Операционной системе Windows требуются ваши учетные данные

После входа в Windows 10/11 на компьютере, который добавлен в домен Active Directory или Azure AD, пользователь может увидеть всплывающее сообщение в нижнем правом углу:

Операционной системе требуются ваши учетные данные. 
Заблокируйте компьютер и разблокируйте его, используя последний пароль или смарт карту.
Windows needs your current credentials.
Please lock this computer, then unlock it using your most recent password or smart card.

Операционной системе требуются ваши учетные данные

Если заблокировать экран компьютера (Win+L) и ввести пароль/PIN от вашего аккаунта, сообщение опять появляется через некоторое время.

В некоторых случаях при блокировке экрана компьютера и вводе пароля, вы можете обнаружить что ваша учётная запись AD заблокирована.

Если проблема возникает при входе на компьютер с помощью учетной записи Microsoft (или Azure AD) с настроенным PIN (через Windows Hello), скорее всего причина в том, что ваш текущий PIN создан с помощью вашего предыдущего пароля. Попробуйте пересоздать PIN для вашего аккаунта.

  1. Перейдите в раздел Settings -> Accounts -> You info (команда быстрого доступа ms-settings:yourinfo ) и нажмите на кнопку Verify;
    Опция доступа если вы вошли с учетной записью Microsoft. Если нет, здесь нужно нажать кнопку “Sign in with a Microsoft Account instead”.
    сменить PIN и верифицировать аккаунт microsoft в windows
  2. Выполните повторную верификацию и перезагрузите компьютер. После это Windows должна перестать требовать от вас учетные данные.

Если вы вошли на компьютер с учетной запись Azure, а на устройстве есть подключенные сетевые диски с помощью учетной записи локальной Active Directory, Windows может требовать выполнить проверку учетных данных AD. В этом случае нужно удалить все подключенные сетевые диски с помощью команды:

net use * /delete

Также рекомендует очистить сохраненные учетные данные в диспетчере паролей Windows. Выполните команду rundll32.exe keymgr.dll, KRShowKeyMgr и удалите все записи.

очистка сохраненных паролей в Windows Credential Manager

На компьютере в домене Active Directory можно отключить требовать повторный ввод учетных данных (не путать с автоматическим входом в Windows) с помощью параметра GPO.

  1. Вы можете использовать локальный редактор GPO на компьютере ( gpedit.msc ) или редактор доменных GPO ( gpmc.msc );
  2. Перейдите в раздел Computer Configuration -> Administrative Templets -> System -> Logon и найдите параметр “Always wait for the network at computer startup and logon”;
  3. Измените параметр политики на Disable и сохраните изменения. параметр GPO - не ждать загрузки сети при входе
  4. Перезагрузите компьютер чтобы применить настройки групповой политики.
Можно настроить этот параметр реестра с помощью PowerShell: $null = Set-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name 'SyncForegroundPolicy' -Value 0 -Type 'DWord'

Также проверьте в настройках учетной записи в AD, что для пользователя не настроено ограничение на часы входа (Logon Hours).

На компьютерах в домене Active Directory уведомление о необходимости повторно ввести учетные данные возникает, когда срок действия билета Kerberos истек. Вы можете вывести информацию о билетах Kerberos пользователя с помощью команды:

klist

Команду klist можно использовать для обновления билета Kerberos и членства в группах AD без перезагрузки.

Введите пароль чтобы обновить ваш билет Kerberos. В данном случае после блокировки экрана и повторного ввода пароля, ваш билет Kerbero будет обновлен и повторный запрос учетных данных не будет появляться. Вы можете убедиться, что проблема связана с Kerberos, если с помощью редактора атрибутов AD включите в настройках учетной записи пользователя (атрибут userAccountControl) параметр “Do not require Kerberos Preauthentication”. После этого Windows престанет повторно требовать ваши учетные данные (не рекомендуется оставлять этот параметр включенным по соображениям безопасности).

требовать предварительную аутентфикацию kerberos в active directory

Если в вашей сети используется гибридная аутентификация (AAD и AD), или вы выполняете миграцию в облако, то чтобы избавиться от надоедливого запроса учетных данных на компьютерах в AAD, нужно сменить настройки DNS на компьютерах на внешние DNS сервера вместо локальных DNS серверов Active Directory.

 


Предыдущая статья Следующая статья


Комментариев: 2 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)