策略 CSP - WindowsLogon
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
AllowAutomaticRestartSignOn
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1903 [10.0.18362] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn
此策略设置控制设备是在系统重启后还是关闭和冷启动后自动登录并锁定最后一个交互式用户。
仅当最后一个交互式用户在重启或关闭前未注销时,才会发生这种情况。
如果设备已加入 Active Directory 或Microsoft Entra ID,则此策略仅适用于Windows 更新重启。 否则,这将适用于Windows 更新重启和用户启动的重启和关闭。
- 如果未配置此策略设置,则默认启用此策略设置。 启用策略后,用户会自动登录,并在设备启动后使用为该用户配置的所有锁屏应用自动锁定会话。
启用此策略后,可以通过 ConfigAutomaticRestartSignOn 策略配置其设置,该策略配置在重启或冷启动后自动登录和锁定最后一个交互式用户的模式。
- 如果禁用此策略设置,则设备不会配置自动登录。 系统重启后,用户的锁屏界面应用不会重启。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | AutomaticRestartSignOn |
| 友好名称 | 重启后自动登录和锁定最后一个交互式用户 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > Windows 登录选项 |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| 注册表值名称 | DisableAutomaticRestartSignOn |
| ADMX 文件名 | WinLogon.admx |
ConfigAutomaticRestartSignOn
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1903 [10.0.18362] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/ConfigAutomaticRestartSignOn
此策略设置控制在重启或冷启动后自动重启和登录和锁定的配置。 如果在“重启后自动登录并锁定最后一个交互式用户”策略中选择“已禁用”,则不会进行自动登录,并且无需配置此策略。
- 如果启用此策略设置,则可以选择以下两个选项之一:
- “如果 BitLocker 处于打开状态且未暂停,则启用”指定仅当 BitLocker 处于活动状态且在重新启动或关闭期间未暂停时才会发生自动登录和锁定。 如果在更新期间 BitLocker 未打开或挂起,则此时可以在设备的硬盘驱动器上访问个人数据。 BitLocker 挂起会暂时删除对系统组件和数据的保护,但在某些情况下,可能需要成功更新启动关键组件。
在更新期间,BitLocker 在出现:
- 设备没有 TPM 2.0 和 PCR7,或者
- 设备不使用仅限 TPM 的保护程序。
- “Always Enabled”指定即使 BitLocker 在重新启动或关闭期间处于关闭或挂起状态,也会发生自动登录。 如果未启用 BitLocker,则可访问硬盘驱动器上的个人数据。 仅当你确信配置的设备位于安全的物理位置时,才应在此条件下运行自动重启和登录。
- 如果禁用或未配置此设置,则自动登录将默认为“如果 BitLocker 处于打开状态且未挂起时启用”行为。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | ConfigAutomaticRestartSignOn |
| 友好名称 | 配置重启或冷启动后自动登录和锁定最后一个交互式用户的模式 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > Windows 登录选项 |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| ADMX 文件名 | WinLogon.admx |
DisableLockScreenAppNotifications
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DisableLockScreenAppNotifications
使用此策略设置,可以阻止应用通知显示在锁屏界面上。
如果启用此策略设置,锁屏上不会显示应用通知。
如果禁用或未配置此策略设置,用户可以选择哪些应用在锁屏界面上显示通知。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DisableLockScreenAppNotifications |
| 友好名称 | 关闭锁屏界面上的应用通知 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 登录 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\System |
| 注册表值名称 | DisableLockScreenAppNotifications |
| ADMX 文件名 | Logon.admx |
DontDisplayNetworkSelectionUI
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI
使用此策略设置,可以控制是否任何人都可以与登录屏幕上的可用网络 UI 交互。
如果启用此策略设置,则如果不登录到 Windows,则无法更改电脑的网络连接状态。
如果禁用或未配置此策略设置,则任何用户都可以断开电脑与网络的连接,或者无需登录 Windows 即可将电脑连接到其他可用网络。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DontDisplayNetworkSelectionUI |
| 友好名称 | 不显示网络选择 UI |
| 位置 | “计算机配置” |
| 路径 | 系统 > 登录 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\System |
| 注册表值名称 | DontDisplayNetworkSelectionUI |
| ADMX 文件名 | Logon.admx |
示例:
下面是启用此策略的示例:
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Atomic>
<CmdID>300</CmdID>
<Replace>
<CmdID>301</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><![CDATA[<enabled/>]]></Data>
</Item>
</Replace>
</Atomic>
<Final/>
</SyncBody>
</SyncML>
EnableFirstLogonAnimation
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1903 [10.0.18362] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableFirstLogonAnimation
使用此策略设置,可以控制用户在首次登录计算机时是否看到第一次登录动画。 这适用于完成初始设置的计算机的第一个用户和稍后添加到计算机的用户。 它还控制是否Microsoft帐户用户在首次登录期间获得服务选择加入提示。
如果启用此策略设置,Microsoft帐户用户将看到服务选择加入提示,而具有其他帐户的用户将看到登录动画。
如果禁用此策略设置,用户将看不到动画,Microsoft帐户用户将不会看到服务选择加入提示。
如果未配置此策略设置,完成初始 Windows 设置的用户将在首次登录期间看到动画。 如果第一个用户已完成初始设置,并且未配置此策略设置,则此计算机的新用户将看不到动画。
注意
第一个登录动画不会显示在服务器上,因此此策略将不起作用。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 已禁用。 |
| 1 (默认) | 已启用。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | EnableFirstLogonAnimation |
| 友好名称 | 显示首次登录动画 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 登录 |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| 注册表值名称 | EnableFirstLogonAnimation |
| ADMX 文件名 | Logon.admx |
EnableMPRNotifications
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 22H2 [10.0.22621] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableMPRNotifications
此策略控制用户的密码是否包含在系统中 winlogon 发送的 MPR 通知内容中。
如果禁用此设置或未配置此设置,winlogon 会发送包含用户身份验证信息密码字段空的 MPR 通知。
如果启用此设置,winlogon 会发送包含身份验证信息中用户密码的 MPR 通知。
注意
从 Windows 预览体验成员内部版本 25216 开始,EnableMPRNotifications 策略的行为已更改,并使用以下文本更新了组策略:
- 友好名称:在 winlogon 发送的 MPR 通知内容中配置用户密码的传输
-
说明:此策略控制用户的密码是否包含在 winlogon 在系统中发送的 MPR 通知内容中。
- 如果禁用或未配置此设置,winlogon 会发送包含用户身份验证信息密码字段空的 MPR 通知。
- 如果启用此设置,winlogon 会发送包含身份验证信息中用户密码的 MPR 通知。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | EnableMPRNotifications |
| 友好名称 | 在 winlogon 发送的 MPR 通知内容中配置用户密码的传输。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > Windows 登录选项 |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| 注册表值名称 | EnableMPR |
| ADMX 文件名 | WinLogon.admx |
EnumerateLocalUsersOnDomainJoinedComputers
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers
此策略设置允许在已加入域的计算机上枚举本地用户。
如果启用此策略设置,登录 UI 将枚举已加入域的计算机上的所有本地用户。
如果禁用或未配置此策略设置,登录 UI 不会枚举已加入域的计算机上的本地用户。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | EnumerateLocalUsers |
| 友好名称 | 枚举已加入域的计算机上的本地用户 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 登录 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\System |
| 注册表值名称 | EnumerateLocalUsers |
| ADMX 文件名 | Logon.admx |
HideFastUserSwitching
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/HideFastUserSwitching
此策略设置允许隐藏登录 UI、“开始”菜单和任务管理器中的“切换用户界面”。
- 如果启用此策略设置,则切换用户界面对尝试登录或登录到应用了此策略的计算机的用户隐藏。
切换用户界面显示的位置位于登录 UI、“开始”菜单和任务管理器中。
- 如果禁用或未配置此策略设置,则三个位置中的用户可以访问切换用户界面。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 禁用 (可见) 。 |
| 1 | 已启用 (隐藏) 。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | HideFastUserSwitching |
| 友好名称 | 隐藏快速用户切换的入口点 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 登录 |
| 注册表项名称 | Software\Microsoft\Windows\CurrentVersion\Policies\System |
| 注册表值名称 | HideFastUserSwitching |
| ADMX 文件名 | Logon.admx |
OverrideShellProgram
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 22H2 [10.0.22621.2338] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/OverrideShellProgram
OverrideShellProgram 策略允许 IT 管理员在设备上为 Windows OS 配置 shell 程序。 此策略优先于配置 shell 程序的其他方式。 策略当前支持以下选项:1。 未配置:将启动默认 shell。 2. 应用轻型 Shell:轻型 shell 没有用户界面,可帮助设备实现更好的性能,因为 shell 比默认 shell 消耗有限的资源。 轻型 shell 包含一组有限的功能,可供应用程序使用。 如果设备需要持续运行的用户界面应用程序,这将使用轻型 shell 提供的功能,则此配置可能很有用。 如果禁用或未配置此策略设置,则会启动默认 shell。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 未配置。 |
| 1 | 应用轻型 shell。 |