Замена рабочего компьютера для активного пользователя похожа на переезд из обжитой квартиры. Вроде бы вещи те же, но на новом месте ничего не лежит привычно, и неделю спотыкаешься о мелочи. Один из самых неприятных таких сюрпризов поджидает там, где его меньше всего ждут, в сетевых подключениях. У человека, годами работавшего с десятком сетевых папок, общих ресурсов и удалённых столов, в системе тихо накопился ворох сохранённых паролей. На новой машине этого вороха нет, и первый рабочий день превращается в бесконечную череду окон с запросом учётных данных.
Решение лежит на поверхности, но о нём почему-то редко вспоминают. Windows умеет упаковать весь набор сохранённых сетевых учётных данных в один защищённый файл, который потом разворачивается на новой машине целиком. Вместо того чтобы вручную вспоминать и заново вводить пароли к каждому ресурсу, администратор делает одну выгрузку на старом компьютере и одно восстановление на новом. Пятнадцать минут работы экономят пользователю неделю мелких раздражений и десяток обращений в поддержку.
Что именно сохраняется в резервную копию, а что остаётся за бортом
Прежде чем браться за дело, важно понимать границы инструмента, иначе легко поверить, что скопировал всё, а на новом месте обнаружить пропажу. Резервное копирование диспетчера учётных данных охватывает то, что система называет учётными данными Windows. Это пароли для доступа к сетевым ресурсам, общим папкам, подключённым дискам и удалённым рабочим столам, то есть ровно тот пласт, который чаще всего и хочется перенести без потерь.
А вот что в эту копию не попадает, знать не менее важно. Пароли, которые хранит веб-браузер, в резервную копию диспетчера не входят, потому что живут в собственном хранилище браузера и переносятся отдельно, через синхронизацию профиля. Точно так же за бортом остаются учётные данные для интернета, относящиеся к другой категории хранилища. Если рассчитывать, что одна выгрузка перетащит вообще все пароли со всех слоёв, на новой машине ждёт разочарование. Инструмент закрывает именно сетевой пласт, и в этом его сила, а не недостаток.
Понимание этой границы помогает выстроить полную картину переезда. Сетевые подключения уходят в резервную копию диспетчера, пароли сайтов переезжают через синхронизацию браузера, а специфические настройки приложений переносятся своими средствами. Сложив эти три потока, получаешь по-настоящему бесшовный переезд, при котором пользователь садится за новую машину и не замечает разницы. Попытка же закрыть всё одним инструментом неизбежно оставит дыры.
Любопытно, что многие администраторы узнают о границах копии слишком поздно, уже на новой машине, когда пользователь спрашивает, куда делись пароли от сайтов. Объяснение, что эти пароли никогда и не были в копии, в тот момент звучит как оправдание. Поэтому ожидания лучше проговаривать заранее: сказать пользователю, что сетевые подключения переедут сами, а пароли сайтов он восстановит через вход в свой браузерный профиль. Честная картинка на старте избавляет от недоумённых вопросов в конце.
Создание резервной копии через диспетчер учётных данных
Сам процесс выгрузки построен на простой последовательности и намеренно обставлен защитой, чтобы файл с паролями не утёк к посторонним. Классический диалог управления сохранёнными паролями, где доступны резервное копирование и восстановление, вызывается прямой командой:
rundll32.exe keymgr.dll,KRShowKeyMgrОткрывается диспетчер учётных данных и через поиск в системе или панель управления. В разделе учётных данных Windows есть пункт резервного копирования, который и запускает мастер. Дальше система просит указать место для файла, и здесь стоит сразу выбирать съёмный носитель или защищённую сетевую папку, а не рабочий стол, ведь речь о связке всех сетевых паролей пользователя.
Дальше начинается самое интересное с точки зрения безопасности. Чтобы продолжить, мастер требует нажать сочетание клавиш на защищённом рабочем столе, том самом экране, что появляется при входе в систему. Это не каприз, а серьёзная защита: ввод на защищённом рабочем столе невозможно перехватить обычной программой, поэтому пароль, которым шифруется резервная копия, задаётся в безопасной среде. После подтверждения мастер просит придумать пароль для самого файла копии, и этот пароль становится единственным ключом к содержимому.
В итоге на диске появляется файл с расширением crd, внутри которого зашифрованы все сетевые учётные данные пользователя. Без пароля, заданного при создании, этот файл бесполезен для злоумышленника, что превращает его в безопасный контейнер для переноса. Пароль к копии стоит запомнить или сохранить отдельно от самого файла, потому что без него восстановление невозможно, а механизма сброса тут нет по соображениям безопасности. Потеряв пароль, придётся собирать сетевые подключения заново вручную.
Восстановление учётных данных на целевой машине
Обратная операция выглядит зеркально и проходит ещё быстрее. На новом компьютере открывается тот же диспетчер учётных данных, выбирается пункт восстановления, указывается путь к файлу crd. Система снова уводит на защищённый рабочий стол для безопасного ввода, запрашивает пароль, которым копия была зашифрована, и после его подтверждения разворачивает весь набор записей.
Главная прелесть в том, что восстановление срабатывает немедленно и не требует перезагрузки. Учётные данные оказываются на месте сразу, и при первом же обращении к сетевому ресурсу система находит нужный пароль в развёрнутом хранилище и подключается без единого вопроса. Пользователь садится за новую машину, открывает привычную сетевую папку и даже не замечает, что компьютер сменился, настолько прозрачно проходит перенос.
Стоит держать в уме одну тонкость совместимости. Поскольку учётные данные шифруются с привязкой к среде, перенос между сильно различающимися версиями системы изредка преподносит сюрпризы. На практике в пределах современных выпусков Windows перенос проходит гладко, но если машины разделяет пропасть в несколько поколений системы, разумно сначала проверить восстановление на одном тестовом компьютере, прежде чем разворачивать копию массово. Эта маленькая предосторожность спасает от ситуации, когда выгрузка сделана, старая машина уже отдана, а копия на новой почему-то не разворачивается.
Полезно сразу после восстановления свериться, что всё встало на место. Открыв диспетчер учётных данных на новой машине, видишь полный список развёрнутых записей и можешь глазами подтвердить, что ключевые подключения присутствуют. Тот же список целей удобно собрать и из командной строки через PowerShell, чтобы сверить состав до и после переноса:
cmdkey /list | Select-String "Target:" | ForEach-Object { ($_ -split "Target: ")[1] }Эта минутная проверка избавляет от неприятного открытия посреди рабочего дня, когда выясняется, что какой-то редкий, но важный ресурс в копию не попал. Лучше обнаружить пробел сразу, пока старая машина ещё доступна и пароль можно подсмотреть, чем спустя неделю, когда восстановить его уже неоткуда.
Сценарии, в которых резервная копия выручает не только при переезде
Перенос на новый компьютер это очевидный, но далеко не единственный повод держать резервную копию учётных данных под рукой. Есть ситуации потоньше, где этот файл превращается в настоящую страховку. Переустановка системы начисто, например, стирает все сохранённые пароли вместе со старым профилем. Сделав выгрузку заранее, администратор после чистой установки разворачивает копию и возвращает пользователю весь набор сетевых подключений за минуту, вместо того чтобы поднимать их по одному в течение дня.
Полезна копия и как защита от собственных смелых экспериментов. Перед массовой чисткой сохранённых паролей, той самой, что разом сносит устаревшие записи через пакетный цикл, разумно сначала снять резервную копию. Если под раздачу случайно попадёт нужное подключение, его всегда можно вернуть из копии, не выпытывая у пользователя забытый пароль к какому-нибудь редкому ресурсу. Этот приём превращает рискованную операцию в безопасную, потому что любой промах теперь обратим.
Наконец, регулярная резервная копия учётных данных вписывается в общую культуру бэкапа на машинах ключевых сотрудников. У человека, чья работа завязана на доступ к множеству ресурсов, потеря набора паролей из-за сбоя профиля оборачивается простоем. Свежая копия, лежащая на защищённом носителе, превращает потенциальную катастрофу в мелкую заминку. По сути это та же страховка, что и бэкап документов, только применительно к ключам от рабочих дверей.
Командные средства и автоматизация процесса
Графический мастер хорош, когда речь об одной машине, но при работе с парком техники хочется автоматизации. Для разворачивания записей на множестве компьютеров на помощь приходит уже знакомая утилита cmdkey, через которую учётные данные создаются скриптом. Скажем, пакетное создание нескольких подключений сразу выглядит так:
cmdkey /add:fileserver1 /user:DOMAIN\user /pass:secret1
cmdkey /add:fileserver2 /user:DOMAIN\user /pass:secret2
cmdkey /generic:termsrv/rdp-host /user:DOMAIN\user /pass:secret3А проверить, что всё развернулось, можно подсчётом записей в выводе списка через PowerShell:
(cmdkey /list | Select-String "Target:").CountЕсли известно, какие именно подключения нужны пользователям, проще не выгружать и разворачивать копию, а сразу прописать нужные записи командой при настройке машины:
cmdkey /add:fileserver /user:DOMAIN\user /pass:secretТакой подход особенно удобен при первичной подготовке однотипных рабочих мест, когда набор сетевых ресурсов у всех одинаковый. Вместо ручной выгрузки и восстановления на каждой машине администратор один раз пишет скрипт со всеми нужными подключениями и прогоняет его на новых компьютерах через средства удалённого управления или групповые политики.
Для просмотра текущего состояния перед бэкапом или после восстановления всегда выручает простой вывод списка, по которому видно, какие записи уже на месте:
cmdkey /listСочетание двух подходов даёт администратору полную свободу. Там, где набор подключений индивидуален и сложен, работает резервная копия через мастер, переносящая всё как есть. Там, где машины однотипны, быстрее оказывается скриптовое создание записей. А вывод списка служит универсальной проверкой, подтверждающей, что после любой из операций хранилище пришло в нужное состояние.
Безопасность хранения файла копии и типичные ошибки
Удобство переноса всех паролей в одном файле имеет оборотную сторону, о которой нельзя забывать. Этот компактный файл crd по сути представляет собой связку ключей от всех сетевых дверей пользователя. Да, он зашифрован, и без пароля бесполезен, но беспечное обращение с ним всё равно создаёт риски. Файл, забытый на общедоступном сетевом диске или отправленный обычной почтой вместе с паролем в том же письме, перечёркивает всю заложенную в механизм защиту.
Разумный подход строится на нескольких простых правилах. Файл копии и пароль к нему никогда не должны путешествовать вместе: файл идёт одним каналом, пароль передаётся другим, например устно или через отдельный защищённый канал. Сам файл после успешного восстановления на новой машине стоит надёжно удалить, а не оставлять валяться в загрузках, ведь его задача выполнена. А если копия хранится как долговременная страховка, ей место на зашифрованном носителе под замком, а не в общей папке отдела.
Отдельная распространённая оплошность связана с паролем к копии. Поскольку механизма восстановления этого пароля не предусмотрено, люди порой задают простой пароль, чтобы не забыть, и тем самым ослабляют защиту до бессмысленности. Правильнее задать стойкий пароль и записать его в менеджер паролей или иное защищённое место, отделённое от самого файла. Тогда копия остаётся и удобной, и по-настоящему безопасной, а не превращается в лёгкую добычу для любого, кто наткнётся на файл.
Перенос сохранённых паролей кажется мелочью ровно до того момента, пока не столкнёшься с пользователем, у которого на старой машине молча жили десятки сетевых подключений, а на новой не осталось ни одного. Тогда выясняется, что эта мелочь стоит человеку нервов, а поддержке потока обращений. Несколько минут, потраченных на резервную копию диспетчера учётных данных, разом снимают всю эту головную боль и превращают пугающий переезд в спокойную рутинную процедуру, после которой пользователь даже не вспоминает, что компьютер под ним сменился.
Канал сайта в Telegram
Канал сайта на YouTube