Winlogon Automatic Restart Sign-On (ARSO)
Autor: Justin Turner, Senior Support Escalation Engineer bei der Windows-Gruppe
Hinweis
Dieser Inhalt wurde von einem Mitarbeiter des Microsoft-Kundendiensts geschrieben und richtet sich an erfahrene Administratoren und Systemarchitekten, die einen tieferen technischen Einblick in die Funktionen und Lösungen von Windows Server 2012 R2 suchen, als Ihnen die Themen im TechNet bieten können. Allerdings wurde er nicht mit der gleichen linguistischen Sorgfalt überprüft wie für die Artikel des TechNet üblich, so dass die Sprache gelegentlich holprig klingen mag.
Übersicht
In Windows 8 wurden Sperrbildschirm-Apps eingeführt. Dies sind die Anwendungen, die Benachrichtigungen ausführen und anzeigen, während die Sitzung des Benutzers gesperrt ist (Kalendertermine, E-Mails und Nachrichten usw.). Geräte, die aufgrund des Windows Update-Prozesses neu gestartet werden, können diese Sperrbildschirmbenachrichtigungen beim Neustart nicht anzeigen. Einige Benutzer verlassen sich auf diese Sperrbildschirmanwendungen.
Änderungen
Wenn sich ein Benutzer auf einem Windows 8.1-Gerät anmeldet, speichert LSA die Benutzeranmeldeinformationen im verschlüsselten Speicher, auf den nur lsass.exe zugreifen kann. Wenn Windows Update einen automatischen Neustart ohne Benutzerpräsenz initiiert, werden diese Anmeldeinformationen verwendet, um die automatische Anmeldung (AutoLogon) für den Benutzer zu konfigurieren. Windows Update wird als System mit TCB-Berechtigung ausgeführt und leitet zu diesem Zweck den RPC-Aufruf ein.
Beim Neustart wird der Benutzer automatisch über den AutoLogon-Mechanismus angemeldet und dann zusätzlich gesperrt, um die Sitzung des Benutzers zu schützen. Die Sperrung wird über Winlogon initiiert, während die Verwaltung der Anmeldeinformationen über LSA erfolgt. Durch automatisches Anmelden und Sperren des Benutzers an der Konsole werden die Sperrbildschirmanwendungen des Benutzers neu gestartet und sind verfügbar.
Hinweis
Nach einem durch Windows Update ausgelösten Neustart wird der letzte interaktive Benutzer automatisch angemeldet, und die Sitzung wird gesperrt, sodass die Apps auf dem Sperrbildschirm des Benutzers ausgeführt werden können.
Kurzer Überblick
Windows Update erfordert einen Neustart
Kann der Computer neu gestartet werden (es werden keine Apps ausgeführt, die Daten verlieren würden)?
Neustart wird für Sie ausgeführt
Sie werden wieder angemeldet
Computer wird gesperrt
Aktiviert oder deaktiviert durch Gruppenrichtlinie
- Standardmäßig deaktiviert in Server-SKUs
Warum?
Einige Updates können erst abgeschlossen werden, wenn sich der Benutzer wieder anmeldet.
Bessere Benutzererfahrung: Sie müssen nicht 15 Minuten warten, bis die Installation von Updates abgeschlossen ist
Wie kann ich das erreichen? Automatische Anmeldung
Speichert das Kennwort und verwendet diese Anmeldeinformationen, um Sie anzumelden
Speichert Anmeldeinformationen als LSA-Geheimnis im ausgelagerten Speicher
Kann nur aktiviert werden, wenn BitLocker aktiviert ist
Gruppenrichtlinie: Letzten interaktiven Benutzer automatisch nach einem vom System initiierten Neustart anmelden
In Windows 8.1 bzw. Windows Server 2012 R2 ist die automatische Anmeldung des Sperrbildschirmbenutzers nach einem Windows Update-Neustart für Server-SKUs aktiviert und für Client-SKUs deaktiviert.
Speicherort der Richtlinie: Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Windows-Anmeldeoption
Name der Richtlinie: Letzten interaktiven Benutzer automatisch nach einem vom System initiierten Neustart anmelden
Unterstützt für: Mindestens Windows Server 2012 R2, Windows 8.1 oder Windows RT 8.1
Beschreibung/Hilfe:
Mit dieser Richtlinieneinstellung wird gesteuert, ob ein Gerät den letzten interaktiven Benutzer automatisch anmeldet, nachdem Windows Update das System neu gestartet hat.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, speichert das Gerät die Anmeldeinformationen des Benutzers (einschließlich Benutzername, Domäne und verschlüsseltes Kennwort), um die automatische Anmeldung nach einem Neustart durch Windows Update zu konfigurieren. Nach dem Neustart durch Windows Update wird der Benutzer automatisch angemeldet und die Sitzung automatisch mit allen Sperrbildschirm-Apps gesperrt, die für diesen Benutzer konfiguriert sind.
Wenn Sie diese Richtlinieneinstellung deaktivieren, speichert das Gerät die Anmeldeinformationen des Benutzers für die automatische Anmeldung nach einem Windows Update-Neustart nicht. Die Sperrbildschirm-Apps des Benutzers werden nach dem Neustart des Systems nicht neu gestartet.
Registrierungs-Editor
| Wertname | Typ | Daten |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 Beispiel: 0 (Aktiviert) 1 (Deaktiviert) |
Speicherort der Richtlinienregistrierung: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Typ: DWORD
Name der Registrierung: DisableAutomaticRestartSignOn
Wert: 0 oder 1
0 = Aktiviert
1 = Deaktiviert
Problembehandlung
Wenn Winlogon eine automatische Sperrung vornimmt, wird der Statusverlauf von WinLogon im Winlogon-Ereignisprotokoll gespeichert.
Der Status eines Versuchs zum Konfigurieren der automatischen Anmeldung wird protokolliert.
Bei erfolgreicher Konfiguration:
- Der Vorgang wird als solcher protokolliert.
Bei nicht erfolgreicher Konfiguration:
- Der Fehler wird protokolliert.
Bei einer Änderung des BitLocker-Status:
Das Entfernen der Anmeldeinformationen wird protokolliert.
- Diese werden im LSA-Betriebsprotokoll gespeichert.
Gründe für einen Fehler bei der automatischen Anmeldung
Es gibt verschiedene Situationen, in denen eine automatische Benutzeranmeldung nicht möglich ist. In diesem Abschnitt werden die bekannten Szenarien beschrieben, in denen dies der Fall sein kann.
Benutzer muss Kennwort bei der nächsten Anmeldung ändern.
Die Benutzeranmeldung kann blockiert werden, wenn bei der nächsten Anmeldung eine Kennwortänderung erforderlich ist. In den meisten Fällen kann dies vor dem Neustart erkannt werden, aber nicht in allen – z. B. kann der Kennwortablauf zwischen dem Herunterfahren und der nächsten Anmeldung liegen.
Benutzerkonto deaktiviert
Eine bestehende Benutzersitzung kann auch dann beibehalten werden, wenn sie deaktiviert ist. Ein Neustart für ein deaktiviertes Konto kann in den meisten Fällen vorab lokal erkannt werden. Bei Domänenkonten ist dies je nach Gruppenrichtlinie möglicherweise nicht der Fall (einige Szenarien mit zwischengespeicherten Domänenanmeldungen funktionieren auch, wenn das Konto auf dem DC deaktiviert ist).
Anmeldezeiten und Jugendschutz
Die Anmeldezeiten und der Jugendschutz können verhindern, dass eine neue Benutzersitzung erstellt wird. Bei einem Neustart während dieses Zeitraums kann sich der Benutzer nicht anmelden. Es gibt eine zusätzliche Richtlinie, die eine Sperrung oder Abmeldung als Konformitätsaktion bewirkt. Dies könnte im Falle minderjähriger Benutzer problematisch sein, wenn die Kontosperrung zwischen dem Zubettgehen und dem Aufwachen erfolgt, insbesondere wenn das Wartungsfenster in dieser Zeit liegt.
Weitere Ressourcen
Tabelle SEQ-Tabelle \* ARABISCH 3: ARSO-Glossar
| Begriff | Definition |
|---|---|
| Automatische Anmeldung | Die automatische Anmeldung ist ein Feature, das in Windows schon seit mehreren Releases enthalten ist. Es handelt sich um ein dokumentiertes Feature von Windows, für das auch Tools wie Autologon für Windows v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx zur Verfügung stehen. Es ermöglicht einem einzelnen Benutzer des Geräts, sich ohne Eingabe von Anmeldeinformationen automatisch anzumelden. Die Anmeldeinformationen werden als verschlüsseltes LSA-Geheimnis konfiguriert und in der Registrierung gespeichert. |