Winlogon Automatische Herstart Aanmelden (ARSO)
Auteur: Justin Turner, Senior Support Escalation Engineer bij het Windows-team
Opmerking
Deze inhoud wordt geschreven door een klantondersteuningstechnicus van Microsoft en is bedoeld voor ervaren beheerders en systeemarchitecten die op zoek zijn naar diepere technische uitleg van functies en oplossingen in Windows Server 2012 R2 dan onderwerpen op TechNet meestal bieden. Het heeft echter niet dezelfde bewerkingspassen ondergaan, dus sommige van de taal lijkt misschien minder professioneel dan wat doorgaans op TechNet wordt gevonden.
Overzicht
In Windows 8 zijn apps voor het vergrendelingsscherm geïntroduceerd. Dit zijn de toepassingen die meldingen uitvoeren en weergeven terwijl de sessie van de gebruiker is vergrendeld (agenda-afspraken, e-mailberichten en berichten, enzovoort). Apparaten die opnieuw worden opgestart vanwege het Windows Update-proces, kunnen deze vergrendelingsschermmeldingen niet weergeven wanneer ze opnieuw worden opgestart. Sommige gebruikers zijn afhankelijk van deze vergrendelingsschermtoepassingen.
Wat is er nieuw?
Wanneer een gebruiker zich aanmeldt op een Windows 8.1-apparaat, slaat LSA de gebruikersreferenties alleen op in versleuteld geheugen dat alleen toegankelijk is voor lsass.exe. Wanneer Windows Update een automatische herstart start zonder aanwezigheid van de gebruiker, worden deze referenties gebruikt om Autologon voor de gebruiker te configureren. Windows Update die wordt uitgevoerd als systeem met TCB-bevoegdheid, start de RPC-aanroep om dit te doen.
Bij het opnieuw opstarten wordt de gebruiker automatisch aangemeld via het Autologon-mechanisme en vervolgens vergrendeld om de sessie van de gebruiker te beveiligen. De vergrendeling wordt gestart via Winlogon, terwijl het referentiebeheer wordt uitgevoerd door LSA. Door de gebruiker automatisch aan te melden en te vergrendelen op de console, worden de vergrendelingsschermtoepassingen van de gebruiker opnieuw opgestart en beschikbaar.
Opmerking
Nadat windows Update opnieuw is opgestart, wordt de laatste interactieve gebruiker automatisch aangemeld en wordt de sessie vergrendeld, zodat de apps voor het vergrendelingsscherm van de gebruiker kunnen worden uitgevoerd.
Snel overzicht
Windows Update vereist opnieuw opstarten
Kan de computer opnieuw worden opgestart (geen apps die gegevens verliezen)?
Opnieuw opstarten voor u
Meld u weer aan
Vergrendelingsmachine
Ingeschakeld of uitgeschakeld door groepsbeleid
- Standaard uitgeschakeld in server-SKU's
Waarom?
Sommige updates kunnen pas worden voltooid als de gebruiker zich weer aanmeldt.
Betere gebruikerservaring: wacht niet 15 minuten totdat de installatie van updates is voltooid
Hoe? Automatisch Inloggen
slaat het wachtwoord op, gebruikt die referentie om u aan te melden
slaat inloggegevens op als een LSA-geheime in gepagineerd geheugen
Kan alleen worden ingeschakeld als BitLocker is ingeschakeld
Groepsbeleid: De laatste interactieve gebruiker automatisch aanmelden na een door het systeem geïnitieerde herstart
In Windows 8.1/Windows Server 2012 R2 is het automatisch inloggen van de gebruiker op het vergrendelingsscherm na een herstart door Windows Update opt-in voor Server-SKU's en opt-out voor Client-SKU's.
Beleidslocatie: Computerconfiguratie > Beleid > Beheersjablonen > Windows-onderdelen > Windows-aanmeldingsoptie
Beleidsnaam: Laatste interactieve gebruiker automatisch aanmelden na een door het systeem geïnitieerde herstart
Ondersteund op: Ten minste Windows Server 2012 R2, Windows 8.1 of Windows RT 8.1
Beschrijving/Help:
Met deze beleidsinstelling bepaalt u of een apparaat automatisch wordt aangemeld bij de laatste interactieve gebruiker nadat Windows Update het systeem opnieuw heeft opgestart.
Als u deze beleidsinstelling inschakelt of niet configureert, slaat het apparaat de referenties van de gebruiker (inclusief de gebruikersnaam, het domein en het versleutelde wachtwoord) veilig op om automatische aanmelding te configureren nadat Windows Update opnieuw is opgestart. Nadat Windows Update opnieuw is opgestart, wordt de gebruiker automatisch aangemeld en wordt de sessie automatisch vergrendeld met alle vergrendelingsscherm-apps die voor die gebruiker zijn geconfigureerd.
Als u deze beleidsinstelling uitschakelt, worden de referenties van de gebruiker niet opgeslagen voor automatische aanmelding nadat Windows Update opnieuw is opgestart. De vergrendelingsscherm-apps van de gebruikers worden niet opnieuw opgestart nadat het systeem opnieuw is opgestart.
Registratie-editor
| Waardenaam | Typ | Gegevens |
|---|---|---|
| Automatisch Herstarten en Aanmelden Uitschakelen | DWORD | 0 Voorbeeld: 0 (ingeschakeld) 1 (uitgeschakeld) |
Locatie van beleidsregister: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Type: DWORD
Registernaam: DisableAutomaticRestartSignOn
Waarde: 0 of 1
0 = Ingeschakeld
1 = Uitgeschakeld
Probleemoplossingsproces
Wanneer WinLogon automatisch wordt vergrendeld, wordt de statustracering van WinLogon opgeslagen in het WinLogon-gebeurtenislogboek.
De status van een automatische aanmeldingsconfiguratiepoging wordt geregistreerd
Als het lukt
- registreert deze als zodanig
Als dit een fout is:
- registreert wat de fout was
Wanneer de status van BitLocker wordt gewijzigd:
het verwijderen van inloggegevens wordt geregistreerd
- Deze worden opgeslagen in het operationele LSA-logboek.
Redenen waarom autologon kan mislukken
Er zijn verschillende gevallen waarin automatische aanmelding van een gebruiker niet kan worden bereikt. Deze sectie is bedoeld om de bekende scenario's vast te leggen waarin dit kan gebeuren.
Gebruiker moet wachtwoord wijzigen bij volgende aanmelding
Gebruikersaanmelding kan een geblokkeerde status opgeven wanneer wachtwoordwijziging bij volgende aanmelding is vereist. Dit kan in de meeste gevallen worden gedetecteerd voordat er opnieuw wordt opgestart, maar niet allemaal. Bijvoorbeeld, het wachtwoord kan verlopen tussen afsluiten en de volgende aanmelding.
Gebruikersaccount uitgeschakeld
Een bestaande gebruikerssessie kan worden onderhouden, zelfs als deze is uitgeschakeld. Het opnieuw inschakelen van een account dat gedeactiveerd is, kan in de meeste gevallen lokaal vooraf worden gedetecteerd. Afhankelijk van het groepsbeleid is dit mogelijk niet van toepassing op domeinaccounts (sommige aanmeldingsscenario's in de cache werken zelfs als het account is gedeactiveerd op de domeincontroller (DC)).
Aanmeldingsuren en ouderlijk toezicht
De aanmeldingsuren en ouderlijk toezicht kunnen voorkomen dat er een nieuwe gebruikerssessie wordt gemaakt. Als er tijdens dit venster opnieuw wordt opgestart, mag de gebruiker zich niet aanmelden. Er is extra beleid dat vergrendeling of afmelding veroorzaakt als nalevingsactie. Dit kan problematisch zijn voor veel kindgevallen waarbij accountvergrendeling kan optreden tussen bedtijd en wakker worden, met name als de onderhoudsperiode meestal gedurende deze tijd plaatsvindt.
Aanvullende informatiebronnen
Tabel SEQ Table \* ARABISCH 3: ARSO-woordenlijst
| Termijn | Definitie |
|---|---|
| Automatisch inloggen | Autologon is een functie die aanwezig is in Windows voor verschillende releases. Het is een gedocumenteerde functie van Windows met zelfs hulpprogramma's zoals Autologon voor Windows v3.01 http:/technet.microsoft.com/sysinternals/bb963905.aspx Hiermee kan één gebruiker van het apparaat zich automatisch aanmelden zonder referenties in te voeren. De referenties worden geconfigureerd en opgeslagen in het register als versleuteld LSA-geheim. |