Inicio de sesión con reinicio automático de Winlogon (ARSO)Winlogon Automatic Restart Sign-On (ARSO)

Se aplica a: Windows Server (canal semianual), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Autor: Diego Turner, Ingeniero de soporte técnico de nivel superior con el grupo de WindowsAuthor: Justin Turner, Senior Support Escalation Engineer with the Windows group

Nota

Este contenido está escrito por un ingeniero de asistencia al cliente de Microsoft y está destinado a los arquitectos de sistemas y administradores con experiencia que están buscando explicaciones técnicas más detalladas de características y soluciones de Windows Server 2012 R2 que los temas que se suelen proporcionar en TechNet.This content is written by a Microsoft customer support engineer, and is intended for experienced administrators and systems architects who are looking for deeper technical explanations of features and solutions in Windows Server 2012 R2 than topics on TechNet usually provide. Sin embargo, no ha experimentado los mismos pasos de edición, por lo que parte del lenguaje puede parecer menos perfeccionado de lo que se encuentra normalmente en TechNet.However, it has not undergone the same editing passes, so some of the language may seem less polished than what is typically found on TechNet.

IntroducciónOverview

Windows 8 presentó aplicaciones de pantalla de bloqueo.Windows 8 introduced lock screen apps. Estas son las aplicaciones que ejecutan y muestran las notificaciones mientras la sesión del usuario está bloqueada (citas del calendario, correo electrónico y mensajes, etc.).These are the applications that run and display notifications while the user's session is locked (calendar appointments, email and messages, etc.). Los dispositivos que se reinician debido al proceso de Windows Update no pueden mostrar estas notificaciones de la pantalla de bloqueo tras el reinicio.Devices that are restarted due to the Windows Update process fail to display these lock screen notifications upon restart. Algunos usuarios dependen de estas aplicaciones de pantalla de bloqueo.Some users depend on these lock screen applications.

¿Qué es lo que ha cambiado?What's changed?

Cuando un usuario inicia sesión en un dispositivo Windows 8.1, LSA guardará las credenciales de usuario en memoria cifrada a la que solo pueda tener acceso LSASS. exe.When a user signs in on a Windows 8.1 device, LSA will save the user credentials in encrypted memory accessible only by lsass.exe. Cuando Windows Update inicia un reinicio automático sin presencia de usuario, estas credenciales se usarán para configurar el inicio de sesión automático para el usuario.When Windows Update initiates an automatic reboot without user presence, these credentials will be used to configure Autologon for the user. Windows Update que se ejecuta como sistema con privilegio TCB iniciará la llamada RPC para hacerlo.Windows Update running as system with TCB privilege will initiate the RPC call to do this.

Al reiniciar, el usuario iniciará sesión automáticamente a través del mecanismo de inicio de sesión automático y, a continuación, se bloqueará para proteger la sesión del usuario.On rebooting, the user will automatically be signed in via the Autologon mechanism and then additionally locked to protect the user's session. El bloqueo se iniciará a través de Winlogon, mientras que la administración de credenciales se realiza mediante LSA.The locking will be initiated via Winlogon whereas the credential management is done by LSA. Al iniciar sesión automáticamente y bloquear el usuario en la consola, las aplicaciones de la pantalla de bloqueo del usuario se reiniciarán y estarán disponibles.By automatically signing on and locking the user on the console, the user's lock screen applications will be restarted and available.

Nota

Después de un reinicio inducido por Windows Update, el último usuario interactivo inicia sesión automáticamente y se bloquea la sesión, por lo que se pueden ejecutar las aplicaciones de la pantalla de bloqueo del usuario.After a Windows Update induced reboot, the last interactive user is automatically signed on and the session is locked so the user's lock screen apps can run.

Captura de pantalla que muestra la pantalla de bloqueo

Captura de pantalla que muestra las aplicaciones de pantalla de bloqueo

Información general rápidaQuick Overview

  • Windows Update requiere reiniciarWindows Update requires restart

  • ¿El equipo puede reiniciarse (no se ejecutan aplicaciones que podrían perder datos)?Is computer able to restart (no apps running that would lose data)?

    • Reiniciar para ustedRestart for you

    • Volver a iniciar sesiónLog back in

    • Bloquear equipoLock machine

  • Habilitada o deshabilitada por directiva de grupoEnabled or disabled by Group Policy

    • Deshabilitado de forma predeterminada en las SKU de servidorDisabled by default in server SKUs
  • ¿Por qué?Why?

    • Algunas actualizaciones no pueden finalizar hasta que el usuario vuelva a iniciar sesión.Some updates cannot finish until the user logs back in.

    • Mejor experiencia de usuario: no tiene que esperar 15 minutos a que finalice la instalación de las actualizacionesBetter user experience: don't have to wait 15 minutes for updates to finish installing

  • Qué?How? AutoLogonAutoLogon

    • almacena la contraseña, usa esa credencial para iniciar sesión.stores password, uses that credential to log you in

    • guarda la credencial como secreto de LSA en la memoria paginadasaves credential as an LSA secret in paged memory

    • Solo se puede habilitar si BitLocker está habilitadoCan only be enabled if BitLocker is enabled

Directiva de grupo: iniciar sesión último usuario interactivo automáticamente después de un reinicio Iniciado por el sistemaGroup Policy: Sign-in last interactive user automatically after a system-initiated restart

En Windows 8.1/Windows Server 2012 R2, el inicio de sesión automático del usuario de la pantalla de bloqueo después de un reinicio de Windows Update es participar en las SKU de servidor y no participar en las SKU de cliente.In Windows 8.1 / Windows Server 2012 R2, autologon of the lock screen user after a Windows Update restart is opt in for Server SKUs and opt out for Client SKUs.

Ubicación de la Directiva: Configuración del equipo > directivas > Plantillas administrativas > componentes de Windows > opción de inicio de sesión de WindowsPolicy location: Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Logon Option

Nombre de la Directiva: Iniciar sesión último usuario interactivo automáticamente después de un reinicio Iniciado por el sistemaPolicy Name: Sign-in last interactive user automatically after a system-initiated restart

Compatible con: Al menos Windows Server 2012 R2, Windows 8.1 o Windows RT 8,1Supported on: At least Windows Server 2012 R2, Windows 8.1 or Windows RT 8.1

Descripción/ayuda:Description/Help:

Esta configuración de directiva controla si un dispositivo iniciará sesión automáticamente en el último usuario interactivo después de que Windows Update reinicie el sistema.This policy setting controls whether a device will automatically sign-in the last interactive user after Windows Update restarts the system.

Si habilita o no establece esta configuración de Directiva, el dispositivo guarda de forma segura las credenciales del usuario (incluido el nombre de usuario, el dominio y la contraseña cifrada) para configurar el inicio de sesión automático después de un reinicio de Windows Update.If you enable or do not configure this policy setting, the device securely saves the user's credentials (including the user name, domain, and encrypted password) to configure automatic sign-in after a Windows Update restart. Después del reinicio de Windows Update, el usuario inicia sesión automáticamente y la sesión se bloquea automáticamente con todas las aplicaciones de la pantalla de bloqueo configuradas para ese usuario.After the Windows Update restart, the user is automatically signed-in and the session is automatically locked with all the lock screen apps configured for that user.

Si deshabilita esta configuración de Directiva, el dispositivo no almacena las credenciales del usuario para el inicio de sesión automático después de un reinicio de Windows Update.If you disable this policy setting, the device does not store the user's credentials for automatic sign-in after a Windows Update restart. Las aplicaciones de la pantalla de bloqueo de los usuarios no se reinician después de reiniciar el sistema.The users' lock screen apps are not restarted after the system restarts.

Editor del registroRegistry Editor

Nombre del valorValue Name TipoType dataData
DisableAutomaticRestartSignOnDisableAutomaticRestartSignOn DWORDDWORD 00

Ejemplo:Example:

0 (habilitado)0 (Enabled)

1 (deshabilitado)1 (Disabled)

Ubicación del registro de directivas: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemPolicy Registry Location: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Tipo: DWORDType: DWORD

Nombre del registro: DisableAutomaticRestartSignOnRegistry Name: DisableAutomaticRestartSignOn

Valor: 0 o 1Value: 0 or 1

0 = habilitado0 = Enabled

1 = deshabilitado1 = Disabled

Captura de pantalla que muestra la configuración de la Directiva interfaz de usuario, donde puede especificar si un dispositivo iniciará sesión automáticamente en el último usuario interactivo después de que Windows Update reinicie el sistema.

Solución de problemasTroubleshooting

Cuando WinLogon se bloquea automáticamente, el seguimiento de estado de WinLogon se almacenará en el registro de eventos de WinLogon.When WinLogon automatically locks, WinLogon's state trace will be stored in the WinLogon event log.

Se registra el estado de un intento de configuración de inicio de sesión automáticoThe status of an Autologon configuration attempt is logged

  • Si se realiza correctamenteIf it is successful

    • lo registra como talrecords it as such
  • Si es un error:If it is a failure:

    • registra el errorrecords what the failure was
  • Cuando cambia el estado de BitLocker:When BitLocker's state changes:

    • se registrará la eliminación de credencialesthe removal of credentials will be logged

      • Estos se almacenarán en el registro operativo de LSA.These will be stored in the LSA Operational log.

Motivos por los que se podría producir un error de inicio de sesión automáticoReasons why autologon might fail

Hay varios casos en los que no se puede lograr un inicio de sesión automático de usuario.There are several cases in which a user automatic login cannot be achieved. Esta sección está pensada para capturar los escenarios conocidos en los que esto puede ocurrir.This section is intended to capture the known scenarios in which this can occur.

El usuario debe cambiar la contraseña en el siguiente inicio de sesiónUser Must Change Password at Next Login

El inicio de sesión de usuario puede entrar en un estado bloqueado cuando se requiere un cambio de contraseña en el siguiente inicio de sesión.User login can enter a blocked state when password change at next login is required. Esto puede detectarse antes de reiniciarse en la mayoría de los casos, pero no en todos (por ejemplo, se puede tener acceso a la expiración de contraseña entre el apagado y el siguiente inicio de sesión).This can be detected prior to restart in most cases, but not all (for example, password expiry can be reached between shutdown and next login.

Cuenta de usuario deshabilitadaUser Account Disabled

Se puede mantener una sesión de usuario existente incluso si está deshabilitada.An existing user session can be maintained even if disabled. El reinicio de una cuenta que está deshabilitada se puede detectar localmente en la mayoría de los casos, en función de la Directiva de equipo, puede que no sea para las cuentas de dominio (algunos escenarios de inicio de sesión en caché de dominio funcionan aunque la cuenta esté deshabilitada en el controlador de dominio).Restart for an account that is disabled can be detected locally in most cases in advance, depending on gp it may not be for domain accounts (some domain cached login scenarios work even if account is disabled on DC).

Horas de inicio de sesión y controles parentalesLogon Hours and Parental Controls

Las horas de inicio de sesión y los controles parentales pueden prohibir la creación de una nueva sesión de usuario.The Logon Hours and parental controls can prohibit a new user session from being created. Si se produjera un reinicio durante esta ventana, el usuario no tendría permiso para iniciar sesión.If a restart were to occur during this window, the user would not be permitted to login. Existe una directiva adicional que provoca el bloqueo o cierre de sesión como una acción de cumplimiento.There is additional policy that causes lock or logout as a compliance action. Esto podría ser problemático para muchos casos secundarios en los que puede producirse un bloqueo de cuenta entre el tiempo de cama y la reactivación, especialmente si la ventana de mantenimiento es normalmente durante este tiempo.This could be problematic for many child cases where account lockdown may occur between bed time and wake-up, particularly if the maintenance window is commonly during this time.

Recursos adicionalesAdditional Resources

Tabla SEQ \* árabe 3: ARSO GlosarioTable SEQ Table \* ARABIC 3: ARSO Glossary

TérminoTerm DefiniciónDefinition
AutologonAutologon El inicio de sesión automático es una característica que está presente en Windows para varias versiones.Autologon is a feature that has been present in Windows for several releases. Se trata de una característica documentada de Windows que incluso tiene herramientas como el inicio de sesión automático para Windows v 3.01 http:/technet. Microsoft. com/Sysinternals/bb963905. aspx.It is a documented feature of Windows that even has tools such as Autologon for Windows v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx

Permite a un solo usuario del dispositivo iniciar sesión automáticamente sin escribir credenciales.It allows a single user of the device to sign in automatically without entering credentials. Las credenciales se configuran y almacenan en el registro como secreto de LSA cifrado.The credentials are configured and stored in registry as an encrypted LSA secret.