы (Restricted Groups)
- Управление локальным группами через предпочтения групповых политик (Group Policy Preferences)
Добавляем пользователей в локальную группу администраторов через Group Policy Preferences
Допустим, вам нужно предоставить группе сотрудников техподдержки и HelpDesk права локального админа на компьютерах в конкретном OU Active Directory. Создайте в домене новую группу безопасности с помощью PowerShell и добавьте в нее учетные записи сотрудников техподдержки:
New-ADGroup "mskWKSAdmins" -path 'OU=Groups,OU=Moscow,DC=winitpro,DC=ru' -GroupScope Global –PassThru
Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3
Откройте консоль редактирования доменных групповых политик (GPMC.msc), cоздайте новую политику AddLocaAdmins и назначьте ее на OU с компьютерами (в моем примере это ‘OU=Computers,OU=Moscow,dc=winitpro,DC=ru’).
Предпочтения групповых политик (Group Policy Preferences, GPP) предоставляют наиболее гибкий и удобный способ предоставления прав локальных администраторов на компьютерах домена через GPO.
- ткройте созданную ранее политику AddLocaAdmins в режиме редактирования;
- Перейдите в секцию GPO: Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups;
- Щелкните ПКМ по правому окну и добавите новое правило (New -> Local Group);
- В поле Action выберите Update (это важная опция!);
- В выпадающем списке Group Name выберите Administrators (Built-in). Даже если эта группа была переименована на компьютере, настройки будут применены к группе локальных администраторов по ее SID —
S-1-5-32-544
; - Нажмите кнопку Add и укажите группы, которые нужно добавить в локальную группу администраторов (в нашем случае это mskWKSAdmins).
Вы можете удалить из группы администраторов компьютера всех пользователей и группы, добавленных вручную. Для этого включите опции опции “Delete all member users” и “Delete all member groups”. В большинстве случае это целесообразно, т.к. вы гарантируете, что на всех компьютерах права администратора будут только у назначенной доменной группы. Теперь если на компьютере вручную добавить пользователя в группу администраторов, при следующем применении политики он будет автоматически удален.
- Сохраните политику и дождитесь ее применения на клиентах. Чтобы немедленно обновить параметры групповой политики, выполните команду
gpupdate /force - Откройте оснастку lusrmgr.msc на любом компьютере и проверьте членов локальной группы Adminstrators. В группу должна быть добавлена только группа mskWKSAdmins, все остальные пользователи и группы (кроме встроенного администратора Windows) будут удалены.
Если политика не применилась на клиенте, для диагностики воспользуйтесь командой gpresult. Также убедитесь что компьютер находится в OU, на которое нацелена политика, а также проверьте рекомендации из статьи “Почему не применяются политики в домене AD?”.
.
Предоставление прав администратора на конкретном компьютере
Иногда нужно предоставить определенному пользователю права администратора на конкретном компьютере. Например, у вас есть несколько разработчиков, которым периодически необходимы повышенные привилегии для тестирования драйверов, отладки, установки на своих компьютерах. Нецелесообразно добавлять их в группу администраторов рабочих станций с правами на всех компьютерах.
Чтобы предоставить права лок. админа на одном конкретном компьютере можно использовать WMI фильтры GPO или Item-level Targeting.
Прямо в созданной ранее политике AddLocalAdmins в секции предпочтений (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups) создайте новую запись для группы Administrators со следующими настройками:
- Action: Update
- Group Name: Administrators (Built-in)
- Description: “Добавление apivanov в лок. администраторы на компьютере msk-ws24”
- Members: Add -> apivanov
- На вкладке Common -> Targeting указать правило: “the NETBIOS computer name is msk-ws24”. Т.е. данная политика будет применяться только на указанном здесь компьютере.
Также обратите внимание на порядок применения групп на компьютере – Order. Настройки локальных групп применяются сверху вниз (начиная с политики с Order 1).
Первая политика GPP (с настройками “Delete all member users” и “Delete all member groups” как описано выше), удаляет всех пользователей/группы из группы локальных администраторов и добавляет указанную доменную группу. Затем применится дополнительная политика для конкретного компьютера и добавит в группу вашего пользователя. Если нужно изменить порядок применения членства в группе Администраторы, воспользуйтесь кнопками вверху консоли редактора GPO.
Управление локальными администраторами через Restricted Groups
Политика групп с ограниченным доступом (Restricted Groups) также позволяет добавить доменные группы/пользователей в локальные группы безопасности на компьютерах. Это более старый способ предоставления прав локального администратора и сейчас используется реже (способ менее гибкий, чем способ с Group Policy Preferences).
- Перейдите в режим редактирования политики;
- Разверните секцию Computer Configuration -> Policies -> Security Settings -> Restrictred Groups (Конфигурация компьютера -> Политики -> Параметры безопасности -> Ограниченные группы);
- В контекстном меню выберите Add Group;
- В открывшемся окне укажите Administrators -> Ok;
- В секции “Members of this group” нажмите Add и укажите группу, которую вы хотите добавить в локальные админы;
- Сохраните изменения, примените политику на компьютеры пользователей и проверьте локальную групп Administrators. В ней должна остаться только указанная в политике группа.
Данная политика всегда (!) удаляет всех имеющихся членов в группе локальных администраторов (добавленных вручную, другими политиками или скриптами).
Если вам нужно оставить текущий список группы Administrators и добавить в нее дополнительную группу нужно:
- Создать новый элемент в Restricted Groups и указать в качестве имени группу безопасности AD, которую вы хотите добавить в локальные админы;
- Затем в разделе This group is a member of нужно добавить группу Administrators;
- Обновите настройки GPO на клиенте и убедитесь, что ваша группа была добавлена в локальную группу Administrator. При этом текущие принципалы в локальной группе остаются неторонутыми (не удаляются из группы).
В конце статьи оставлю базовые рекомендации по управлению правами администраторов на компьютерах пользователей AD:
В классических рекомендациях по безопасности Microsoft рекомендуется использовать следующие группы для разделения полномочиями администраторов в домене:
- Domain Admins – администраторы домена, используются только на контроллерах домена;
С точки зрения безопасности привилегированных аккаунтов администраторов не рекомендуется выполнять повседневные задачи администрирования рабочих станций и серверов под учетной записью с правами администратора домена. Такие учётные записи нужно использовать только для задач администрирования AD (добавление новых контроллеров домена, управление репликацией, модификация схемы и т.д.). Большинство задач управления пользователями, компьютерами и политиками в домене можно делегировать для обычных учетных записей администраторов. Не используйте аккаунты из группы Domain Admins для входа на любые рабочие станции и сервера хроме контроллеров домена.
- Server Admins – группа для управления на рядовыми Windows Server домена. Не должна состоять в группе Domain Admins и не должна включаться в группу локальных администраторов на рабочих станциях;
- Workstation Admins – группа только для администрирования компьютеров. Не должна входить или содержать группы Domain Admins и Server Admins;
- Domain Users – обычные учетные записи пользователей для выполнения типовых офисных операций. Не должны иметь прав администратора на серверах или рабочих станциях;
- Не рекомендуется добавлять в администраторы индивидуальные аккаунты пользователей, лучше использовать доменные группы безопасности. В этом случае, чтобы предоставить права администраторов очередному сотруднику тех. поддержки, вам достаточно добавить его в доменную группу (не придется редактировать GPO).