В Windows 11, кроме традиционного входа по паролю, возможен вход по PIN коду, графическому ключу, смарт-карте, по биометрии (через Windows Hello), и ряд других способ аутентификации, в том числе которые могут быть внедрены сторонними credential provider. Причем какой-то из способов входа не назначен по умолчанию для всех аккаунтов. Подразумевается, что в качестве предпочтительного метода входа для пользователя будет использоваться последний используемый им метод. Например, если последний раз пользователь вошел в Windows по ПИН коду, этот методу будет предложен ему по-умолчанию на экране входа в Windows. В этой статье мы рассмотрим, какие способы входа предлагаются в Windows, как переключиться между ними и выбрать предпочтительный для пользователей тип входа, и что делать если нужно запретить пользователям использовать некоторые способы входа или, наоборот, определенные способы входа в Windows не доступны на экране входа в систему.

Список способов входа в систему, доступных пользователям определяется зарегистрированными в Windows поставщиками учетных данных (credential provider). Их список хранится в ветке реестра
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
. Вместо имен провайдеров аутентификации в реестре указаны только их CLSID. В следующей таблице перечислены наиболее часто используемые credential provider в Windows:
| Имя поставщика учетных данных (credential provider) | Class ID (CLSID) |
| PasswordProvider – классический вход пользователя в Windows по паролю. |
{60B78E88-EAD8-445C-9CFD-0B87F74EA6CD}
|
| PINLogonProvider — обычный PIN-код (для замены классического пароля на локальных компьютерах) |
{CB82EA12-9F71-446D-89E1-8D0924E1256E}
|
| NGC Credential Provider – вход по PIN коду через Windows Hello |
{D6886603-9D2F-4EB2-B667-1971041FA96B}
|
| WinBio Credential Provider — вход по отпечатку пальца через Windows Hello Fingerprint |
{BEC09223-B018-416D-A0AC-523971B639F5}
|
| FaceCredentialProvider — Windows Hello Face (биометрический вход через распознавание лица) |
{8AF662BF-65A0-4D0A-A540-A338A999D36F}
|
| PicturePasswordLogonProvider – вход по графическому паролю |
{2135F72A-90B5-4ED3-A7F1-8BB705AC276A}
|
| WLIDCredentialProvider — Microsoft Account Provider (Windows Live ID Credential Provider) – обеспечивает аутентификацию с помощью учетной записи Microsoft (MSA) |
{F8A0B131-5F68-486C-8040-7E8FC3C85BB6}
|
Если какой-то тип входа отключен, в ветке credential provider будет присутствовать REG_DWORD параметр Disabled со значением 1. Проверьте этот параметр, если нужный вам способ входа не работает.

С помощью групповой политики администратор может назначить тип аутентификации, который должен быть предложен по умолчанию для новых пользователей Windows.
- Для этого откройте редактор групповой политики (
gpedit.msc) - Перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Logon
- В параметре Assign a default credential provider нужно указать CLSID поставщика учетных данных, который должен использоваться по-умолчанию
- Например, включить вход в Windows по умолчанию по паролю, включите этот параметр GPO и укажите здесь ID:
{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}
- Перезагрузите компьютер чтобы применить настройки политики.
Такая политика установит метод входа по умолчанию для новых пользователей. При этом пользователи Windows в разделе Параметры -> Учетные записи -> Варианты входа или прямо на экране входа все еще могут настроить или переключиться на другие доступные методы входа (например, на пароль вместо PIN).

Чтобы запретить пользователям использовать определенные методы входа, нужно добавить CLSID запрещенных методов аутентификации (через запятую) в параметр Exclude credential providers в этом же разделе GPO.
Например, чтобы запретить использовать вход по PIN для учетных записей MSA, нужно включить политику и указать здесь значение
{D6886603-9D2F-4EB2-B667-1971041FA96B}

Настройте такую политику, если вы хотите запретить пользователям использовать определенные способы входа. Укажите CLSID запрещенных способ входа через запятую.
Windows сохраняет в реестр способ входа, который использовал последний вошедший в Windows пользователь в значении LastLoggedOnProvider в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
. Здесь же отображается имя пользователя LastLoggedOnDisplayName, имя учетной записи LastLoggedOnDisplayName и его SID). В нашем случае здесь указано
{D6886603-9D2F-4EB2-B667-1971041FA96B}
, что указывает, что данный пользователь последний раз входил в систему по PIN.

В ветке реестра
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserTile
хранятся предпочитаемые способы входа других пользователей, которые ранее логинились на этом компьютере. Вместо имен пользователей здесь указаны их SID, поэтому если вы хотите преобразовать SID в имя пользователя, выполните следующую PowerShell команду, которая выведет локальных профилей пользователей:
Get-CimInstance -ClassName Win32_UserAccount | Select-Object name,sid

По значению этого параметра реестра можно определить какой тип входа в Windows использует конкретный пользователь. Можно вручную отредактировать значение параметра для нужного SID пользователя, чтобы назначить ему предпочтительный способ входа (пользователь при следующем входе может переопределить его).


