L'account amministratore nascosto in Windows 11 è uno di quei "segreti" di sistema che molti ignorano, ma può tirarti fuori da più di un guaio. Non è l'account amministratore che usi normalmente, ma un profilo interno, nascosto per impostazione predefinita, con permessi massimi per apportare modifiche all'apparecchiatura...anche quelli più delicati. È proprio per questo che Microsoft lo tiene disattivato: se usato in modo improprio, può mandare il sistema in tilt.
Se stai assemblando un computer, devi riparare un sistema Windows che ha perso i privilegi di amministratore o semplicemente vuoi avere a portata di mano un account "di emergenza", è utile sapere come abilitarlo, proteggerlo e disabilitarlo. In questa guida, vedremo, passo dopo passo e utilizzando diversi metodi, come... Come abilitare, utilizzare e disabilitare l'account amministratore nascosto in Windows 11, quali rischi comporta e cosa puoi fare se non hai più alcun account con privilegi di amministratore.
Cos'è l'account amministratore predefinito in Windows 11?
In Windows 11 ci sono due tipi di account con privilegi elevati: gli account utente che appartengono al gruppo Administrators e gli account account amministratore integratoQuest'ultimo viene creato dal sistema stesso, è nascosto e disabilitato per motivi di sicurezza.
Mentre un account utente amministratore "normale" è soggetto al Controllo dell'account utente (UAC), l'account integrato funziona in modo diverso: Non visualizza i prompt UAC durante l'esecuzione di attività amministrativeQualsiasi programma eseguito in quella sessione, comprese potenziali minacce come malware, processi nascosti e rootkitVerrà eseguito con tutte le autorizzazioni necessarie senza chiederti nulla.
Per questo motivo, Microsoft consiglia di utilizzare l'account amministratore predefinito solo occasionalmente, ad esempio per diagnosticare problemi, preparare l'attrezzatura prima della consegna o eseguire attività di audite che venga nuovamente disattivato una volta completato l'intervento. Non è destinato all'uso come account di lavoro giornaliero.
A cosa serve l'account amministratore predefinito?
Gli scenari più comuni in cui ha senso attivare questo account sono piuttosto specifici e si discostano dal normale utilizzo domestico. Esempi tipici includono situazioni come la fabbricazione o la preparazione di attrezzature, la risoluzione di incidenti gravi o l'amministrazione avanzata dei sistemi Windows.
I produttori di apparecchiature originali (OEM), i servizi tecnici e gli amministratori di sistema spesso utilizzano l'account integrato quando lo desiderano eseguire script, installa app o eseguire test Questa operazione viene eseguita prima che l'utente finale crei il proprio account durante l'esperienza iniziale out-of-the-box (OOBE). Viene spesso utilizzata anche negli ambienti di auditing, dove è necessario accedere e uscire dal sistema più volte con privilegi elevati senza dover passare attraverso la procedura guidata di benvenuto.
Inoltre, questo account serve come ultima risorsa se il sistema ha problemi di autorizzazione: ad esempio, sui computer in cui L'unico account rimasto ha perso i privilegi di amministratore Non ci sono conflitti di accesso. Tuttavia, se non rimangono account con diritti amministrativi e l'account integrato è ancora disabilitato, le opzioni si riducono drasticamente e, come vedremo più avanti, di solito è necessaria una reinstallazione.
Metodo avanzato: abilitare l'account integrato con un file di risposta non presidiato
Negli ambienti professionali, uno dei modi più efficaci per lavorare con l'account amministratore integrato è utilizzare un file di risposta all'installazione automatica (unattend.xml)Questo approccio è pensato per chi distribuisce numerose macchine e desidera automatizzare il processo di configurazione, inclusa l'attivazione dell'account integrato.
Per creare questo file, viene utilizzato lo strumento Windows System Image Manager (Windows SIM), incluso nel Kit di valutazione e distribuzione di Windows (ADK)Questa utility genera un file XML che definisce i parametri di installazione: account utente, password amministratore, accesso automatico, ecc.
Il trucco sta nella configurazione del componente. Installazione della shell di Microsoft Windows e, al suo interno, la sezione AutoLogon in modo che il sistema si avvii direttamente con l'account Amministratore durante le fasi di preparazione. Il nome utente è impostato come AdministratorViene selezionato l'attributo abilitato e viene indicato il numero di volte in cui la sessione verrà avviata automaticamente.
Nello stesso blocco XML viene aggiunta la sezione Account utente e, al suo interno, l'ingresso AdministratorPassworddove viene definita una password per l'account incorporato. Il valore della password è specificato nell'etichetta del file. <Value> e indica se il contenuto è in testo normale (<PlainText>true</PlainText>) o crittografia.
Una configurazione tipica del componente Shell-Setup includerebbe qualcosa del genere: utente Amministratore, password sicura ripetuta sia in AutoLogon e AdministratorPassword, l'opzione <Enabled>true</Enabled> e LogonCount che indica quante volte l'account verrà automaticamente connesso durante la configurazione del sistema.
Per garantire che, una volta completata l'esperienza iniziale out-of-the-box (OOBE), non sia necessario reinserire la password dell'account incorporata, il valore di Password amministratore Deve essere definito in fase di configurazione oobeSystemIn quel passaggio del file di risposta, il blocco <UserAccounts><AdministratorPassword>... È responsabile di mantenere nascosta la password definita per l'account.
Accedi all'account amministratore integrato dalla modalità di controllo
Windows ha una modalità di avvio speciale chiamata modalità di controlloQuesta modalità è specificamente progettata per la preparazione e il controllo dell'apparecchiatura prima della consegna all'utente finale. Se la macchina non ha ancora completato l'esperienza Out-Of-Box (OOBE), può essere avviata in questa modalità, consentendo l'accesso diretto all'account amministratore integrato.
Quando si utilizza la modalità di controllo, il sistema Accedi automaticamente con il tuo account integratoconsentendo di installare applicazioni, applicare script e utilizzare strumenti come PsList o modificare le impostazioni senza ancora creare account utente regolari. Questo è il contesto in cui ha più senso che l'account integrato sia attivo, poiché il dispositivo non è ancora nelle mani dell'utente finale.
Una volta completate le attività di configurazione, solitamente lo strumento viene eseguito. Sysprep con le giuste opzioni (ad esempio sysprep /generalizeQuesto serve a preparare il sistema e riportarlo a uno stato pronto per consentire al client di eseguire la configurazione guidata (OOBE) e creare il proprio account. Come vedremo in un'altra sezione, questo processo influisce anche sullo stato dell'account integrato.
Abilita e disabilita l'account integrato per utenti e gruppi locali (Server ed edizioni supportate)
In alcune edizioni di Windows (principalmente versioni server o Pro/Enterprise in determinati scenariÈ possibile gestire facilmente l'account amministratore integrato dalla console Utenti e Gruppi (MMC) locale. Questa opzione non è disponibile in tutte le versioni home, ma è una soluzione molto intuitiva quando disponibile.
Per accedervi, aprire la console MMC corrispondente (ad esempio, eseguendo lusrmgr.msc (dalla finestra Esegui) e selezionare Utenti e gruppi localiNel pannello di sinistra si accede alla cartella Utenti, dove compare l'account solitamente denominato "Amministratore".
Facendo clic con il tasto destro del mouse su quell'account e scegliendo l'opzione proprietàSi apre la finestra delle proprietà generali. Nella scheda Generale, è presente una casella denominata "L'account è disabilitato"(o "Account disabilitato"). Se la casella è selezionata, l'account non può essere utilizzato; è sufficiente deselezionarla per abilitarlo e renderlo nuovamente operativo.
Dopo aver applicato le modifiche e chiuso la console, il sistema ora ha il conto integrato attivatoDa quel momento in poi, è possibile assegnare una password, effettuare l'accesso con essa dalla schermata di benvenuto o utilizzarla in operazioni che richiedono autorizzazioni amministrative senza l'intervento dell'UAC.
Attivare l'account amministratore nascosto tramite il prompt dei comandi (cmd)
Probabilmente il metodo più rapido e conveniente per un utente avanzato è quello di abilitare l'account integrato utilizzando Prompt dei comandi con privilegi di amministratoreQuesta procedura funziona sia sui computer domestici che su quelli professionali, a patto che si disponga già di un account con diritti amministrativi attivi.
Per iniziare, premere il tasto Windows, digitare cmd Nel menu Start, quando viene visualizzato "Prompt dei comandi", selezionare "Esegui come amministratore". Il Controllo dell'account utente visualizzerà un avviso; accettare con "Sì" per aprire la console con privilegi elevati.
Con la finestra del prompt dei comandi aperta come amministratore, Viene eseguito il seguente comando Per abilitare l'account Windows 11 integrato:
Comando per abilitare: net user administrator /active:yes
Comando in spagnolo: net user administrador /active:yes
Dopo aver premuto Invio, la console dovrebbe visualizzare il messaggio tipico di “Il comando è stato completato con successo”Ciò significa che l'account integrato è ora attivo e dovrebbe apparire nella schermata di benvenuto come account aggiuntivo disponibile per l'accesso al prossimo accesso.
Imposta una password sicura per l'account integrato
Una volta attivato, il passo successivo e assolutamente essenziale è impostare una password complessa per l'account integratoLasciarlo senza password, soprattutto sui dispositivi che si connettono alle reti, rappresenta un rischio molto serio per la sicurezza.
Comando per cambiare la password: net user administrador *
Comando equivalente: net user administrator *
Il sistema ti chiederà di inserire la nuova password e di confermarla una seconda volta. Mentre digiti, non vedrai i caratteri sullo schermo.Questo è un normale comportamento di sicurezza. Dopo la conferma, il sistema visualizzerà nuovamente "Comando completato con successo" se tutto è andato a buon fine.
Esiste un'altra opzione che consente di attivare l'account e impostare una password direttamente in un unico passaggio. Questa alternativa è utile per l'automazione. Ad esempio:
Esempio rapido: net user administrador TuContraseñaSegura /active:yes
In questo caso viene sostituito La tua password sicura Puoi usare qualsiasi password tu voglia. È un metodo rapido, anche se meno consigliato in ambienti in cui i comandi possono essere registrati, poiché la password rimane visibile nella cronologia della console o negli script.
Controlla lo stato: net user administrador
Le informazioni visualizzate dovrebbero includere campi come “Account attivo Sì” y "Password richiesta Sì"Se uno di questi indica "No", è consigliabile verificarlo e correggerlo, poiché un account di questo tipo senza password è un vero e proprio setaccio.
Accedi a Windows 11 con l'account amministratore integrato
Dopo aver attivato l'account integrato e assegnato una password, ora puoi Accedi dalla schermata iniziale di Windows 11Normalmente, i diversi account disponibili appariranno in basso a sinistra (o a seconda del design della schermata di blocco), inclusa la voce "Amministratore".
Se non lo vedi, riavvia il computer. Il nuovo account dovrebbe quindi apparire tra le opzioni. Una volta visibile, selezionalo, inserisci la password che hai impostato e premi Invio.
La prima volta che accedi con questo account, Windows creerà il tuo profilo utente, il che potrebbe richiedere un po' più di tempo del solito. Da quel momento in poi, avrai un desktop completo e potrai eseguire modifiche di sistema senza che vengano visualizzati i prompt UACQuesta soluzione è molto comoda, ma può anche rivelarsi potenzialmente pericolosa se non si ha una buona conoscenza del software in uso.
Se si abilita l'account predefinito per aiutare un altro account utente che non dispone di autorizzazioni, si sfrutta quella sessione per creare un nuovo utente amministratore standard oppure correggere i permessi degli account esistenti. Una volta risolto il problema, si consiglia di disconnettersi e disattivare nuovamente l'account integrato per ridurre i rischi.
Abilitare l'account integrato dalle policy di sicurezza (secpol.msc)
Nelle edizioni Windows 11 Pro ed Enterprise, un altro modo per monitorare lo stato dell'account nascosto è tramite Direttive di sicurezza localiPer accedere, premere il tasto Windows, digitare secpol.msc e viene eseguito come amministratore.
All'interno della console, nel pannello di sinistra, è possibile navigare attraverso Criteri locali > Opzioni di sicurezzaIl pannello di destra mostra un elenco di policy relative alla sicurezza degli account e del sistema. Tra queste, la policy denominata "Account: Stato account amministratore".
Facendo doppio clic su tale criterio (o facendo clic con il pulsante destro del mouse > Proprietà) si apre una finestra in cui è possibile scegliere tra "Abilitato" o "Disabilitato". Se si seleziona e si applica l'opzione Abilitato, l'account amministratore predefinito diventa attivo. Se si seleziona Disabilitato, diventa inoperativo.
Questo metodo è particolarmente utile quando si desidera seguire un politica di sicurezza aziendale Chiaramente, l'attivazione dell'account integrato è controllata da policy piuttosto che da singoli comandi. Ciononostante, dovrebbe sempre essere accompagnata da una password complessa e da un piano per disattivarlo quando non è più necessario.
Controlla lo stato dell'account integrato dal Pannello di controllo
Sebbene i metodi sopra siano più diretti, puoi anche usare il classico Pannello di controllo per verificare l'esistenza e lo stato di base dell'account amministratore integrato, in particolare sui computer domestici.
Dal menu Start, apri il Pannello di controllo e accedi alla sezione per Account utenteSelezionando l'opzione "Cambia tipo di account", vengono elencati gli account locali disponibili sul computer. In tale elenco, se l'account predefinito è visibile, apparirà come "Amministratore" e, una volta impostata una password, contrassegnato con l'etichetta "Protetto da password".
Questo controllo è limitatoSi prega di notare che questa interfaccia non sempre visualizza l'account predefinito quando è disabilitato o nascosto con altre tecniche. Ciononostante, serve come semplice controllo per verificare se l'utente Amministratore predefinito è stato correttamente attivato e dispone della protezione di base.
Disabilitare l'account amministratore integrato e il comportamento nelle nuove installazioni e negli aggiornamenti
Microsoft consiglia che, una volta terminato l'uso occasionale dell'account integrato, è di nuovo disabilitatoCiò è particolarmente vero per i computer che verranno consegnati ai clienti o che faranno parte di una rete aziendale. Infatti, nelle nuove installazioni di Windows 11, quando l'utente finale crea il suo primo account durante la configurazione guidata, il sistema stesso di solito disattiva nuovamente l'account predefinito.
Durante le installazioni di aggiornamento (ad esempio, quando si esegue l'aggiornamento da una versione precedente di Windows), il comportamento potrebbe variare. In genere, l'account amministratore predefinito rimane abilitato solo se Non c'è nessun altro amministratore locale attivo. e il computer non è associato a un dominio. Ciò consente di mantenere attiva una "rete di sicurezza", impedendo che il sistema rimanga senza amministratori.
Se si desidera disattivarlo manualmente dopo averlo utilizzato, sono disponibili diverse opzioni. Puoi usare di nuovo il comando net user.Ma questa volta indicando che dovrebbe essere disattivato:
Disattivare con: net user administrador /active:no
Disattivare (inglese): net user administrator /active:no
Anche in questo caso, se l'operazione termina con il messaggio "Il comando è stato completato con successo", l'account verrà nuovamente disattivato. Questa è una pratica molto comune in produttori e assemblatori di apparecchiatureAttivano l'account durante la fase di preparazione, lo usano per installare il software e, appena prima di consegnare il PC al cliente, eseguono questo comando per disattivarlo.
Utilizzo di Sysprep e reimpostazione della password dell'account integrato
Lo strumento Sysprep È fondamentale negli ambienti di distribuzione Windows. Quando lo si esegue con il modificatore /generalizePrepara il sistema per essere clonato o consegnato a un utente finale, eliminando molte informazioni specifiche dall'apparecchiatura o dall'utente.
Tra le azioni che esegue, Sysprep Reimposta la password per l'account amministratore predefinitoNelle edizioni Windows Server, questo strumento può persino eliminare la password dell'account predefinita, in modo che al successivo avvio il programma di installazione chieda di impostare una nuova password per quell'account.
Tuttavia, nelle edizioni client (le tipiche versioni desktop), il comportamento non è esattamente lo stesso e la password dell'account predefinita non viene sempre cancellata allo stesso modo. Ciononostante, è importante tenerlo presente se si lavora con immagini personalizzate. Dopo un Sysprep /generalize, è consigliabile controllare lo stato dell'account integrato. e assicurati che non rimanga attivo senza password.
Creare un account amministratore "nascosto" per UAC e l'escalation dei privilegi
Oltre al conto integrato, alcune persone vogliono avere un account amministratore locale che non appare nella schermata di accessoTuttavia, dovrebbe comunque essere utilizzabile per l'inserimento delle credenziali nei prompt UAC quando sono richiesti permessi elevati. L'idea è quella di avere un account "di servizio" utilizzato solo per approvare le operazioni di sistema, senza essere visibile per il normale accesso.
Alcuni utenti cercano di ottenere questo risultato creando una voce di registro in HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserListSe aggiungi il nome dell'account e gli assegni il valore appropriato, l'account potrebbe non apparire più nella schermata di benvenuto. Tuttavia, questo trucco ha un importante effetto collaterale: Anche quell'account non verrà più visualizzato come opzione nei prompt UAC.Pertanto, la tua password non può essere utilizzata per l'escalation dei privilegi.
Un'altra possibilità che alcuni provano è aprire l'editor dei criteri di sicurezza locale (secpol.msc) e negare all'account il diritto di accedere localmenteIl problema con questo approccio è simile: se all'utente viene impedito di effettuare l'accesso in modo interattivo, anche il tentativo di utilizzare questo account nella casella UAC comporterà un rifiuto e, pertanto, cesserà di essere utile per lo scopo previsto.
In pratica, Windows non offre un modo pulito e supportato per avere un account che sia completamente nascosto nella schermata di accesso e che, allo stesso tempo, può essere utilizzato senza limitazioni sulle carte di elevazione UACSe hai bisogno di un "account di servizio" per attività amministrative, è meglio creare un utente amministratore normale, proteggerlo con una password complessa e semplicemente non utilizzarlo per il lavoro quotidiano.
Cosa fare se non si dispone più di alcun account amministratore in Windows 11?
Uno degli scenari più delicati è quando il sistema viene lasciato con Solo account standard, senza privilegi di amministratoreCiò può accadere, ad esempio, se la creazione di più account configura in modo errato l'account principale oppure se l'unico account con diritti elevati viene disabilitato per errore.
In questa situazione, la persona che utilizza il computer scopre che, quando si tenta di installare un programma o di apportare modifiche importanti, Windows visualizza il tipico prompt UAC che richiede le credenziali di amministratore, ma Non c'è una casella di testo in cui posso inserire il mio nome utente e la mia password.In parole povere, l'unica opzione disponibile è premere "No", e non è consentito continuare.
Non c'è molto che puoi fare dall'app Impostazioni > Account, perché l'account corrente non ha l'autorizzazione per cambiare il tipo di altri account né per creare nuovi amministratori. Comandi come net user Oppure utilità simili non funzioneranno, perché richiedono privilegi di amministratore che non sono più disponibili.
Per quanto possa essere allettante affidarsi a certe “soluzioni magiche” trovate su internet, la verità è che, a questo punto, il sistema è in una sorta di vicolo ciecoSenza almeno un account con autorizzazioni elevate, non è possibile attivare l'account integrato tramite comandi, modificare i criteri o intervenire effettivamente sul registro.
La raccomandazione più onesta in questo caso è quella di eseguire il backup dei file personali (documenti, foto, ecc.) e preparare un installazione pulita di Windows 11Per fare ciò, è necessario scaricare lo strumento di creazione multimediale dal sito Web di Microsoft, creare un'unità USB avviabile (minimo 8 GB) e quindi avviare il computer da tale unità USB per reinstallare il sistema.
Durante un'installazione pulita, Windows creerà un nuovo account amministratore iniziale, dal quale sarà possibile ripristinare i file di backup e riconfigurare il computer. È una soluzione drastica, ma quando non ci sono amministratori attivi e l'account predefinito è disabilitato, Non esiste un modo supportato e affidabile per riprendere il controllo senza reinstallare..
Padroneggia l'account amministratore integrato e i vari modi per abilitarlo o disabilitarlo, sia tramite file di risposta, modalità di controllo, comandi net userconsole come lusrmgr.msc o criteri di sicurezza, ti dà un controllo molto preciso su Windows 11 e su come preparare o ripristinare i sistemi; la chiave è usarlo solo come uno strumento di emergenza specifico, sempre protetto da una password e disattivandolo non appena hai finito, evitando di renderlo il tuo account quotidiano per non esporre il tuo computer a rischi inutili. Condividi queste informazioni affinché più persone possano approfondire l'argomento.