Kuidas peita või kuvada kasutajakontosid Windows 10/11 sisselogimiskuval?

Vaikimisi kuvatakse Windows 10/11 ja Windows Server 2019/2016/2012R2 sisselogimisekraanil viimase arvutisse sisse loginud kasutaja konto. Saate konfigureerida selle funktsiooni erinevat käitumist: saate kuvada viimase sisselogimise kasutajanime, peita selle või isegi loetleda kõik kohalikud/logitud domeeni kasutajad oma seadme tervituskuval.

Ärge kuvage viimast kasutajanime Windowsi sisselogimiskuval

Lõppkasutajad tunnevad end mugavalt, kui Windowsi sisselogimiskuval kuvatakse viimati sisselogitud konto nimi ja seda pole vaja käsitsi sisestada. Kuid see muudab ründaja arvutile juurdepääsu lihtsamaks. Teie seadmele juurdepääsuks peab ta leidma vaid õige parooli. Selleks on erinevaid sotsiaalse manipuleerimise viise, jõhkra jõuga rünnakuid või banaalset parooliga kleepuvat paberit monitoril.

Saate GPO kaudu Windowsi sisselogimiskuval viimati logitud kasutajanime peita. Ava domeen (gpmc.msc) või kohalik rühmapoliitika redaktor (gpedit.msc) ja minge jaotisse Arvuti konfiguratsioon -> Windowsi sätted -> Turvasätted -> Kohalikud poliitikad -> Turvasuvandid. Luba poliitika "Interaktiivne sisselogimine: ärge kuvage perekonnanime”. See reegel on vaikimisi keelatud.

Samuti saate registri kaudu sisselogimisekraanilt peita viimase kasutajanime. Selleks minge registrivõtmesse HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, looge uus DWORD-parameeter nimega ära näitalastkasutajanime väärtusega 1.

Kasutajanimi kuvatakse ka arvutis, kui selle ekraan on lukustatud (vajutades Win+L või läbi lukustuskuva GPO). Saate kasutajanime arvuti lukustuskuval peita. Selleks peate GPO samas jaotises lubama poliitika "Interaktiivne sisselogimine: kuvage kasutajateave, kui seanss on lukustatudja määrake väärtus "Ärge kuvage kasutajateavet.

Registriparameeter nimega DontDisplayLockedUserId samas registrivõtmes väärtusega 3 vastab sellele reegli parameetrile.

Arvuti sisselogimisekraanil ja Windowsi lukustuskuval kuvatakse nüüd tühjad kasutajanime ja parooli väljad.

Kuva kõik kasutajad Windows 10/11 sisselogimiskuval

Vaikimisi kuvavad Windowsi kaasaegsed versioonid (testitud opsüsteemides Windows 11 21H2 ja Windows 10 21H1) sisselogimisekraani vasakus alanurgas alati lubatud kohalike kasutajate loendit. Ainult peidetud (vt allpool) või keelatud kasutajaid ei kuvata.

Arvutisse sisselogimiseks peab kasutaja lihtsalt klõpsama soovitud kasutajakontol ja määrama selle parooli. See töötab ainult arvutites, mis seda ei ole liitunud Active Directory domeeniga.

Kui arvuti sisselogimisekraanil ei kuvata kohalike kasutajate loendit, kontrollige järgmiste kohalike rühmapoliitika valikute sätteid (kasutage gpedit.msc):

• Interaktiivne sisselogimine: ärge kuvage viimast sisselogimist = Disabled (Arvuti konfiguratsioon -> Windowsi sätted -> Turvasätted -> Kohalikud poliitikad -> Turvasuvandid);
• Loendage domeeniga ühendatud arvutites olevaid kohalikke kasutajaid = Enabled (Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Sisselogimine)
• Ärge loetlege domeeniga ühendatud arvutis ühendatud kasutajaid = Disabled/Not Configured (samas GPO jaotises)

Taaskäivitage arvuti, et rakendage uusi rühmapoliitika sätteid.

Mõnes vanas Windows 10 järgus (alates 1609 kuni 1903) oli veel üks probleem kõigi kohalike kasutajate kuvamisel Windowsi tervituskuval, mis oli seotud kasutajate vahetamise režiimiga.

Kõigi kohalike kasutajakontode kuvamiseks Windowsi sisselogimiskuval peate muutma väärtust Lubatud parameeter kuni 1 järgmises registrivõtmes: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch. See suvand võimaldab teil Windowsi sisselogimiskuval praegust kasutajat vahetada. Siiski lähtestab Windows automaatselt parameetri Enabled väärtuseks 0 iga kasutaja sisselogimisel.

Selle probleemi lahendamiseks peate looma planeerija ülesande, mis muudab parameetri väärtuseks 0 iga kasutaja sisselogimisel.

Sa saad looge PowerShelliga uus plaanija ülesanne:

$Trigger= New-ScheduledTaskTrigger -AtLogOn
$User= "NT AUTHORITY\SYSTEM"
$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch -Name Enabled -Value 1"
Register-ScheduledTask -TaskName "UserSwitch_Enable" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force

Veenduge, et ülesanne oleks ilmunud Windows Task Scheduleris (taskschd.msc).

Logi välja ja seejärel uuesti sisse. Ülesanne peab käivituma automaatselt ja muutma registriparameetri Lubatud väärtuseks 1. Kontrollige parameetri praegust väärtust kasutades Get-ItemProperty. Nagu näete, on see 1:

get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch' -Name Enabled

Kuva sisselogitud domeeni kasutajad Windowsi sisselogimiskuval

Kui sama arvutit jagavad mitu domeenikasutajat, saate tervituskuval kuvada aktiivsete seanssidega kasutajate loendi. Aktiivne seanss tähendab, et kasutajad on arvutisse sisse logitud. See võib olla jagatud arvuti (kasutatakse kasutaja vahetamise režiimis), kioskid, Windows Serveri RDS-i hostid või Lubatud on Windows 11 ja 10 seadmed, millel on mitu RDP-ühendust).

Selleks kontrollige, et jaotises Arvuti konfiguratsioon -> Windowsi sätted -> Turvasätted -> Kohalikud poliitikad -> Turvasuvandid on järgmised poliitikad keelatud:

• Interaktiivne sisselogimine: ärge kuvage viimast sisselogimist: keelatud
• Interaktiivne sisselogimine: ärge kuvage sisselogimisel kasutajanime: keelatud

Seejärel keelake poliitikad jaotises Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Sisselogimine:

• Blokeeri kasutajal sisselogimisel konto üksikasju kuvamast: Keelatud
• Ärge loetlege domeeniga ühendatud arvutis ühendatud kasutajaid: Keelatud

Pärast seda kuvatakse tervituskuval sisselogitud kasutajate loend. Nii aktiivsed kui ka katkestatud olekuga kasutajate seansid (nt kasutaja RDP ajalõpp) kuvatakse siin. Kasutajal tuleb sisse logida vaid üks kord ning seejärel lihtsalt valida loendist konto ja sisestada parool.

Peida konkreetsed kasutajakontod Windows 10 ja 11 sisselogimiskuval

Windowsi tervituskuval kuvatakse alati kasutajad, kes kuuluvad ühte järgmistest kohalikest rühmadest: administraatorid, kasutajad, võimsad kasutajad, külalised.

Puudega kasutajaid ei kuvata Windowsi sisselogimiskuval.

Registri kaudu saate tervituskuval olevast loendist teatud kasutajad peita. Selleks peate kasutama HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList registrivõti. Peate looma DWORD-parameetri koos kasutajanime ja väärtusega 0 iga kasutaja jaoks, keda soovite peita.

Sa saad Loetlege PowerShelliga kohalikud kasutajanimed või cmd:

Net user

Või:

Get-LocalUser | where {$_.enabled –eq $true}

Konkreetse kasutajakonto peitmiseks Windows 11 või 10 tervituskuval (näiteks kasutaja1), käivitage käsk:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v UserName

Kui soovite peidetud kasutajat uuesti sisselogimiskuval näidata, peate selle registriparameetri kustutama või muutma selle väärtuseks 1.

Kui sisseehitatud Windowsi administraatori konto on lubatud arvutis ja see pole ainus konto, millel on arvutis kohaliku administraatori õigused (!!!), saate selle ka peita:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v administrator

Kui soovite peita kõik kasutajad peale viimati arvutisse sisseloginud kasutaja, konfigureerige järgmised GPO sätted jaotises Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Sisselogimine:

• Loetlegekohalikkasutajadpealdomeen – liitunudarvutid = Keelatud
• Ärge loetlege domeeniga ühendatud arvutis ühendatud kasutajaid = Lubatud