Teilen über


Richtlinien-CSP – WindowsLogon

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

AllowAutomaticRestartSignOn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn

Diese Richtlinieneinstellung steuert, ob sich ein Gerät nach dem Neustart des Systems oder nach dem Herunterfahren und Kaltstart automatisch anmeldet und den letzten interaktiven Benutzer sperrt.

Dies geschieht nur, wenn sich der letzte interaktive Benutzer vor dem Neustart oder Herunterfahren nicht abgemeldet hat.

Wenn das Gerät mit Active Directory oder Microsoft Entra ID verknüpft ist, gilt diese Richtlinie nur für Windows Update Neustarts. Andernfalls gilt dies sowohl für Windows Update Neustarts als auch für vom Benutzer initiierte Neustarts und Herunterfahren.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist sie standardmäßig aktiviert. Wenn die Richtlinie aktiviert ist, wird der Benutzer automatisch angemeldet, und die Sitzung wird automatisch mit allen Für diesen Benutzer konfigurierten Sperrbildschirm-Apps gesperrt, nachdem das Gerät gestartet wurde.

Nach dem Aktivieren dieser Richtlinie können Sie ihre Einstellungen über die ConfigAutomaticRestartSignOn-Richtlinie konfigurieren, die den Modus der automatischen Anmeldung und Sperrung des letzten interaktiven Benutzers nach einem Neustart oder Kaltstart konfiguriert.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, konfiguriert das Gerät die automatische Anmeldung nicht. Die Sperrbildschirm-Apps des Benutzers werden nach dem Neustart des Systems nicht neu gestartet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AutomaticRestartSignOn
Anzeigename Melden Sie sich an, und sperren Sie den letzten interaktiven Benutzer automatisch nach einem Neustart.
Location Computerkonfiguration
Pfad Windows-Komponenten > Windows-Anmeldeoptionen
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System
Name des Registrierungswertes DisableAutomaticRestartSignOn
ADMX-Dateiname WinLogon.admx

ConfigAutomaticRestartSignOn

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/ConfigAutomaticRestartSignOn

Diese Richtlinieneinstellung steuert die Konfiguration, unter der ein automatischer Neustart und eine automatische Anmeldung und Sperre nach einem Neustart oder Kaltstart erfolgt. Wenn Sie in der Richtlinie "Letzter interaktiver Benutzer automatisch anmelden und nach einem Neustart automatisch sperren" die Option "Deaktiviert" ausgewählt haben, erfolgt keine automatische Anmeldung, und diese Richtlinie muss nicht konfiguriert werden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie eine der beiden folgenden Optionen auswählen:
  1. "Aktiviert, wenn BitLocker aktiviert und nicht angehalten ist" gibt an, dass die automatische Anmeldung und Sperre nur erfolgen, wenn BitLocker aktiv und nicht während des Neustarts oder Herunterfahrens angehalten wird. Auf personenbezogene Daten kann zu diesem Zeitpunkt auf der Festplatte des Geräts zugegriffen werden, wenn BitLocker während eines Updates nicht aktiviert oder angehalten ist. Das Anhalten von BitLocker entfernt vorübergehend den Schutz für Systemkomponenten und -daten, kann aber unter bestimmten Umständen erforderlich sein, um startkritische Komponenten erfolgreich zu aktualisieren.

BitLocker wird bei Updates angehalten, wenn:

  • Das Gerät verfügt nicht über TPM 2.0 und PCR7, oder
  • Das Gerät verwendet keine reine TPM-Schutzvorrichtung.
  1. "Always Enabled" gibt an, dass die automatische Anmeldung auch dann erfolgt, wenn BitLocker während des Neustarts oder Herunterfahrens deaktiviert oder angehalten wird. Wenn BitLocker nicht aktiviert ist, kann auf der Festplatte auf personenbezogene Daten zugegriffen werden. Der automatische Neustart und die Anmeldung sollten nur unter dieser Bedingung ausgeführt werden, wenn Sie sicher sind, dass sich das konfigurierte Gerät an einem sicheren physischen Standort befindet.
  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wird bei der automatischen Anmeldung standardmäßig das Verhalten "Aktiviert, wenn BitLocker aktiviert und nicht angehalten" verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ConfigAutomaticRestartSignOn
Anzeigename Konfigurieren des Modus zum automatischen Anmelden und Sperren des letzten interaktiven Benutzers nach einem Neustart oder Kaltstart
Location Computerkonfiguration
Pfad Windows-Komponenten > Windows-Anmeldeoptionen
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System
ADMX-Dateiname WinLogon.admx

DisableLockScreenAppNotifications

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DisableLockScreenAppNotifications

Mit dieser Richtlinieneinstellung können Sie verhindern, dass App-Benachrichtigungen auf dem Sperrbildschirm angezeigt werden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden keine App-Benachrichtigungen auf dem Sperrbildschirm angezeigt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer auswählen, welche Apps Benachrichtigungen auf dem Sperrbildschirm anzeigen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DisableLockScreenAppNotifications
Anzeigename Anwendungsbenachrichtigungen auf Sperrbildschirm deaktivieren
Location Computerkonfiguration
Pfad Systemanmeldung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\System
Name des Registrierungswertes DisableLockScreenAppNotifications
ADMX-Dateiname Logon.admx

DontDisplayNetworkSelectionUI

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI

Mit dieser Richtlinieneinstellung können Sie steuern, ob jeder benutzer auf dem Anmeldebildschirm mit der benutzeroberfläche der verfügbaren Netzwerke interagieren kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, kann der Netzwerkkonnektivitätsstatus des PCs nicht geändert werden, ohne sich bei Windows anzumelden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann jeder Benutzer den PC vom Netzwerk trennen oder den PC mit anderen verfügbaren Netzwerken verbinden, ohne sich bei Windows anzumelden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DontDisplayNetworkSelectionUI
Anzeigename Benutzeroberfläche für die Netzwerkauswahl nicht anzeigen
Location Computerkonfiguration
Pfad Systemanmeldung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\System
Name des Registrierungswertes DontDisplayNetworkSelectionUI
ADMX-Dateiname Logon.admx

Beispiel:

Hier sehen Sie ein Beispiel zum Aktivieren dieser Richtlinie:

<SyncML xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Atomic>
      <CmdID>300</CmdID>
      <Replace>
        <CmdID>301</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">chr</Format>
          </Meta>
          <Data><![CDATA[<enabled/>]]></Data>
        </Item>
      </Replace>
    </Atomic>
    <Final/>
  </SyncBody>
</SyncML>

EnableFirstLogonAnimation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableFirstLogonAnimation

Mit dieser Richtlinieneinstellung können Sie steuern, ob Benutzern die erste Anmeldeanimation angezeigt wird, wenn sie sich zum ersten Mal beim Computer anmelden. Dies gilt sowohl für den ersten Benutzer des Computers, der die erste Einrichtung abgeschlossen hat, als auch für Benutzer, die dem Computer später hinzugefügt werden. Außerdem wird gesteuert, ob Microsoft-Kontobenutzern bei der ersten Anmeldung die Aufforderung zur Anmeldung für Dienste angeboten wird.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird Benutzern von Microsoft-Konten die Aufforderung zum Anmelden für Dienste angezeigt, und Benutzern mit anderen Konten wird die Anmeldeanimation angezeigt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, wird den Benutzern die Animation nicht angezeigt, und Microsoft-Kontobenutzern wird die Aufforderung zum Anmelden für Dienste nicht angezeigt.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird dem Benutzer, der das anfängliche Windows-Setup abgeschlossen hat, die Animation bei der ersten Anmeldung angezeigt. Wenn der erste Benutzer die ersteinrichtung bereits abgeschlossen hat und diese Richtlinieneinstellung nicht konfiguriert ist, sehen Benutzer, die neu auf diesem Computer sind, die Animation nicht.

Hinweis

Die erste Anmeldeanimation wird auf dem Server nicht angezeigt, sodass diese Richtlinie keine Auswirkungen hat.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert.
1 (Standard) Aktiviert.

Gruppenrichtlinienzuordnung:

Name Wert
Name EnableFirstLogonAnimation
Anzeigename Bei der ersten Anmeldung Animation abspielen
Location Computerkonfiguration
Pfad Systemanmeldung >
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System
Name des Registrierungswertes EnableFirstLogonAnimation
ADMX-Dateiname Logon.admx

EnableMPRNotifications

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621] und höher
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableMPRNotifications

Diese Richtlinie steuert, ob das Kennwort des Benutzers im Inhalt von MPR-Benachrichtigungen enthalten ist, die von winlogon im System gesendet werden.

  • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, sendet winlogon MPR-Benachrichtigungen mit leeren Kennwortfeldern der Authentifizierungsinformationen des Benutzers.

  • Wenn Sie diese Einstellung aktivieren, sendet winlogon MPR-Benachrichtigungen, die das Kennwort des Benutzers in den Authentifizierungsinformationen enthalten.

Hinweis

Ab Windows-Insider-Build 25216 wurde das Verhalten der EnableMPRNotifications-Richtlinie geändert, und die Gruppenrichtlinie wurde mit dem folgenden Text aktualisiert:

  • Anzeigename: Konfigurieren Sie die Übertragung des Benutzerkennworts im Inhalt von MPR-Benachrichtigungen, die von winlogon gesendet werden.
  • Beschreibung: Diese Richtlinie steuert, ob das Kennwort des Benutzers im Inhalt von MPR-Benachrichtigungen enthalten ist, die von winlogon im System gesendet werden.
    • Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, sendet winlogon MPR-Benachrichtigungen mit leeren Kennwortfeldern der Authentifizierungsinformationen des Benutzers.
    • Wenn Sie diese Einstellung aktivieren, sendet winlogon MPR-Benachrichtigungen, die das Kennwort des Benutzers in den Authentifizierungsinformationen enthalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name EnableMPRNotifications
Anzeigename Konfigurieren Sie die Übertragung des Benutzerkennworts im Inhalt von MPR-Benachrichtigungen, die von winlogon gesendet werden.
Location Computerkonfiguration
Pfad Windows-Komponenten > Windows-Anmeldeoptionen
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System
Name des Registrierungswertes EnableMPR
ADMX-Dateiname WinLogon.admx

EnumerateLocalUsersOnDomainJoinedComputers

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

Diese Richtlinieneinstellung ermöglicht das Aufzählen lokaler Benutzer auf computern, die in die Domäne eingebunden sind.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, listet die Anmeldebenutzeroberfläche alle lokalen Benutzer auf computern auf, die in die Domäne eingebunden sind.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden auf der Anmeldebenutzeroberfläche keine lokalen Benutzer auf computern aufgelistet, die in die Domäne eingebunden sind.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name EnumerateLocalUsers
Anzeigename Auflisten lokaler Benutzer auf computern, die in die Domäne eingebunden sind
Location Computerkonfiguration
Pfad Systemanmeldung >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\System
Name des Registrierungswertes EnumerateLocalUsers
ADMX-Dateiname Logon.admx

HideFastUserSwitching

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/HideFastUserSwitching

Mit dieser Richtlinieneinstellung können Sie die Benutzeroberfläche "Benutzer wechseln" in der Anmeldeoberfläche, im Startmenü und im Task-Manager ausblenden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Benutzeroberfläche für den Benutzer ausgeblendet, der versucht, sich anzumelden, oder auf dem Computer angemeldet ist, auf dem diese Richtlinie angewendet wurde.

Die Speicherorte, an denen Benutzeroberfläche wechseln angezeigt wird, befinden sich auf der Anmeldeoberfläche, im Startmenü und im Task-Manager.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann der Benutzer an den drei Speicherorten auf die Benutzeroberfläche wechseln zugreifen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktiviert (sichtbar).
1 Aktiviert (ausgeblendet).

Gruppenrichtlinienzuordnung:

Name Wert
Name HideFastUserSwitching
Anzeigename Einstiegspunkte für schnelle Benutzerumschaltung ausblenden
Location Computerkonfiguration
Pfad Systemanmeldung >
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System
Name des Registrierungswertes HideFastUserSwitching
ADMX-Dateiname Logon.admx

OverrideShellProgram

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, Version 22H2 [10.0.22621.2338] und höher
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/OverrideShellProgram

Mit der Richtlinie "OverrideShellProgram" kann der IT-Administrator das Shellprogramm für das Windows-Betriebssystem auf einem Gerät konfigurieren. Diese Richtlinie hat die höchste Priorität gegenüber anderen Methoden zum Konfigurieren des Shellprogramms. Die Richtlinie unterstützt derzeit die folgenden Optionen: 1. Nicht konfiguriert: Die Standardshell wird gestartet. 2. Lightweight-Shell anwenden: Die Lightweight-Shell verfügt nicht über eine Benutzeroberfläche und hilft dem Gerät, eine bessere Leistung zu erzielen, da die Shell begrenzte Ressourcen gegenüber der Standardshell verbraucht. Die Lightweight-Shell enthält eine begrenzte Anzahl von Features, die von Anwendungen genutzt werden können. Diese Konfiguration kann nützlich sein, wenn das Gerät über eine fortlaufend ausgeführte Benutzeroberflächenanwendung verfügen muss, die Features der Lightweight-Shell nutzen würde. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardshell gestartet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Nicht konfiguriert.
1 Wenden Sie die Lightweight-Shell an.

Dienstanbieter für die Richtlinienkonfiguration