Udostępnij za pośrednictwem

Automatyczne ponowne uruchamianie i logowanie w Winlogon (ARSO)

Author: Justin Turner, Senior Support Escalation Engineer with the Windows group

Note

Ta zawartość jest napisana przez inżyniera pomocy technicznej klienta firmy Microsoft i jest przeznaczona dla doświadczonych administratorów i architektów systemów, którzy szukają bardziej szczegółowych wyjaśnień technicznych funkcji i rozwiązań w systemie Windows Server 2012 R2 niż tematy w witrynie TechNet zwykle udostępniają. Jednak nie przeszedł tej samej edycji przechodzi, więc niektóre z języków mogą wydawać się mniej dopracowane niż to, co zwykle znajduje się w TechNet.

Overview

System Windows 8 wprowadził aplikacje ekranu blokady. Są to aplikacje, które uruchamiają i wyświetlają powiadomienia, gdy sesja użytkownika jest zablokowana (terminy kalendarza, poczta e-mail i wiadomości itp.). Urządzenia, które są ponownie uruchamiane z powodu procesu windows Update, nie mogą wyświetlać tych powiadomień ekranu blokady po ponownym uruchomieniu. Niektórzy użytkownicy zależą od tych aplikacji ekranu blokady.

What's changed?

Gdy użytkownik zaloguje się na urządzeniu z systemem Windows 8.1, LSA zapisze poświadczenia użytkownika w zaszyfrowanej pamięci dostępnej tylko przez lsass.exe. Gdy usługa Windows Update inicjuje automatyczne ponowne uruchomienie bez obecności użytkownika, te poświadczenia będą używane do konfigurowania automatycznego logowania dla użytkownika. Usługa Windows Update działająca jako system z uprawnieniami TCB rozpocznie wywołanie RPC, aby to zrobić.

Po ponownym uruchomieniu użytkownik zostanie automatycznie zalogowany za pośrednictwem mechanizmu automatycznego logowania, a następnie dodatkowo zablokowany w celu ochrony sesji użytkownika. Blokowanie zostanie zainicjowane za pośrednictwem usługi Winlogon, natomiast zarządzanie poświadczeniami odbywa się przez LSA. Po automatycznym zalogowaniu się i zablokowaniu użytkownika w konsoli aplikacje ekranu blokady użytkownika zostaną ponownie uruchomione i dostępne.

Note

Po ponownym uruchomieniu usługi Windows Update ostatni interakcyjny użytkownik jest automatycznie zalogowany, a sesja jest zablokowana, aby aplikacje ekranu blokady użytkownika mogły działać.

Zrzut ekranu przedstawiający ekran blokady

Zrzut ekranu przedstawiający aplikacje ekranu blokady

Quick Overview

  • Usługa Windows Update wymaga ponownego uruchomienia

  • Czy komputer może ponownie uruchomić (brak uruchomionych aplikacji, które utraciłyby dane)?

    • Uruchom ponownie za Ciebie

    • Zaloguj się ponownie

    • Lock machine

  • Włączone lub wyłączone przez Politykę grupy

    • Domyślnie wyłączone w wersjach serwerowych SKU

  • Why?

    • Niektóre aktualizacje nie mogą zakończyć się, dopóki użytkownik nie zaloguje się ponownie.

    • Lepsze środowisko użytkownika: nie trzeba czekać 15 minut na zakończenie instalowania aktualizacji

  • How? AutoLogon

    • przechowuje hasło, używa tego poświadczenia do zalogowania

    • zapisuje poświadczenia jako sekret LSA w pamięci stronicowanej

    • Można włączyć tylko wtedy, gdy funkcja BitLocker jest włączona

Zasady grupy: Logowanie ostatniego interakcyjnego użytkownika automatycznie po ponownym uruchomieniu zainicjowanym przez system

W systemie Windows 8.1 / Windows Server 2012 R2, automatyczne logowanie użytkownika ekranu blokady po ponownym uruchomieniu komputera przez Windows Update jest opcjonalne dla SKU serwera oraz domyślnie nieaktywne dla SKU klienta.

Policy location: Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Logon Option

Policy Name: Sign-in last interactive user automatically after a system-initiated restart

Supported on: At least Windows Server 2012 R2, Windows 8.1 or Windows RT 8.1

Description/Help:

To ustawienie zasad określa, czy urządzenie będzie automatycznie logować ostatniego interakcyjnego użytkownika po ponownym uruchomieniu systemu Windows Update.

Jeśli to ustawienie zasad zostanie włączone lub nie zostanie skonfigurowane, urządzenie bezpiecznie zapisze poświadczenia użytkownika (w tym nazwę użytkownika, domenę i zaszyfrowane hasło) w celu skonfigurowania automatycznego logowania po ponownym uruchomieniu usługi Windows Update. Po ponownym uruchomieniu usługi Windows Update użytkownik zostanie automatycznie zalogowany, a sesja zostanie automatycznie zablokowana przy użyciu wszystkich aplikacji ekranu blokady skonfigurowanych dla tego użytkownika.

Jeśli to ustawienie zasad zostanie wyłączone, urządzenie nie będzie przechowywać poświadczeń użytkownika na potrzeby automatycznego logowania po ponownym uruchomieniu usługi Windows Update. Aplikacje ekranu blokady użytkowników nie są uruchamiane ponownie po ponownym uruchomieniu systemu.

Registry Editor

Value Name Typ Data
DisableAutomaticRestartSignOn DWORD 0

Example:

0 (Enabled)

1 (Disabled)

Lokalizacja rejestru zasad: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Type: DWORD

Registry Name: DisableAutomaticRestartSignOn

Wartość: 0 lub 1

0 = włączone

1 = Wyłączone

Zrzut ekranu przedstawiający interfejs użytkownika ustawień zasad, w którym można określić, czy urządzenie będzie automatycznie logować ostatniego interakcyjnego użytkownika po ponownym uruchomieniu systemu przez usługę Windows Update

Troubleshooting

Gdy WinLogon blokuje się automatycznie, ślad stanu WinLogon będzie przechowywany w dzienniku zdarzeń systemu WinLogon.

Stan próby konfiguracji autologonu jest rejestrowany

  • Jeśli to się powiedzie

    • rejestruje je jako takie

  • W przypadku niepowodzenia:

    • rejestruje, jaka była awaria

  • Gdy stan funkcji BitLocker zmieni się:

    • usunięcie kredencjałów zostanie zarejestrowane

      • Będą one przechowywane w dzienniku operacyjnym LSA.

Przyczyny, dla których automatyczne logowanie może zakończyć się niepowodzeniem

Istnieje kilka przypadków, w których nie można uzyskać automatycznego logowania użytkownika. Ta sekcja ma na celu przechwycenie znanych scenariuszy, w których może się to zdarzyć.

Użytkownik musi zmienić hasło przy następnym logowaniu

Stan zablokowania logowania użytkownika może wystąpić, gdy wymagane jest dokonanie zmiany hasła przy następnym logowaniu. Można to wykryć przed ponownym uruchomieniem w większości przypadków, ale nie wszystkie (na przykład można uzyskać dostęp do wygaśnięcia hasła między zamknięciem a następnym logowaniem.

Wyłączone konto użytkownika

Istniejąca sesja użytkownika może być utrzymywana nawet wtedy, gdy jest wyłączona. Ponowne uruchomienie konta, które jest wyłączone, można wykryć lokalnie w większości przypadków z wyprzedzeniem, w zależności od gp może nie dotyczyć kont domeny (niektóre scenariusze logowania w pamięci podręcznej domeny działają, nawet jeśli konto jest wyłączone na kontrolerze domeny).

Godziny logowania i kontrola rodzicielska

Godziny logowania i kontrola rodzicielska mogą uniemożliwić utworzenie nowej sesji użytkownika. Jeśli podczas tego okna wystąpi ponowne uruchomienie, użytkownik nie będzie mógł się zalogować. Istnieją dodatkowe zasady, które powodują zablokowanie lub wylogowanie jako akcję zgodności. Może to być problematyczne w wielu przypadkach dzieci, kiedy blokada konta może wystąpić między godziną snu a porankiem, szczególnie jeśli okno konserwacji jest często w tym czasie.

Additional Resources

Tabela SEQ Table \* ARABIC 3: Słownik ARSO

Term Definition
Autologon Autologon to funkcja, która była obecna w systemie Windows w kilku wersjach. It is a documented feature of Windows that even has tools such as Autologon for Windows v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx

Umożliwia pojedynczemu użytkownikowi urządzenia automatyczne logowanie się bez wprowadzania poświadczeń. Poświadczenia są konfigurowane i przechowywane w rejestrze jako zaszyfrowany sekret LSA.