Theo mặc định, màn hình đăng nhập trên Windows 10/11 và Windows Server 2019/2016 / 2012R2 hiển thị tài khoản của người dùng cuối cùng đã đăng nhập vào máy tính. Bạn có thể định cấu hình các hoạt động khác nhau của tính năng này:bạn có thể hiển thị tên người dùng đăng nhập cuối cùng, ẩn tên người dùng đó hoặc thậm chí liệt kê tất cả người dùng miền cục bộ / đã đăng nhập trên màn hình chào mừng của thiết bị.
Không hiển thị tên người dùng cuối cùng trên màn hình đăng nhập của Windows
Người dùng cuối cảm thấy thoải mái khi tên tài khoản đã đăng nhập cuối cùng được hiển thị trên Màn hình đăng nhập của Windows và không cần phải nhập thủ công. Nhưng điều này khiến kẻ tấn công dễ dàng truy cập vào máy tính hơn. Để truy cập thiết bị của bạn, anh ấy chỉ cần tìm đúng mật khẩu. Để thực hiện điều này, có nhiều cách khác nhau của kỹ thuật xã hội, tấn công vũ phu hoặc một mảnh giấy nhớp nháp tầm thường với mật khẩu trên màn hình.
Bạn có thể ẩn tên người dùng đã đăng nhập cuối cùng trên màn hình đăng nhập Windows thông qua GPO. Mở miền (gpmc.msc
) hoặc trình chỉnh sửa Chính sách nhóm cục bộ (gpedit.msc) và đi tới phần Cấu hình máy tính -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật . Bật chính sách “ Đăng nhập tương tác:Không hiển thị họ của người dùng ”. Chính sách này bị tắt theo mặc định.
Ngoài ra, bạn có thể ẩn tên người dùng cuối cùng khỏi màn hình đăng nhập thông qua sổ đăng ký. Để thực hiện việc này, hãy truy cập khóa đăng ký HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System , tạo một tham số DWORD mới có tên dontdisplaylastusername với giá trị 1 .
Tên người dùng cũng được hiển thị trên máy tính nếu màn hình của nó bị khóa (bằng cách nhấn Win+L
hoặc thông qua màn hình khóa GPO). Bạn có thể ẩn tên người dùng trên màn hình khóa máy tính. Để thực hiện việc này, trong cùng một phần của GPO, bạn phải bật chính sách “ Đăng nhập tương tác:Hiển thị thông tin người dùng khi phiên bị khóa ”Và đặt giá trị“ Không hiển thị thông tin người dùng .
Tham số đăng ký có tên DontDisplayLockedUserId trong cùng một khóa đăng ký có giá trị là 3 khớp với thông số chính sách này.
Các giá trị có thể có khác cho tham số này:- 1 - hiển thị tên hiển thị của người dùng, miền và tên người dùng
- 2 - chỉ hiển thị tên hiển thị của người dùng
- 3 - không hiển thị người dùng.
Màn hình đăng nhập máy tính và màn hình khóa Windows hiện hiển thị các trường tên người dùng và mật khẩu trống.
Hiển thị Tất cả Người dùng trên Màn hình Đăng nhập Windows 10/11
Theo mặc định, các phiên bản Windows hiện đại (được thử nghiệm trên Windows 11 21H2 và Windows 10 21H1) luôn hiển thị danh sách người dùng cục bộ đã bật ở góc dưới cùng bên trái của màn hình đăng nhập. Chỉ những người dùng bị ẩn (xem bên dưới) hoặc bị vô hiệu mới không được hiển thị.
Để đăng nhập vào máy tính, người dùng chỉ cần nhấp vào tài khoản người dùng cần thiết và chỉ định mật khẩu của tài khoản đó. Điều này chỉ hoạt động trên các máy tính không được tham gia vào miền Active Directory.
Nếu không có mật khẩu nào được đặt cho tài khoản người dùng, người dùng này sẽ tự động được đăng nhập, ngay cả khi tính năng tự động không được bật.Mẹo . Thay vì các biểu tượng người dùng tiêu chuẩn, bạn có thể định cấu hình ảnh hồ sơ người dùng từ Active Directory sẽ được hiển thị.
Nếu danh sách người dùng cục bộ không được hiển thị trên màn hình đăng nhập máy tính, hãy kiểm tra cài đặt của các tùy chọn Chính sách Nhóm cục bộ sau (sử dụng gpedit.msc
):
- Đăng nhập tương tác:Không hiển thị lần đăng nhập cuối cùng =
Disabled
(Cấu hình máy tính -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật); - Liệt kê người dùng cục bộ trên các máy tính đã tham gia miền =
Enabled
(Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Đăng nhập) - Không liệt kê những người dùng được kết nối trên máy tính đã tham gia miền =
Disabled/Not Configured
(trong cùng một phần GPO)
Khởi động lại máy tính của bạn để áp dụng cài đặt Chính sách Nhóm mới.
Trong một số bản dựng Windows 10 cũ (từ 1609 đến 1903), có một vấn đề khác khi hiển thị tất cả người dùng cục bộ trên màn hình Chào mừng của Windows, liên quan đến chế độ chuyển đổi người dùng.
Để hiển thị tất cả tài khoản người dùng cục bộ trên màn hình đăng nhập Windows, bạn cần thay đổi giá trị của Đã bật tham số thành 1 trong khóa đăng ký sau: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Authentication \ LogonUI \ UserSwitch . Tùy chọn này cho phép bạn chuyển đổi người dùng hiện tại trên màn hình đăng nhập Windows. Tuy nhiên, Windows tự động đặt lại giá trị của tham số Đã bật thành 0 ở mỗi lần đăng nhập của người dùng.
Để khắc phục sự cố này, bạn cần tạo tác vụ lên lịch sẽ thay đổi giá trị tham số thành 0 trên mỗi lần đăng nhập của người dùng.
Bạn có thể tạo một tác vụ Trình lập lịch mới với PowerShell:
$Trigger= New-ScheduledTaskTrigger -AtLogOn
$User= "NT AUTHORITY\SYSTEM"
$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch -Name Enabled -Value 1"
Register-ScheduledTask -TaskName "UserSwitch_Enable" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force
Đảm bảo rằng tác vụ đã xuất hiện trong Bộ lập lịch tác vụ Windows (taskschd.msc
).
Đăng xuất và sau đó đăng nhập lại. Tác vụ phải tự động bắt đầu và thay đổi giá trị của tham số đăng ký Đã bật thành 1. Kiểm tra giá trị hiện tại của tham số bằng Get-ItemProperty. Như bạn thấy, nó là 1:
get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch' -Name Enabled
Hiển thị Người dùng miền đã Đăng nhập trên Màn hình Đăng nhập Windows
Nếu nhiều người dùng miền chia sẻ cùng một máy tính, bạn có thể hiển thị danh sách người dùng có phiên hoạt động trên màn hình chào mừng. Một phiên hoạt động có nghĩa là người dùng đã đăng nhập vào máy tính. Nó có thể là một máy tính dùng chung (được sử dụng ở chế độ chuyển đổi người dùng), ki-ốt, máy chủ Windows Server RDS hoặc các thiết bị Windows 11 và 10 được phép sử dụng nhiều kết nối RDP).
Để thực hiện việc này, hãy kiểm tra xem trong Cấu hình máy tính -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật, các chính sách sau đã bị tắt:
- Đăng nhập tương tác:Không hiển thị lần đăng nhập cuối cùng :Đã tắt
- Đăng nhập tương tác:Không hiển thị tên người dùng khi đăng nhập :Đã tắt
Sau đó, tắt các chính sách trong phần Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Đăng nhập:
- Chặn người dùng hiển thị chi tiết tài khoản khi đăng nhập: Đã tắt
- Không liệt kê những người dùng được kết nối trên máy tính đã tham gia miền: Đã tắt
Sau đó, màn hình chào mừng sẽ hiển thị danh sách người dùng đã đăng nhập. Cả phiên hoạt động và phiên của người dùng có trạng thái bị ngắt kết nối (ví dụ:theo thời gian chờ RDP) sẽ được hiển thị ở đây. Người dùng chỉ cần đăng nhập một lần, sau đó chỉ cần chọn một tài khoản từ danh sách và nhập mật khẩu.
Lưu ý rằng cài đặt Chính sách Nhóm trên máy tính miền có thể được quản lý bởi quản trị viên miền. Nếu một trong các cài đặt GPO cục bộ không áp dụng cho máy tính của bạn, hãy kiểm tra xem nó có bị GPO miền ghi đè hay không. Sử dụng
rsop.msc
hoặc gpresult để nhận cài đặt Chính sách Nhóm kết quả trên thiết bị của bạn. Ẩn Tài khoản Người dùng Cụ thể khỏi Màn hình đăng nhập trên Windows 10 và 11
Màn hình Chào mừng của Windows luôn hiển thị những người dùng là thành viên của một trong các nhóm cục bộ sau:Quản trị viên, Người dùng, Người dùng thành thạo, Khách.
Người dùng bị vô hiệu hóa không hiển thị trên màn hình đăng nhập Windows.
Bạn có thể ẩn người dùng cụ thể khỏi danh sách trên màn hình chào mừng thông qua sổ đăng ký. Để thực hiện việc này, bạn cần sử dụng HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
mã đăng kí. Bạn cần tạo thông số DWORD với tên người dùng và giá trị 0 cho mỗi người dùng bạn muốn ẩn.
Bạn có thể liệt kê tên người dùng cục bộ bằng PowerShell hoặc cmd:
Net user
Hoặc:
Get-LocalUser | where {$_.enabled –eq $true}
Để ẩn một tài khoản người dùng cụ thể khỏi màn hình chào mừng của Windows 11 hoặc 10 (ví dụ:user1), hãy chạy lệnh:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v UserName
Nếu tài khoản quản trị viên Windows cài sẵn được bật trên máy tính và đây không phải là tài khoản duy nhất có quyền quản trị viên cục bộ trên máy tính ( !!! ), bạn cũng có thể ẩn nó:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v administrator
Nếu bạn muốn ẩn tất cả người dùng ngoại trừ người cuối cùng đăng nhập vào máy tính, hãy định cấu hình cài đặt GPO sau trong Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Đăng nhập:
- Liệt kê địa phương người dùng trên miền — đã tham gia máy tính =Đã tắt
- Không liệt kê những người dùng được kết nối trên máy tính đã tham gia miền =Đã bật