После входа в Windows 10/11 на компьютере, который добавлен в домен Active Directory или Azure AD, пользователь может увидеть всплывающее сообщение в нижнем правом углу:
Операционной системе требуются ваши учетные данные. Заблокируйте компьютер и разблокируйте его, используя последний пароль или смарт карту.
Windows needs your current credentials. Please lock this computer, then unlock it using your most recent password or smart card.
Если заблокировать экран компьютера (Win+L) и ввести пароль/PIN от вашего аккаунта, сообщение опять появляется через некоторое время.
Если проблема возникает при входе на компьютер с помощью учетной записи Microsoft (или Azure AD) с настроенным PIN (через Windows Hello), скорее всего причина в том, что ваш текущий PIN создан с помощью вашего предыдущего пароля. Попробуйте пересоздать PIN для вашего аккаунта.
- Перейдите в раздел Settings -> Accounts -> You info (команда быстрого доступа
ms-settings:yourinfo
) и нажмите на кнопку Verify;Опция доступа если вы вошли с учетной записью Microsoft. Если нет, здесь нужно нажать кнопку “Sign in with a Microsoft Account instead”. - Выполните повторную верификацию и перезагрузите компьютер. После это Windows должна перестать требовать от вас учетные данные.
Если вы вошли на компьютер с учетной запись Azure, а на устройстве есть подключенные сетевые диски с помощью учетной записи локальной Active Directory, Windows может требовать выполнить проверку учетных данных AD. В этом случае нужно удалить все подключенные сетевые диски с помощью команды:
net use * /delete
Также рекомендует очистить сохраненные учетные данные в диспетчере паролей Windows. Выполните команду
rundll32.exe keymgr.dll, KRShowKeyMgr
и удалите все записи.
На компьютере в домене Active Directory можно отключить требовать повторный ввод учетных данных (не путать с автоматическим входом в Windows) с помощью параметра GPO.
- Вы можете использовать локальный редактор GPO на компьютере (
gpedit.msc
) или редактор доменных GPO (gpmc.msc
); - Перейдите в раздел Computer Configuration -> Administrative Templets -> System -> Logon и найдите параметр “Always wait for the network at computer startup and logon”;
- Измените параметр политики на Disable и сохраните изменения.
- Перезагрузите компьютер чтобы применить настройки групповой политики.
$null = Set-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name 'SyncForegroundPolicy' -Value 0 -Type 'DWord'
Также проверьте в настройках учетной записи в AD, что для пользователя не настроено ограничение на часы входа (Logon Hours).
На компьютерах в домене Active Directory уведомление о необходимости повторно ввести учетные данные возникает, когда срок действия билета Kerberos истек. Вы можете вывести информацию о билетах Kerberos пользователя с помощью команды:
klist
Введите пароль чтобы обновить ваш билет Kerberos. В данном случае после блокировки экрана и повторного ввода пароля, ваш билет Kerbero будет обновлен и повторный запрос учетных данных не будет появляться. Вы можете убедиться, что проблема связана с Kerberos, если с помощью редактора атрибутов AD включите в настройках учетной записи пользователя (атрибут userAccountControl) параметр “Do not require Kerberos Preauthentication”. После этого Windows престанет повторно требовать ваши учетные данные (не рекомендуется оставлять этот параметр включенным по соображениям безопасности).
Если в вашей сети используется гибридная аутентификация (AAD и AD), или вы выполняете миграцию в облако, то чтобы избавиться от надоедливого запроса учетных данных на компьютерах в AAD, нужно сменить настройки DNS на компьютерах на внешние DNS сервера вместо локальных DNS серверов Active Directory.