Вы просматриваете: Главная > Без рубрики > Дело о заблокированной кнопке «Да»

Дело о заблокированной кнопке «Да»

Блог В.Стеркина

Первое утро марта выдалось настолько ярким и солнечным, что я решил непременно вытащить скучавшего в последнее время Холмса на моцион в Гайд-парк. Стоило мне подумать о друге, как от него тут же пришлателеграмма: «Ватсон, загляните ко мне днем, тут интересный случай.»

Уже через полчаса он с прищуром вручил мне ультрабук, на экране которого красовался странный запрос контроля учетных записей.

Почему заблокирована кнопка Да в окне UAC

— Как вам это нравится, доктор?

Загадка

Владелец ультрабука, некто мистер Смит, якобы ничего особенного не делал. Просто его учетная запись в Windows 10 внезапно утратила возможность запускать с полными правами программы и системные настройки.

— Как я понимаю, Холмс, других административных учетных записей в системе нет? Тяжелый случай, кончено, но можно же сбросить пароль администратора.
— Сбросить точно не получится, потому что у него учетная запись Microsoft.
— Полноте, друг мой, не придирайтесь к словам! Вы же знаете, что так можно создать другого администратора.

Детектив покивал с загадочной улыбкой и жестом пригласил меня заняться делом. Я пожал плечами, раскрыл свой верный саквояж и достал флэшку с дистрибутивом Windows 10…

Почему заблокирована кнопка Да в окне UAC

Через полчаса мытарств я понял, что недооценил ситуацию. Ультрабук упорно не видел любые флэшки, в какой бы USB-порт я их не вставлял. Поэтому загрузиться в среду восстановления было невозможно. Я промокнул платком вспотевший лоб.

— Холмс, похоже, тут какая-то аппаратная неисправность — надо скопировать файлы и отнести в ремонт.
— Ватсон, скажу вам по секрету, это дело государственной важности, и у нас нет времени на починку. Нужно решить проблему сегодня! Сдаетесь?

Я развел руками.

Расследование

Холмс, будто испытывая мое терпение, не спеша раскуривал трубку. Наконец, он вошел в учетную запись и запустил командую строку от имени администратора, а потом повторил эти действия на своем ноутбуке и поставил два компьютера рядом.

Почему заблокирована кнопка Да в окне UAC

— Доктор, что вы видите?
— То же что и вы. На одном компьютере кнопка «Да» заблокирована, а на другом – нет.
— А еще?

Я присмотрелся внимательнее. У картинок было несколько отличий, а главное — на первом ПК предлагалось ввести пароль администратора, но соответствующее поле отсутствовало.

— Холмс, вы хотите сказать, что это какой-то жестокий баг Windows?
— Вовсе нет, this behavior is by design, как говорят в Microsoft.
— ???

Детектив открыл командую строку ввел команду whoami /groups и прокрутил ее вывод к результатам:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
C:\Users\Smith>whoami /groups
Сведения о группах
-----------------
Группа                                                    Тип                     SID                                                                                                        Атрибуты                                          
========================================================= ======================= ========================================================================================================== =============================================================
Обязательная метка\Средний обязательный уровень           Метка                   S-1-16-8192                                                                                                                                                  
Все                                                       Хорошо известная группа S-1-1-0                                                                                                    Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пользователи                                      Псевдоним               S-1-5-32-545                                                                                               Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ                                Хорошо известная группа S-1-5-4                                                                                                    Обязательная группа, Включены по умолчанию, Включенная группа
КОНСОЛЬНЫЙ ВХОД                                           Хорошо известная группа S-1-2-1                                                                                                    Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку                           Хорошо известная группа S-1-5-11                                                                                                   Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация                           Хорошо известная группа S-1-5-15                                                                                                   Обязательная группа, Включены по умолчанию, Включенная группа
MicrosoftAccount\john.smith7482@outlook.com               Пользователь            S-1-11-96-3623454863-58364-18864-2661722203-1597581903-198584387-2165155540-19024372-4157893646-2279364479 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Локальная учетная запись                     Хорошо известная группа S-1-5-113                                                                                                  Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ                                                 Хорошо известная группа S-1-2-0                                                                                                    Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Проверка подлинности учетной записи в облаке Хорошо известная группа S-1-5-64-36                                                                                                Обязательная группа, Включены по умолчанию, Включенная группа

В голосе моего друга зазвучали менторские нотки.

— Смотрите, доктор, команда выводит принадлежность текущей учетной записи к группам. Аккаунт Smith входит в различные системные группы, но нас интересует исключительно «Администраторы».
— Я вижу только, что он член группы «Пользователи».
— Да, учетную запись каким-то образом удалили из администраторов, и она стала обычной. Поэтому в окне UAC и предлагается ввести пароль администратора.

Я сообразил, что по той же причине нет ссылки на параметры UAC – ведь обычному пользователю они все равно недоступны. Определив права текущего пользователя, мой друг ввел еще одну команду, net user, отобразившую список учетных записей в системе.

1
2
3
4
5
6
7
8
C:\Users\Smith>net user
Учетные записи пользователей для \\DESKTOP-9CPJ2I1
-------------------------------------------------------------------------------
DefaultAccount           Smith                    Администратор
Гость
Команда выполнена успешно.

Честно говоря, ничего интересного я тут не увидел. DefaultAccount – это системная учетная запись, на основе которой создаются все новые аккаунты. Гость не обладает нужными правами, да и вообще считается устаревшим в Windows 10.

Встроенная учетная запись администратора неактивна, а включить ее без полных прав не получится.

Детектив внимательно выслушал мои соображения, кивая головой в знак согласия. Но он не спешил раскрывать карты, будто ожидая от меня продолжения дедуктивной цепочки.

— Холмс, уж не знаете ли вы какого-то хитрого способа включить встроенного администратора в такой ситуации?
— Это элементарно, Ватсон! Windows сама включит его!

Решение

Детектив выдержал паузу, явно наслаждаясь недоумением на моем лице, выпустил клуб дыма и авторитетно сообщил:

«Когда в системе нет ни одной активной учетной записи с правами администратора, встроенный администратор автоматически включается при входе в безопасный режим!»

Холмс пояснил, что Windows так работает давным-давно, а в базе знаний даже есть статья времен Windows Server 2003. Он предложил мне убедиться в этом самостоятельно, подсказывая по шагам:

  1. Откройте Пуск → Параметры → Обновление и безопасность → Восстановление → Особые варианты загрузки → Перезагрузить сейчас, чтобы увидеть опции среды восстановления.

    Почему заблокирована кнопка Да в окне UAC
    Увеличить рисунок

  2. Последовательно нажмите Поиск и устранение неисправностей → Дополнительные параметры → Параметры загрузки → Перезагрузить → 4, чтобы войти в безопасный режим встроенным администратором.
  3. В безопасном режиме нажмите Win + X или правую кнопку мыши на кнопке Пуск и выберитеКомандная строка.
  4. Введите команду, добавляющую в группу Администраторы или Administrators (в английской ОС) вашу учетную запись, в данном случае Smith:
    1
    net localgroup Администраторы "Smith" /add
  5. Перезагрузитесь в обычный режим и войдите в свою учетную запись.

И это, правда, сработало!

Тонкости

Решение оказалось на удивление простым и быстрым, но у меня оставались вопросы.

Почему некуда вводить учетные данные

Я вернул детектива к началу его рассказа.

— Холмс, вы ведь так и не объяснили, почему нормальной является ситуация, когда в окне контроля учетных записей предлагается ввести пароль администратора… в никуда?
— Это элементарно, Ватсон! У нашей учетной записи обычные права, а для их повышения нужно ввести учетные данные администратора. Вот как это выглядит, обычно:

Почему заблокирована кнопка Да в окне UAC

Детектив что-то быстро поискал в изображениях своего ноутбука и продолжил рассказ, жонглируя картинками: «Более того, в этом окне UAC отображаются все способы аутентификации, доступные для активныхадминистраторов. Если включен ПИН-код, его можно ввести вместо пароля. Если есть сканер отпечатков пальцев или смарт-карта, предлагается войти с их помощью

— Вы сделали акцент на активных…
— Именно так. В нашем случае Windows знает, что в системе нет ни одного активного администратора, поэтому ей некого вам предложить для ввода учетных данных!

Это объяснило нестыковку в окне UAC, но меня мучил еще один вопрос.

Как люди оказываются в такой ситуации

Я понимал, что проблему можно воспроизвести, удалив единственную учетную запись с полными правами из группы администраторов. Но я хотел понять, как такое может произойти на практике.

Холмс пожал плечами: «Это и для меня остается загадкой. В профессиональном издании Windows есть графический интерфейс — оснастка lusrmgr.msc. Но в домашних изданиях без командной строки никак не обойтись.»

— Вы думаете, что люди сами стреляют себе в ногу?
— Неопытные – вполне возможно. И не сбрасывайте со счетов кривые твикеры и вредоносные программы — с полными правами можно что угодно натворить. Хорошо хоть Windows не позволяет удалить встроенного администратора!

Почему заблокирована кнопка Да в окне UAC

Я поинтересовался у Холмса, не нашел ли он еще чего-нибудь интересного, расследуя дело.

Что происходит со встроенным администратором при обновлении до Windows 10

Детектив рассказал, что он стал время от времени видеть пострадавших с Windows 10. Знакомый инспектор Скотланд-Ярда предположил, что к проблеме приводит обновление старой ОС до новой из-под встроенной учетной записи администратора. Вероятность была невелика, поскольку это относительно распространенный сценарий, и жертв должно было быть намного больше.

Ради интереса, Холмс решил проверить, что происходит, когда при обновлении встроенный администратор является единственной учетной записью с полными правами (созданный при установке системы аккаунт удален).

Никаких проблем в итоге не возникло, но обнаружилась любопытная тонкость.

— Ватсон, вы ведь знаете, что в современных ОС Windows магазинные приложения не запускаются в учетной записи Администратор. Так Microsoft отучает людей от постоянной работы с неограниченными правами.
Почему заблокирована кнопка Да в окне UAC

— Думаю, все «суперадмины» Windows 8+ об этом знают, Холмс.
— Но не владельцы Windows 7! Обновившись под встроенным администратором, они не смогли бы пользоваться Магазином и другими современными приложениями. Эту задачу решили одной из групповых политик UAC.

Как выяснилось, когда полными правами обладает только встроенный администратор, после обновления до Windows 10 включается политика «Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора». Это превращает единственный аккаунт Администратор в самую обычную административную запись с запросами UAC.

Если же обновлять из-под встроенного администратора при наличии других учетных записей с полными правами, то Администратор отключается и не отображается на экране приветствия. Войти предлагается в любой другой активный аккаунт, после чего можно включить Администратора или перенести его файлы в свою учетную запись.

Эпилог

— И все-таки, Холмс, не считаете ли вы, что Windows должна препятствовать удалению последнего активного администратора из группы?
— Согласен, но если за 15 лет этого не сделали, вряд ли стоить рассчитывать на изменения.
— Хорошо, но хотя бы окно UAC в этом случае можно было бы улучшить – например, добавить ссылку на справку. Откуда людям знать, что нужно войти в безопасный режим?

Холмс усмехнулся: «Мой дорогой Ватсон, безопасный режим – это всегда первый шаг при диагностике любых непонятных проблем. Видимо, расчет на то, что пользователи зайдут туда от безысходности.» Детектив отправил ноутбук в сон, бережно достал из футляра скрипку и провел смычком по струнам.

Метки: ,


Оставить отзыв