Как скрыть или показать имена пользователей на экране приветствия Windows 10/11?

В Windows 10/11 и Windows Server 2019/2016/2012R2 на экране входа в систему (logon screen, экран приветствия) по-умолчанию отображается только учетная запись последнего пользователя, который логинился на компьютере. Вы можете настроить различное поведение этой функции на экране приветствия: можно показать имя пользователя, скрыть его или даже вывести список всех локальных или активных доменных пользователей компьютера (сервера).

Как скрыть имя последнего пользователя на экране приветствия Windows?

Конечным пользователям удобно, когда на экране входа в Windows отображается имя учетной записи и его не нужно набирать вручную. Но это облегчает задачу злоумышленнику, получившему доступ к компьютеру. Для входа в систему ему нужно только подобрать правильный пароль. Для этого есть различные способы социальной инженерии, брутфорса или банального приклеенного листочка с паролем на мониторе.

Вы можете отключить отображение имени последнего пользователя на экране входа Windows через GPO. Откройте редактор доменных (gpmc.msc) или локальных политик (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options). Включите политику “Интерактивный вход в систему: Не отображать учетные данные последнего пользователя” (Interactive logon: Do not display last user name). По умолчанию эта политика отключена.

групповая политика: Не отображать учетные данные последнего пользователя на экране входа в windows

Вы можете скрыть имя последнего пользователя на экране входа через реестр. Для этого в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System создайте параметр dontdisplaylastusername типа DWORD и значением 1.

реестр dontdisplaylastusername

Имя пользователя также отображается на компьютере, если его экран заблокирован (нажатием Win+L или через GPO блокировки экрана). Вы можете скрыть имя пользователя на заблокированном компьютере. Для этого в этом же разделе GPO нужно включить политику “Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован” (Interactive logon: Display user information when the session is locked) и выбрать значение “Не отображать сведения о пользователе” (Do not display user information).

настройка GPO: не отображать сведения о пользователе, если сеанс заблокирован

Этой политике соответствует ключ реестра в той же ветке DontDisplayLockedUserId со значением 3.

Другие возможные значения этого параметра:

  • 1 — показывать отображаемое имя, домен и имя пользователя;
  • 2 — показывать только отображаемое имя;
  • 3 — не отображать сведения о пользователе.

Теперь на экране входа в компьютер и на экране блокировки Windows отображаются пустые поля для ввода имени пользователя и пароля.

экран входа в windows 10 - не отображается имя предыдущего пользователя

Показать список всех локальных пользователей на экране входа в Windows

По умолчанию современные версии Windows (проверено на Windows 11 21H2 и Windows 10 21H1) всегда показывают список включенных локальных пользователей в левом нижнем углу. Не отображаются только скрытые (см. ниже) или отключенные пользователи.

Чтобы авторизоваться на компьютере, пользователю достаточно лишь щелкнуть по нужной учетной записи и указать ее пароль. Это работает только на компьютерах, не включенных в домен Active Directory.

Если для учетной записи пользователя не задан пароль, то будет выполнен автоматический вход систему, даже если не настроен автологон.

показать всех локальных пользователей на экране приветствия windows 11

Совет. Вместо стандартных иконок пользователей можно показывать их фотографии-аватары из Active Directory.

Если список локальных пользователей не отображается на экране входа компьютере, проверьте настройки следующих локальных политик (в редакторе локальной GPO gpedit.msc должны быть заданы следующие политики).

  • Interactive Logon: Do not display last signed-in = Disabled (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options)
  • • Enumerate local users on domain-joined computers (Перечислить локальных пользователей на компьютерах, подключенных к домену) = Enabled (Computer Configuration -> Administrative Templates -> System -> Logon /Конфигурация компьютера -> Административные шаблоны -> Вход в систему) – политика позволяет вывести список локальных пользователей на доменных компьютерах
  • Do not enumerate connected users on domain-joined computer = Disabled/Not Configured (в этом же разделе GPO)

политика - перечилсять локальных пользователей на компьютерах, подключенных к домену

Перезагрузите компьютер, чтобы применить новые настройки групповых политик.

В некоторых старых билдах Windows 10 (от 1609 до 1903), была другая проблема с отображением всех локальных пользователей на экране приветствия Windows.

Чтобы показать список пользователей нужно в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch изменить значение параметра Enabled на 1.  Эта опция разрешает сменить текущего пользователя на экране приветствия Windows 10. Однако при каждом входе Windows меняла значение этого параметра на 0.

Чтобы исправить эту проблему, нужно было создать задание планировщика, который при каждом входе менял значение параметра на 0.

Новое задание планировщика можно создать с помощью PowerShell.

$Trigger= New-ScheduledTaskTrigger -AtLogOn
$User= "NT AUTHORITY\SYSTEM"
$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch -Name Enabled -Value 1"
Register-ScheduledTask -TaskName "UserSwitch_Enable" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force

Register-ScheduledTask - создать задание планировщика
Убедитесь, что новое задание появилось в планировщике Windows (taskschd.msc).

новое задание планировщика, которое запускается при входе пользователяПерезайдите под пользователем. Задание должно автоматически запуститься и изменить значение параметра реестра Enabled на 1. С помощью Get-ItemProperty проверьте текущее значение параметра. Как вы видите, оно равно единице:

get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch' -Name Enabled

get-ItemProperty

Вывести список доменных пользователей на экране входа в Windows

Если одним компьютером пользуется несколько пользователей, вы можете отобразить на экране приветствия список пользователей с активными сессиями. Активная сессия подразумевает, что пользователи выполнили вход на компьютер. Это может быть общий компьютера (работает в режиме переключения пользователей), кассы, киоски, Windows Server RDS хосты или его аналоги на десктопных версия Windows 11 и 10).

Проверьте, что в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options отключены политики:

  • Interactive logon: Don’t display last signed-in: Disabled
  • Interactive logon: Don’t display username at sign in: Disabled

Затем отключите политики в разделе Computer Configuration -> Administrative Templates -> System -> Logon:

  • Block user from showing account details on sign-in: Disabled
  • Do not enumerate connected users on domain-joined computer: Disabled

GPO: Do not enumerate connected users on domain-joined computer

После этого на экране приветствия будет отображаться список пользователей, которые выполнили вход в систему. Здесь будут отображаться как активные сессии, так и сессии пользователей со статусом disconnected (например по RDP таймауту). Пользователю достаточно один раз выполнить вход, а после этого просто выбрать учетную запись из списка и ввести пароль.

список локальных и доменных пользователей на экране входа в в Windows

Обратите внимание, что на доменных компьютерах настройками групповых политик могут управлять администраторы домена. Если к компьютеру не применяется один из параметров локальной GPO, проверьте, возможно она переопределена доменными GPO. Для получения результирующих настроек групповых политик используйте rsop.msc или gpresult.

Как скрыть пользователя на экране приветствия Windows?

На экране входа в Windows всегда отображаются пользователи, которые входят в одну из следующих локальных групп: Администраторы, Пользователи, Опытные пользователи, Гости.

Отключенные пользователи не отображаются на экране приветствия.

Однако вы можете скрыть определенных пользователей в списке на экране входа в систему через реестр. Для этого нужно создать ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. Для каждого пользователя, которого вы хотите скрыть нужно создать DWORD параметр с именем пользователя и значением 0.

Список локальных пользователей можно вывести в PowerShell или cmd:

Net user

Или:

Get-LocalUser | where {$_.enabled –eq $true}

powershell - вывести список локальных пользователей windows

Чтобы скрыть определенного пользователя на экране приветствия Windows 11 или 10 (например, user1), выполните команду:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v user1

скрыть пользователя или администратора на экране входа в windows 11

Если нужно опять показать пользователя на экране входа, нужно удалить это параметр реестра или изменить его значение на 1.

Если на компьютере включен аккаунт встроенного администратора Windows, и это не единственный аккаунт с правами локального администратора на компьютере (!!!), вы можете скрыть его:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v administrator

Если вы хотите скрыть всех пользователи, кроме последнего вошедшего на компьютер, настройте следующие параметры GPO в разделе Computer Configuration -> Administrative Templates -> System -> Logon:

  • Enumerate local users on domainjoined computers = Disabled (Computer Configuration -> Administrative Templates -> System -> Logon /Конфигурация компьютера -> Административные шаблоны -> Вход в систему) – политика позволяет вывести список локальных пользователей на доменных компьютерах
  • Do not enumerate connected users on domain-joined computer = Enabled

Предыдущая статья Следующая статья


Комментариев: 18 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)