Accesso automatico al riavvio Winlogon

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Autore: Justin Turner, Senior Support Escalation Engineer del gruppo Windows

Nota

Questo contenuto è stato redatto da un ingegnere del Supporto tecnico Microsoft ed è destinato ad amministratori esperti e architetti di sistemi che desiderano una spiegazione tecnica delle funzionalità e delle soluzioni relative a Windows Server 2012 R2 più approfondita rispetto agli argomenti solitamente disponibili su TechNet. Non è stato tuttavia sottoposto agli stessi passaggi redazionali e, di conseguenza, per alcune lingue potrebbe essere meno accurato della documentazione che si trova in genere su TechNet.

Panoramica

Windows 8 ha introdotto le app della schermata di blocco. Si tratta delle applicazioni che eseguono e visualizzano notifiche mentre la sessione dell'utente è bloccata (appuntamenti del calendario, posta elettronica e messaggi e così via). I dispositivi riavviati a causa del processo di Windows Update non riescono a visualizzare queste notifiche della schermata di blocco al riavvio. Alcuni utenti dipendono da queste applicazioni della schermata di blocco.

Che cosa è cambiato?

Quando un utente accede a un dispositivo Windows 8.1, LSA salva le credenziali utente in memoria crittografata accessibili solo da lsass.exe. Quando Windows Update avvia un riavvio automatico senza presenza dell'utente, queste credenziali vengono usate per configurare l'accesso automatico per l'utente. Windows Update in esecuzione come sistema con privilegi TCB avvierà la chiamata RPC per eseguire questa operazione.

Al riavvio, l'utente verrà eseguito automaticamente l'accesso tramite il meccanismo di accesso automatico e quindi bloccato per proteggere la sessione dell'utente. Il blocco viene avviato tramite Winlogon, mentre la gestione delle credenziali viene eseguita da LSA. Accedendo e bloccando automaticamente l'utente nella console, le applicazioni della schermata di blocco dell'utente vengono riavviate e disponibili.

Nota

Dopo un riavvio indotto da Windows Update, l'ultimo utente interattivo viene automaticamente connesso e la sessione viene bloccata in modo che le app della schermata di blocco dell'utente possano essere eseguite.

Screenshot showing the lock screen

Screenshot showing the lock screen apps

Panoramica rapida

  • Windows Update richiede il riavvio

  • Il computer è in grado di riavviare (nessuna app in esecuzione che perderebbe i dati)?

    • Riavvio automatico

    • Accedere di nuovo

    • Computer di blocco

  • Abilitato o disabilitato dai Criteri di gruppo

    • Disabilitato per impostazione predefinita negli SKU del server

  • Perché?

    • Alcuni aggiornamenti non possono terminare fino a quando l'utente non esegue nuovamente l'accesso.

    • Esperienza utente migliore: non è necessario attendere 15 minuti per completare l'installazione degli aggiornamenti

  • Come? AutoLogon

    • archivia la password, usa tale credenziale per accedere

    • salva le credenziali come segreto LSA nella memoria di paging

    • Può essere abilitato solo se BitLocker è abilitato

Criteri di gruppo: accesso automatico dell'ultimo utente interattivo dopo un riavvio avviato dal sistema

In Windows 8.1/Windows Server 2012 R2, l'accesso automatico dell'utente della schermata di blocco dopo un riavvio di Windows Update è consenso esplicito per GLI SKU del server e rifiutare esplicitamente gli SKU client.

Posizione criteri: Configurazione computer > Criteri > Modelli amministrativi> Componenti Windows > Opzioni di accesso Windows

Nome criteri: accesso automatico dell'ultimo utente interattivo dopo un riavvio avviato dal sistema

Supportato in: almeno Windows Server 2012 R2, Windows 8.1 o Windows RT 8.1

Descrizione/Guida:

Questa impostazione dei criteri controlla se un dispositivo accederà automaticamente all'ultimo utente interattivo dopo il riavvio del sistema da parte di Windows Update.

Se si abilita o non si configura questa impostazione di criterio, il dispositivo salva in modo sicuro le credenziali dell'utente (incluso il nome utente, il dominio e la password crittografata) per configurare l'accesso automatico dopo un riavvio di Windows Update. Dopo il riavvio di Windows Update, l'utente viene eseguito automaticamente l'accesso e la sessione viene bloccata automaticamente con tutte le app della schermata di blocco configurate per l'utente.

Se disabiliti questa impostazione di criterio, il dispositivo non archivia le credenziali dell'utente per l'accesso automatico dopo un riavvio di Windows Update. Le app della schermata di blocco dell'utente non vengono riavviate dopo il riavvio del sistema.

Editor del Registro di sistema

Nome valore Tipo Dati
DisableAutomaticRestartSignOn DWORD 0

Esempio:

0 (Abilitato)

1 (Disabilitato)

Posizione registro criteri: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Tipo: DWORD

Nome registro: DisableAutomaticRestartSignOn

Valore: 0 o 1

0=Abilitato

1=Disabilitato

Screenshot showing policy setting controls UI where you can specify whether a device will automatically sign-in the last interactive user after Windows Update restarts the system

Risoluzione dei problemi

Quando WinLogon si blocca automaticamente, la traccia dello stato di WinLogon verrà archiviata nel registro eventi di WinLogon.

Lo stato di un tentativo di configurazione di accesso automatico viene registrato

  • Se ha successo

    • registra come tale

  • Se è un errore:

    • registra l'errore

  • Quando lo stato di BitLocker cambia:

    • la rimozione delle credenziali verrà registrata

      • Questi verranno archiviati nel registro operativo LSA.

Motivi per cui l'accesso automatico potrebbe non riuscire

Esistono diversi casi in cui non è possibile ottenere un account di accesso automatico dell'utente. Questa sezione è progettata per acquisire gli scenari noti in cui può verificarsi questa situazione.

L'utente deve modificare la password al prossimo accesso

L'account di accesso utente può immettere uno stato bloccato quando è necessaria la modifica della password al successivo accesso. Questa operazione può essere rilevata prima del riavvio nella maggior parte dei casi, ma non in tutti, ad esempio, la scadenza della password può essere raggiunta tra l'arresto e l'account di accesso successivo.

Account utente disabilitato

Una sessione utente esistente può essere mantenuta anche se disabilitata. Il riavvio per un account disabilitato può essere rilevato localmente nella maggior parte dei casi in anticipo, a seconda di Gp potrebbe non essere rilevato per gli account di dominio (alcuni scenari di accesso memorizzati nella cache del dominio funzionano anche se l'account è disabilitato nel controller di dominio).

Ore di accesso e controlli genitori

Le ore di accesso e i controlli genitori possono impedire la creazione di una nuova sessione utente. Se si verificasse un riavvio durante questo intervallo, l'utente non potrà accedere. Esiste un criterio aggiuntivo che causa il blocco o la disconnessione come azione di conformità. Questo potrebbe essere problematico per molti casi figlio in cui il blocco dell'account può verificarsi tra il tempo a letto e la riattivazione, in particolare se la finestra di manutenzione è comunemente durante questo periodo.

Risorse aggiuntive

Tabella SEQ Tabella \* ARABO 3: Glossario ARSO

Termine Definizione
Autologon L'accesso automatico è una funzionalità presente in Windows per diverse versioni. È una funzionalità documentata di Windows che include anche strumenti come l'accesso automatico per Windows v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx

Consente a un singolo utente del dispositivo di accedere automaticamente senza immettere le credenziali. Le credenziali vengono configurate e archiviate nel Registro di sistema come segreto LSA crittografato.