Winlogon 自動重新啟動登入 (ARSO)

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

作者:Windows 群組資深支援呈核工程師 Justin Turner

注意

本內容由 Microsoft 客戶支援工程師編寫,適用對象為經驗豐富的系統管理員和系統架構​​師,如果 TechNet 提供的主題已無法滿足您,您要找的是 Windows Server 2012 R2 中功能和解決方案的更深入技術講解,則您是本文的適用對象。 不過,本文未經過相同的編輯階段,因此部分語句也許不如 TechNet 文章那樣洗鍊。

概觀

Windows 8 引進畫面鎖定應用程式。 這些是使用者工作階段被鎖住時執行和顯示通知的應用程式 (行事曆約會、電子郵件和訊息等)。 因 Windows Update 過程在重新啟動時無法顯示這些鎖定螢幕畫面通知,而重新啟動的裝置。 有些使用者依賴這些鎖定畫面應用程式。

什麼改變了?

當使用者在 Windows 8.1 裝置上登入時,LSA 會將使用者認證儲存在加密的記憶體中,只能由 lsass.exe 存取。 當 Windows Update 在使用者不在情況下自動重新啟動時,這些憑證將用來為使用者配置 Autologon。 以 TCB 專屬權限如系統般執行時,Windows Update 將開始呼叫 RPC 做這件事。

重新啟動方面,使用者會自動透過 Autologon 機制登入,然後另外鎖定以保護使用者的工作階段。 鎖定動作將透過 Winlogon 開始,而憑證管理則由 LSA 完成。 藉由在主控台上自動登入和鎖定使用者,使用者的鎖定畫面應用程式將重新啟動並開放使用。

注意

在 Windows Update 引發重新啟動後,最後一個互動的使用者會自動登入,且工作階段將被鎖定,方便使用者的鎖定螢幕畫面應用用程式執行。

Screenshot showing the lock screen

Screenshot showing the lock screen apps

快速概觀

  • Windows Update 需要重新啟動

  • 電腦可以重新啟動 (沒有執行會遺失資料的應用程式)?

    • 為您重新啟動

    • 重新登入

    • 鎖定機器

  • 群組政策啟用或停用

    • 預設在伺服器 SKU 停用

  • 為什麼?

    • 使用者須重新登入才能完成某些更新動作。

    • 更好的使用者體驗:更新完成安裝不必等候 15 分鐘

  • 怎麼做? Autologon

    • 儲存密碼,使用該憑證讓您登入

    • 將憑證儲存為分頁記憶體的 LSA 秘密

    • 只有在已啟用 BitLocker 時才能啟用

群組政策:在系統初始化的重新啟動後,最後一個互動的使用者自動登入

在 Windows 8.1 / Windows Server 2012 R2,鎖定螢幕畫面使用者的 Autologon 在 Windows Update 重新啟動後會選擇加入伺服器 SKU 和退出客戶端 SKU。

政策位置:電腦配置>政策>管理範本 >Windows 組成元件 >Windows Logon 選項

政策名稱:最後一名互動的使用者會在系統初始化的重新啟動後自動登入

支援:至少支援 Windows Server 2012 R2、Windows 8.1 或 Windows RT 8.1

描述/說明:

這項政策設定會控制裝置是否在 Windows Update 重新啟動系統後自動登入最後一名互動的使用者。

如果您啟用或未配置這個政策設定,裝置會安全儲存使用者的憑證 (包括使用者名稱、網域和加密的密碼),以便在 Windows Update 重新啟動後配置自動登入。 Windows Update 重新啟動後,使用者會自動登入,且工作階段會自動針對該名使用者配置的所有鎖定畫面應用程式鎖定。

如果您停用這個政策設定,裝置不會在 Windows Update 重新啟動後儲存使用者憑證進行自動登入。 系統重新啟動後,使用者的鎖定畫面應用程式不會重新啟動。

登錄編輯程式

值名稱 類型 資料
DisableAutomaticRestartSignOn 下載 0

範例:

0 (已啟用)

1 (已停用)

政策註冊位置:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

類型: DWORD

註冊名稱:DisableAutomaticRestartSignOn

值:0 或 1

0=啟用

1=停用

Screenshot showing policy setting controls UI where you can specify whether a device will automatically sign-in the last interactive user after Windows Update restarts the system

疑難排解

當 WinLogon 自動鎖定時,WinLogon 的狀態追蹤會儲存在 WinLogon 事件日誌。

系統會記錄 Autologon 設定嘗試的狀態

  • 如果成功

    • 記錄為成功

  • 如果失敗:

    • 記錄失敗的內容

  • 當 BitLocker 狀態變更時:

    • 將會記錄認證移除作業

      • 這些將儲存在 LSA 操作日誌。

Autologon 可能失敗的原因

使用者無法自動登入的情況有幾種。 本節旨在節錄可能發生此情況的已知案例。

使用者必須在下次登入時變更密碼

若下次登入時需要變更密碼,使用者登入作業可能會進入封鎖狀態。 大部分情況下,重新啟動之前可以偵測到這一點,但並非每次皆如此(例如,密碼在關機後到下次登入前到期)。

使用者帳戶已停用

即使使用者帳戶已停用,仍可維護現有的使用者工作階段。 大部分情況下,可預先在本機偵測到已停用帳戶的重新啟動作業,然而依 gp 而定,此功能可能不適用於網域帳戶(即使已在 DC 上停用帳戶,某些網域快取登入案例仍可正常運作)。

登入時數與家長監護

登入時數與家長監護可以禁止建立新的使用者工作階段。 如果這個視窗發生重新啟動,使用者會不被准許登入。 也有其他政策導致合乎規定的動作,即鎖定或登出。 就許多兒童使用案例來說,這可能會出現問題,因為從就寢到起床的這段時間,帳戶可能是鎖定狀態,倘若維護時段通常與該段期間重疊,問題更是明顯。

其他資源

表格 SEQ 表格 \* 阿拉伯文 3:ARSO 詞彙

詞彙 定義
Autologon Autologon 是 Windows 多個版本皆有的功能。 這是 Windows 的記錄功能,甚至有適用 Windows v3.01 版的 Autologon 工具http:/technet.microsoft.com/sysinternals/bb963905.aspx

它可讓裝置的單一使用者無須輸入認證即可自動登入。 系統會將認證設定並儲存在登錄中,作為加密的 LSA 密鑰。