Winlogon 自动重启登录 (ARSO)
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
作者:Justin Turner,Windows 组的高级支持升级工程师
注意
本内容由 Microsoft 客户支持工程师编写,适用于正在查找比 TechNet 主题通常提供的内容更深入的有关 Windows Server 2012 R2 中的功能和解决方案的技术说明的有经验管理员和系统架构师。 但是,它未经过相同的编辑审批,因此某些语言可能看起来不如通常在 TechNet 上找到的内容那么精练。
概述
Windows 8 引入了锁屏界面应用。 这些是在用户的会话被锁定时运行和显示通知的应用程序(日历约会、电子邮件和消息等)。 由于 Windows 更新进程而重启的设备在重启时无法显示这些锁屏界面通知。 某些用户依赖于这些锁屏界面应用程序。
有何变化?
当用户在 Windows 8.1 设备上登录时,LSA 会将用户凭据保存在只有 lsass.exe 可访问的加密的内存中。 当 Windows 更新在没有用户存在的情况下发起自动重启时,这些凭据将用于为用户配置自动登录。 以拥有 TCB 特权的系统方式运行的 Windows 更新将发起 RPC 调用来执行此操作。
重新启动后,用户将通过自动登录机制自动登录,然后另外被锁定以保护用户的会话。 锁定将通过 Winlogon 发起,而凭据管理由 LSA 负责。 通过在控制台上自动登录并锁定用户,用户的锁屏界面应用程序将重启并可用。
注意
Windows 更新引发重启后,上次的交互用户将自动登录,会话会被锁定,使用户的锁屏界面应用可以运行。
快速概览
Windows 更新需要重启
计算机能否重启(没有运行会丢失数据的应用)?
为你重启
重新登录
锁定计算机
由组策略启用或禁用
- 在服务器 SKU 中默认禁用
为什么?
在用户重新登录之前,某些更新无法完成。
更好的用户体验:无需等待 15 分钟即可完成安装更新
如何操作? AutoLogon
存储密码,使用该凭据让你登录
将凭据作为 LSA 机密保存在分页内存中
仅当启用 BitLocker 时才能启用
组策略:在系统初始化的重新启动之后自动登录上次的交互用户
在 Windows 8.1/Windows Server 2012 R2 中,对于服务器 SKU,Windows 更新重启后锁屏用户的自动登录会选择加入,对于客户端 SKU,会选择退出。
策略位置:“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“Windows 登录选项”
策略名称:在系统初始化的重新启动之后自动登录上次的交互用户
支持的操作系统:至少 Windows Server 2012 R2、Windows 8.1 或 Windows RT 8.1
说明/帮助:
此策略设置控制在 Windows 更新重启系统之后设备是否将自动登录上次的交互用户。
如果启用或未配置此策略设置,设备将安全地保存用户的凭据(包括用户名、域和加密密码),以便在 Windows 更新重启后配置自动登录。 在 Windows 更新重启后,用户将自动登录,并使用为该用户配置的所有锁屏界面应用自动锁定会话。
如果禁用此策略设置,则在 Windows 更新重启后,设备不会存储用户的凭据以进行自动登录。 用户的锁屏界面应用不会在系统重启后重启。
注册表编辑器
值名称 | 类型 | 数据 |
---|---|---|
DisableAutomaticRestartSignOn | DWORD | 0 示例: 0(已启用) 1(已禁用) |
策略注册表位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
类型:DWORD
注册表名称:DisableAutomaticRestartSignOn
值:0 或 1
0 = 已启用
1 = 已禁用
疑难解答
当 WinLogon 自动锁定时,WinLogon 的状态跟踪将存储在 WinLogon 事件日志中。
记录自动登录配置尝试的状态
如果成功
- 如下所示记录状态
如果失败:
- 记录具体的失败情形
当 BitLocker 的状态发生更改时:
将记录凭据删除事件
- 这些内容将存储在 LSA 运行日志中。
自动登录失败的原因
有多种情况会导致无法实现用户自动登录。 本部分旨在汇总可能发生这种情况的已知场景。
用户在下次登录时必须更改密码
如果需要在下次登录时更改密码,则用户登录可以进入阻止状态。 在大多数情况下,此状态可以在重启之前检测到,但并非总能检测到(例如,在关机之后、下一次登录之前,密码可能已过期)。
用户帐户已禁用
即使禁用了用户帐户,也可以保留现有的用户会话。 在大多数情况下,可以提前在本地检测到禁用了帐户的重启,但根据组策略,这一点可能不适用于域帐户(即使在 DC 上禁用了帐户,某些域缓存登录方案也能正常工作)。
登录小时数和家长控制
登录小时数和家长控制可以禁止创建新的用户会话。 如果在此时限内发生重启,则不允许用户登录。 还有一些其他策略会导致作为合规性操作锁定或注销。 在许多儿童看护案例中,这可能会造成问题,因为在就寝时间可能发生帐户锁定,尤其是维护工作通常就发生在这段时间。
其他资源
表 SEQ 表\* ARABIC 3:ARSO 术语表
术语 | 定义 |
---|---|
Autologon | 自动登录功能已在多个版本的 Windows 中提供。 它是一项有文档说明的 Windows 功能,甚至还有相关的工具,例如适用于 Windows 的自动登录 v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx 单个设备用户可以使用此功能自动登录,而无需输入凭据。 凭据在经配置后作为加密的 LSA 机密存储在注册表中。 |