如何在Win11家庭版中创建Guest账号？

一、Windows 11家庭版为何没有Guest账户？

在Windows 11家庭版中，微软出于简化用户管理和提升安全性考虑，移除了传统的Guest账户启用选项。与专业版不同，家庭版系统默认不提供“本地用户和组”管理工具（即 lusrmgr.msc），这使得无法通过图形界面直接创建或启用Guest账户。

尽管如此，某些使用场景仍然需要一个临时访问的无密码账户，例如访客使用电脑查看文档、浏览网页等。因此，我们需要探索替代方法来实现类似功能。

二、如何通过命令提示符创建无密码Guest账户？

我们可以使用管理员权限的命令提示符（CMD）手动创建一个无密码、受限权限的本地账户，并将其设置为Guest角色。

1. 以管理员身份打开命令提示符。
2. 输入以下命令创建新用户：

net user GuestUser /add

1. 设置该用户为空密码：

net user GuestUser ""

1. 将该用户加入“Users”组，限制其权限：

net localgroup Users GuestUser /add

1. 可选：禁用该用户的远程登录能力：

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v GuestUser /t REG_DWORD /d 0 /f

三、通过注册表编辑器启用隐藏的Guest账户

Windows系统内部其实仍保留了Guest账户的存在，只是被默认隐藏且禁用。我们可以通过修改注册表来启用它。

1. 按下 <kbd>Win + R</kbd> 打开运行窗口，输入 regedit 并回车。
2. 定位路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
3. 右键空白处 → 新建 → DWORD (32位) 值，命名为 Guest，数值设为 1。
4. 重启系统后，Guest账户将在登录界面显示。
5. 首次启用后，还需通过命令提示符激活账户：

net user Guest /active:yes

四、限制Guest账户权限的策略

为了确保Guest账户的安全性，应对其权限进行严格限制。以下是常见的限制措施：

• 禁止访问系统设置： 通过本地组策略编辑器（适用于专业版）或注册表限制控制面板访问。
• 限制文件系统访问： 修改文件夹权限，仅允许特定目录的读取权限。
• 禁用软件安装权限： 将Guest账户加入标准用户组，而非管理员组。
• 禁用网络访问： 在防火墙规则中限制Guest账户的出站连接。

以下是一个示例表格，展示了不同权限配置建议：

五、验证Guest账户的功能与安全性

完成创建后，需对Guest账户进行功能测试与安全评估：

1. 切换到Guest账户，尝试打开浏览器、查看文档、播放视频等基本操作。
2. 尝试访问系统设置、注册表编辑器等高权限区域，确认是否被拒绝。
3. 检查任务管理器中的进程列表，确认Guest账户无法查看其他用户进程。
4. 使用第三方工具如 AccessChk 或 Process Explorer 检查Guest账户的访问权限。

此外，还可以编写脚本自动检测Guest账户的权限状态：

@echo off
whoami /groups | findstr "S-1-5-32-546"
if %errorlevel% == 0 (
    echo 当前账户属于Guest组
) else (
    echo 当前账户不属于Guest组
)

六、进阶技巧：使用批处理脚本自动化创建Guest账户

对于IT运维人员而言，可以编写批处理脚本一键创建并配置Guest账户，提高效率。

@echo off
setlocal

set "username=GuestUser"

:: 创建账户
net user %username% /add >nul 2>&1
if %errorlevel% neq 0 (
    echo 账户可能已存在，跳过创建步骤。
)

:: 设置空密码
net user %username% "" >nul 2>&1

:: 加入Users组
net localgroup Users %username% /add >nul 2>&1

:: 禁止远程登录
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v %username% /t REG_DWORD /d 0 /f >nul 2>&1

echo Guest账户已配置完成。
endlocal

此脚本可集成到部署流程中，作为系统初始化的一部分。