Winlogon 自动重启登录 (ARSO)

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

作者:Justin Turner,Windows 组的高级支持升级工程师

注意

本内容由 Microsoft 客户支持工程师编写,适用于正在查找比 TechNet 主题通常提供的内容更深入的有关 Windows Server 2012 R2 中的功能和解决方案的技术说明的有经验管理员和系统架构师。 但是,它未经过相同的编辑审批,因此某些语言可能看起来不如通常在 TechNet 上找到的内容那么精练。

概述

Windows 8 引入了锁屏界面应用。 这些是在用户的会话被锁定时运行和显示通知的应用程序(日历约会、电子邮件和消息等)。 由于 Windows 更新进程而重启的设备在重启时无法显示这些锁屏界面通知。 某些用户依赖于这些锁屏界面应用程序。

有何变化?

当用户在 Windows 8.1 设备上登录时,LSA 会将用户凭据保存在只有 lsass.exe 可访问的加密的内存中。 当 Windows 更新在没有用户存在的情况下发起自动重启时,这些凭据将用于为用户配置自动登录。 以拥有 TCB 特权的系统方式运行的 Windows 更新将发起 RPC 调用来执行此操作。

重新启动后,用户将通过自动登录机制自动登录,然后另外被锁定以保护用户的会话。 锁定将通过 Winlogon 发起,而凭据管理由 LSA 负责。 通过在控制台上自动登录并锁定用户,用户的锁屏界面应用程序将重启并可用。

注意

Windows 更新引发重启后,上次的交互用户将自动登录,会话会被锁定,使用户的锁屏界面应用可以运行。

Screenshot showing the lock screen

Screenshot showing the lock screen apps

快速概览

  • Windows 更新需要重启

  • 计算机能否重启(没有运行会丢失数据的应用)

    • 为你重启

    • 重新登录

    • 锁定计算机

  • 由组策略启用或禁用

    • 在服务器 SKU 中默认禁用

  • 为什么?

    • 在用户重新登录之前,某些更新无法完成。

    • 更好的用户体验:无需等待 15 分钟即可完成安装更新

  • 如何操作? AutoLogon

    • 存储密码,使用该凭据让你登录

    • 将凭据作为 LSA 机密保存在分页内存中

    • 仅当启用 BitLocker 时才能启用

组策略:在系统初始化的重新启动之后自动登录上次的交互用户

在 Windows 8.1/Windows Server 2012 R2 中,对于服务器 SKU,Windows 更新重启后锁屏用户的自动登录会选择加入,对于客户端 SKU,会选择退出。

策略位置:“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“Windows 登录选项”

策略名称:在系统初始化的重新启动之后自动登录上次的交互用户

支持的操作系统:至少 Windows Server 2012 R2、Windows 8.1 或 Windows RT 8.1

说明/帮助:

此策略设置控制在 Windows 更新重启系统之后设备是否将自动登录上次的交互用户。

如果启用或未配置此策略设置,设备将安全地保存用户的凭据(包括用户名、域和加密密码),以便在 Windows 更新重启后配置自动登录。 在 Windows 更新重启后,用户将自动登录,并使用为该用户配置的所有锁屏界面应用自动锁定会话。

如果禁用此策略设置,则在 Windows 更新重启后,设备不会存储用户的凭据以进行自动登录。 用户的锁屏界面应用不会在系统重启后重启。

注册表编辑器

值名称 类型 数据
DisableAutomaticRestartSignOn DWORD 0

示例:

0(已启用)

1(已禁用)

策略注册表位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

类型:DWORD

注册表名称:DisableAutomaticRestartSignOn

值:0 或 1

0 = 已启用

1 = 已禁用

Screenshot showing policy setting controls UI where you can specify whether a device will automatically sign-in the last interactive user after Windows Update restarts the system

疑难解答

当 WinLogon 自动锁定时,WinLogon 的状态跟踪将存储在 WinLogon 事件日志中。

记录自动登录配置尝试的状态

  • 如果成功

    • 如下所示记录状态

  • 如果失败:

    • 记录具体的失败情形

  • 当 BitLocker 的状态发生更改时:

    • 将记录凭据删除事件

      • 这些内容将存储在 LSA 运行日志中。

自动登录失败的原因

有多种情况会导致无法实现用户自动登录。 本部分旨在汇总可能发生这种情况的已知场景。

用户在下次登录时必须更改密码

如果需要在下次登录时更改密码,则用户登录可以进入阻止状态。 在大多数情况下,此状态可以在重启之前检测到,但并非总能检测到(例如,在关机之后、下一次登录之前,密码可能已过期)。

用户帐户已禁用

即使禁用了用户帐户,也可以保留现有的用户会话。 在大多数情况下,可以提前在本地检测到禁用了帐户的重启,但根据组策略,这一点可能不适用于域帐户(即使在 DC 上禁用了帐户,某些域缓存登录方案也能正常工作)。

登录小时数和家长控制

登录小时数和家长控制可以禁止创建新的用户会话。 如果在此时限内发生重启,则不允许用户登录。 还有一些其他策略会导致作为合规性操作锁定或注销。 在许多儿童看护案例中,这可能会造成问题,因为在就寝时间可能发生帐户锁定,尤其是维护工作通常就发生在这段时间。

其他资源

表 SEQ 表\* ARABIC 3:ARSO 术语表

术语 定义
Autologon 自动登录功能已在多个版本的 Windows 中提供。 它是一项有文档说明的 Windows 功能,甚至还有相关的工具,例如适用于 Windows 的自动登录 v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx

单个设备用户可以使用此功能自动登录,而无需输入凭据。 凭据在经配置后作为加密的 LSA 机密存储在注册表中。