Поделиться через


Автоматический вход при перезапуске с помощью Winlogon (ARSO)

Author: Justin Turner, Senior Support Escalation Engineer with the Windows group

Note

Этот материал создан инженером службы поддержки клиентов Майкрософт и предназначен для опытных администраторов и архитекторов систем, которым нужны более глубокие технические сведения о функциях и решениях в Windows Server 2012 R2, а не обычная информация, доступная в статьях на сайте TechNet. Однако он не был отредактирован согласно требованиям сайта, поэтому некоторые формулировки могут быть не такими выверенными, как на станицах TechNet.

Overview

Windows 8 представила приложения для экрана блокировки. Это приложения, которые выполняют и отображают уведомления, пока сеанс пользователя заблокирован (встречи календаря, электронная почта и сообщения и т. д.). Устройства, которые перезапускаются из-за Обновл. Windows процесса, не отображают эти уведомления экрана блокировки при перезапуске. Некоторые пользователи зависят от этих приложений экрана блокировки.

What's changed?

При входе пользователя на устройство Windows 8.1 LSA сохранит учетные данные пользователя в зашифрованной памяти, доступной только lsass.exe. Когда Обновл. Windows инициирует автоматическую перезагрузку без присутствия пользователя, эти учетные данные будут использоваться для настройки автологона для пользователя. Обновл. Windows запуска как системы с привилегиями TCB инициирует вызов RPC для этого.

При перезагрузке пользователь автоматически войдет в систему с помощью механизма автологона, а затем дополнительно заблокирован для защиты сеанса пользователя. Блокировка будет инициирована с помощью Winlogon, а управление учетными данными выполняется LSA. Автоматически войдите и заблокируя пользователя в консоли, приложения экрана блокировки пользователя будут перезапущены и доступны.

Note

После Обновл. Windows индуцированной перезагрузки последний интерактивный пользователь автоматически войдет в систему и сеанс заблокирован, чтобы приложения экрана блокировки пользователя могли выполняться.

Снимок экрана: экран блокировки

Снимок экрана: приложения экрана блокировки

Quick Overview

  • Обновл. Windows требуется перезапуск

  • Может ли компьютер перезапустить (не выполняющиеся приложения, которые потеряют данные)?

    • Перезапуск для вас

    • Войдите обратно в систему

    • Lock machine

  • Включена или отключена групповой политикой

    • Отключен по умолчанию в номерах SKU сервера
  • Why?

    • Некоторые обновления не могут завершиться до тех пор, пока пользователь не войтится в систему.

    • Лучшее взаимодействие с пользователем: не нужно ждать 15 минут, чтобы обновления завершили установку

  • How? AutoLogon

    • сохраняет пароль, использует эти учетные данные для входа в систему.

    • сохраняет учетные данные в виде секрета LSA в памяти страниц

    • Можно включить только в том случае, если BitLocker включен

Групповая политика: автоматический вход последнего интерактивного пользователя после перезапуска, инициированного системой

В Windows 8.1 / Windows Server 2012 R2 автоматический журнал пользователя экрана блокировки после Обновл. Windows перезапуска будет включен в номера SKU сервера и отказаться от номеров SKU клиента.

Policy location: Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Logon Option

Policy Name: Sign-in last interactive user automatically after a system-initiated restart

Supported on: At least Windows Server 2012 R2, Windows 8.1 or Windows RT 8.1

Description/Help:

Этот параметр политики определяет, будет ли устройство автоматически выполнять вход последнего интерактивного пользователя после Обновл. Windows перезапуска системы.

Если этот параметр политики включен или не настроен, устройство безопасно сохраняет учетные данные пользователя (включая имя пользователя, домен и зашифрованный пароль), чтобы настроить автоматический вход после перезагрузки Обновл. Windows. После перезагрузки Обновл. Windows пользователь автоматически войдет в систему, и сеанс автоматически блокируется со всеми приложениями экрана блокировки, настроенными для этого пользователя.

Если этот параметр политики отключен, устройство не сохраняет учетные данные пользователя для автоматического входа после Обновл. Windows перезапуска. Приложения экрана блокировки пользователей не перезапускаются после перезагрузки системы.

Registry Editor

Value Name Type Data
DisableAutomaticRestartSignOn DWORD 0

Example:

0 (Enabled)

1 (Disabled)

Расположение реестра политик: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Type: DWORD

Registry Name: DisableAutomaticRestartSignOn

Значение: 0 или 1

0 = включено

1 = отключено

Снимок экрана: пользовательский интерфейс параметров политики, где можно указать, будет ли устройство автоматически входить в последний интерактивный пользователь после Обновл. Windows перезапускает систему.

Troubleshooting

При автоматической блокировке WinLogon трассировка состояния WinLogon будет храниться в журнале событий WinLogon.

Состояние попытки настройки автолога регистрируется

  • Если это успешно

    • записывает его как таковое
  • Если это сбой:

    • записывает сведения о том, что произошло сбоем
  • При изменении состояния BitLocker:

    • Удаление учетных данных будет зарегистрировано

      • Они будут храниться в журнале операций LSA.

Причины сбоя автолога

Существует несколько случаев, когда невозможно достичь автоматического входа пользователя. Этот раздел предназначен для отслеживания известных сценариев, в которых это может произойти.

Пользователь должен изменить пароль при следующем входе

Имя входа пользователя может ввести заблокированное состояние при изменении пароля при следующем входе. Это может быть обнаружено до перезапуска в большинстве случаев, но не все (например, срок действия пароля может быть достигнут между завершением работы и следующим именем входа.

Учетная запись пользователя отключена

Существующий сеанс пользователя можно поддерживать даже в том случае, если он отключен. Перезапуск учетной записи, которая отключена, можно обнаружить локально в большинстве случаев заранее, в зависимости от групповой политики она может не быть для учетных записей домена (некоторые сценарии входа в кэшированные домены работают, даже если учетная запись отключена на контроллере домена).

Часы входа и родительские элементы управления

Часы входа и родительские элементы управления могут запретить создание нового сеанса пользователя. Если во время этого окна произошла перезагрузка, пользователь не сможет войти в систему. Существует дополнительная политика, которая приводит к блокировке или выходу в качестве действия соответствия требованиям. Это может быть проблематично для многих случаев, когда блокировка учетной записи может происходить между временем сна и пробуждением, особенно если период обслуживания обычно находится в течение этого времени.

Additional Resources

Таблица SEQ Table \* АРАБСКИЙ 3: ARSO Глоссарий

Term Definition
Autologon Автологон — это функция, которая присутствует в Windows для нескольких выпусков. It is a documented feature of Windows that even has tools such as Autologon for Windows v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx

Он позволяет одному пользователю устройства автоматически входить без ввода учетных данных. Учетные данные настраиваются и хранятся в реестре в качестве зашифрованного секрета LSA.