В Windows 10/8.1 и Windows Server 2016/2012R2 на экране входа в систему (экране приветствия) по-умолчанию отображается учетная запись последнего пользователя, который авторизовался на компьютере (если у пользователя не задан пароль, будет выполнен автоматический вход систему под этим пользователем, даже если не задана функция автологона). Вы можете настроить различное поведение этой функции на экране приветствия (logon screen): можно показать имя пользователя, скрыть его или даже вывести список всех локальных или активных доменных пользователей компьютера (сервера).
Как убрать имя пользователя с экрана приветствия Windows?
Отображение имени учетной записи на экране входа в Windows удобно конечным пользователям, но снижает безопасность компьютера. Ведь злоумышленнику, получившему доступ к компьютеру, остается только подобрать пароль (для этого есть различные способы социальной инженерии, брутфорса или банального приклееного листочка с паролем на мониторе).
Вы можете отключить отображение имени последнего пользователя через GPO. Откройте редактор доменных (gpmc.msc) или локальных политик (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options). Включите политику “Интерактивный вход в систему: Не отображать учетные данные последнего пользователя” (Interactive logon: Do not display last user name). По умолчанию эта политика отключена.
Дополнительно вы можете скрыть имя пользователя на заблокированном компьютере. Для этого в этом же разделе нужно включить политику “Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован” (Interactive logon: Display user information when the session is locked) и выбрать значение “Не отображать сведения о пользователе” (Do not display user information).
Этой политике соответствует ключ реестра в той же ветке DontDisplayLockedUserId со значением 3.
Теперь на экране входа в компьютер и на экране блокировки Windows отображаются пустые поля для ввода имени пользователя и пароля.
Как показать всех локальных пользователей на экране входа в Windows 10?
В Windows 10/8.1 вы можете вывести список имеющихся локальных учетных записей на экране приветствия системы. Чтобы авторизоваться на компьютере, пользователю достаточно лишь щелкнуть по нужной учетной записи и указать ее пароль.
Чтобы Windows отображала всех локальных пользователей на экране входа, нужно в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch изменить значение параметра Enabled на 1. Вы можете изменить этот параметр через графический интерфейс редактора Regedit, с помощью консольной команды“Reg Add” или командлетом PowerShell Set-ItemProperty.
Reg Add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch /v Enabled /t REG_DWORD /d 1 /f
илиSet-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch' -Name Enabled -Value 1
Однако Windows при каждой входе пользователя автоматически сбрасывает значение параметра Enabled на 0. Чтобы значение ключа всегда менялось на 1, проще всего создать новое задание планировщика, которое будет отрабатывать при входе пользователя в систему.
Задание планировщика должно запускать одну из указанных выше команд. Такое задание можно создать вручную с помощью графической консоли taskschd.msc. Но мне кажется, что гораздо проще создать задание планировщика с помощью PowerShell. В нашем случае команды для создания нового задания могут выглядеть так:
$Trigger= New-ScheduledTaskTrigger -AtLogOn
$User= "NT AUTHORITY\SYSTEM"
$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch -Name Enabled -Value 1"
Register-ScheduledTask -TaskName "UserSwitch_Enable" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force
Убедимся, что задание появилось в планировщике Windows (taskschd.msc).
Выполните логофф и логон пользователя. Задание должно автоматически запуститься и изменить значение параметра реестра Enabled на 1. Проверьте текущее значение параметра. Как вы видите оно равно единице:
get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch' -Name Enabled
После следующей перезагрузки системы на экране приветствия Windows 10 и 8.1 будут отображаться все локальные учетные записи пользователей компьютера, а не только имя последнего пользовтеля.
Есть отдельная политика, позволяющая гораздо проще вывести список локальных пользователей на доменных компьютерах. Перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Logon (Конфигурация компьютера -> Администартиыне шаблоны -> Вход в систему) и включите политику «Enumerate local users on domain-joined computers» (Перечислить локальных пользователей на компьютерах, подключенных к домену).
Отобразить список активных доменных пользователей на экране входа в Windows
Если одним компьютером пользуется несколько пользователей, вы можете отобразить на экране приветствия список пользователей, у которых есть неотключение сессии (пользователи будут отображаться только в том случае, если они залогинены, например при использования общежоступных компьютеров, касс, киосков, RDS сервера или его аналога на Windows 10).
Для этого проверьте, что в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options отключены политики:
- Interactive logon: Don’t display last signed-in: Disabled
- Interactive logon: Don’t display username at sign in: Disabled
Затем отключите политики в разделе Computer Configuration -> Administrative Templates -> System -> Logon:
- Block user from showing account details on sign-in: Disabled
- Do not enumerate connected users on domain-joined computer: Disabled
После этого на экране приветствия будет отображаться список учетных записей с активными сессиями, которые выполнили вход в систему, но были отключены. Пользователю достаточно один раз выполнить вход, а после этого просто выбирать учетную запись из списка и вводить пароль.
Как скрыть определенного пользователя на экране приветствия Windows?
На экране приветствия Windows отображаются пользователи, которые входят в одну из следующих локальных групп: Администраторы, Пользователи, Опытные пользователи, Гости.
Вы можете скрыть любого пользователя из списка на экрана приветствия Windows 10, выполнив команду:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v UserName
Windows 10 Pro 1607
Политика отключена, в реестр значение добавляется, комп в домене, всех пользователей не отображает. Захожу локальный админом, выхожу, захожу под доменной учеткой, локальный админ со списка пропадает. Короче не работает…
Такая же ситуация, как описал Владимир. Не работает.
Оно работает, если вы делаете быстрое переключение пользователей, а если выходите из учетки, то нет. То есть то, что нужно: чтобы при включении компьютера отображались все пользователи — не работает.
на другом сайте пишут, что работает, если у пользователей заданы пароли
Комп не в домене — отображаются все незаблокированные учетки. При вводе в домен отображается только учетка последнего пользователя (без манипуляций в статье)
Есть ли возможность вывода на экран входа всех доменных пользователей, добавленных на пк?
Нет. Сами подумайте, нужно вывести всех пользователей домена? Зачем?
Имеет смысл выводить только пользователей с активными сессиями входа. В статье описано как это сделать.
А можно вывести не всех пользователей домена, а только тех, которые логинились на этом компьютере, чей профиль был создан на этой машине, которая в домене? Но не только активные сессии, а постоянно их выводить, подобно локальным.
Это было бы реально удобно для двух трёх работающих посменно людей за одним компьютером, чтобы они могли выключить компьютер, а регулярно сменяющих их сотрудник мог просто выбрать мышкой свой логин и ввести только свой пароль.
А то получается такая картина, был комп локальный, выбирали из списка и вводили пароль. Я ввёл комп в домен и мне как админу хорошо, а для и без того не шаристого пользователя прибавилось нужда запоминать ещё и логин.
Огромное человеческое спасибо за статью. Сбрутили у меня RDP. Пользователя под админом удалили из всех локальных политик. И еще все данные и все бэкапы удалили. Оставили ТХТ файлы куда обращаться..типа за деньги вернут. По умолчанию вход был только этим пользователем. Других учеток не было. Вот это было шоу. Ничего запустить нельзя, ни установить, ни удалить — везде выскакивал контроль учетных записей(UAC) без кнопки «ДА»(она вообще отсутствовала)(По умолчанию оказалась гостевой записью). На машине стоит сервер SQL — днем работать нельзя-торговля. И тут прилетает обновление Виндоуз — включается брэндмауэр и ЭСКУЭЛ сервер перестает работать в сети. Грузился с WinPE подключал ключи реестра(кусты) и правил значения. Только тут нашел как включить учетные записи на экране приветствия. Зашел под учеткой Администратор(но на экране приветсвия имя было такое же как и у пользователя). И уже потом все удалось сделать. Версия Win 1803.
В этом случае чтобы авторизоваться на компьютере, пользователю необходимо щелкнуть по нужной учетной записи и указать ее пароль.
А вопрос стоит о другом: как иметь две учетные записи (внимание) БЕЗ ПАРОЛЯ с возможностью на загрузочном экране Windows 10 выбора пользователя (как в Windows 7), без автоматического захода на последнего пользователя и выхода из его учетной записи, чтобы войти на свой рабочий стол?
В теории можно настроить так: отключаете автовход, выводите всех локальных пользователей на экране входа в систему, и в парольно политике (https://winitpro.ru/index.php/2018/10/26/politika-parolej-uchetnyx-zapisej-v-active-directory/) разрешаете пустые пароли: gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности/Локальные политики -> Параметры безопасности
Учетные записи: Ограничить использование пустых паролей только для консольного входа = Отключить
как отключить этот план в powershell?