Как скрыть имя последнего пользователя на экране приветствия Windows?
Для удобства конечных пользователей часто на экране входа в Windows отображается имя учетной записи, и им не нужно вводить его вручную. Однако на общедоступных компьютерах в небезопасных местах из соображений безопасности можно запретить отображение имени последнего пользователя на экране входа Windows с помощью групповой политики (Group Policy Object, GPO).
- Для этого откройте редактор групповых политик домена (gpmc.msc) или локальных политик (gpedit.msc) и перейдите к разделу "Конфигурация компьютера" -> "Конфигурация Windows" -> "Параметры безопасности" -> "Локальные политики" -> "Параметры безопасности" (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options).
- Включите политику "Интерактивный вход в систему: Не отображать учетные данные последнего пользователя" (Interactive logon: Don’t display last signed-in). По умолчанию эта политика отключена.
Если вам необходимо скрыть имя последнего пользователя на экране входа через реестр в Windows, вы можете выполнить следующие шаги:
- Откройте Редактор реестра (Registry Editor), нажав Win + R, введите "regedit" и нажмите Enter.
- Перейдите к следующему пути: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Если ветки System или параметра dontdisplaylastusername нет, вы можете их создать.
- Создайте новый параметр с названием dontdisplaylastusername типа DWORD (если его еще нет) и установите его значение в 1.
Это приведет к тому, что имя последнего пользователя не будет отображаться на экране входа в Windows.
Обратите внимание, что внесение изменений в реестр может повлиять на работу вашей системы, поэтому убедитесь, что вы знаете, что делаете, и создайте резервную копию реестра перед внесением изменений.
3. Для того чтобы скрыть имя пользователя на экране блокировки (когда компьютер блокируется нажатием Win+L или через GPO блокировки экрана), вам необходимо включить соответствующую политику через Групповую политику (GPO):
- Откройте редактор Групповых политик домена (gpmc.msc) или локальных политик (gpedit.msc).
- Перейдите в раздел "Конфигурация компьютера" -> "Конфигурация Windows" -> "Параметры безопасности" -> "Локальные политики безопасности" -> "Параметры безопасности" (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options).
- Найдите политику "Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован" (Interactive logon: Display user information when the session is locked) и установите значение "Не отображать сведения о пользователе" (Do not display user information).
Это позволит скрыть имя пользователя на экране блокировки при использовании функции блокировки экрана в Windows через GPO.
Этой политике соответствует параметр реестра DontDisplayLockedUserId в той же ветке со значением 3.
После применения этой политики на экране входа и экране блокировки Windows вместо имени последнего пользователя будут отображаться пустые поля для ввода имени пользователя и пароля. Это повысит конфиденциальность и безопасность, особенно на общедоступных компьютерах или в условиях, где есть риск несанкционированного доступа к системе.
С помощью параметра DisableBackButton реестра можно скрыть список пользователей на экране блокировки:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /t REG_DWORD /f /d 0 /v DisableBackButton
После включения данной политики для разблокировки экрана пользователю достаточно просто ввести пароль, а для отображения списка всех пользователей нужно будет нажать кнопку "Switch User" на экране блокировки. Это добавляет дополнительный уровень безопасности, так как доступ к списку пользователей становится доступным только после явного действия пользователя.
Показать список локальных пользователей на экране входа в Windows
В современных версиях Windows, таких как Windows 11 23H2 и Windows 10 22H2, по умолчанию на компьютерах, не включенных в домен Active Directory, в левом нижнем углу экрана всегда отображается список включенных локальных пользователей. Однако скрытые или отключенные учетные записи пользователей здесь не отображаются, что способствует общей безопасности системы. Это позволяет пользователям быстро выбирать свои учетные записи для входа, упрощая процесс аутентификации.
Чтобы войти на компьютере, пользователю достаточно щелкнуть по нужной учетной записи и ввести пароль.
Если для учетной записи пользователя не задан пароль (пустой пароль), то для автоматичеcкого входа в Windows без пароля нужно просто выбрать локального пользователя и нажать кнопку Sign-In.
Если список локальных пользователей не отображается на экране входа Windows, можно проверить следующие настройки в редакторе локальной групповой политики (gpedit.msc):
Interactive Logon: Don’t display last signed-in (Интерактивный вход в систему: Не отображать учетные данные последнего пользователя) = Отключено (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options) - эта политика определяет, отображаются ли данные о последнем вошедшем пользователе на экране входа.
Enumerate local users on domain-joined computers (Перечислить локальных пользователей на компьютерах, подключенных к домену) = Включено (Computer Configuration -> Administrative Templates -> System -> Logon / Конфигурация компьютера -> Административные шаблоны -> Вход в систему) - данная политика позволяет перечислить локальных пользователей на компьютерах, присоединенных к домену.
Убедитесь, что эти настройки установлены соответствующим образом для вашей конфигурации системы.
Перезагрузите компьютер, чтобы применить новые настройки групповых политик.
Вывести список доменных пользователей на экране входа в Windows
Если на одном компьютере используются несколько пользователей, вы можете отобразить на экране приветствия список пользователей с активными сеансами. Активная сессия предполагает, что пользователь вошел в систему. Это может быть общий компьютер (работает в режиме переключения пользователей), касса, киоск, хосты Windows Server с ролью RDS (или его аналоги с поддержкой мультисессий на десктопных версиях Windows).
Убедитесь, что в разделе GPO "Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options" отключены следующие политики:
- Interactive logon: Don’t display last signed-in (Интерактивный вход: не отображать последнего вошедшего): Отключено
- Interactive logon: Don’t display username at sign in (Интерактивный вход: не отображать имя пользователя при входе): Отключено
Затем отключите следующие политики в разделе "Computer Configuration -> Administrative Templates -> System -> Logon":
- Block user from showing account details on sign-in (Запретить показывать детали учетной записи при входе): Отключено
- Do not enumerate connected users on domain-joined computer (Не перечислять подключенных пользователей на компьютерах, присоединенных к домену): Отключено
После выполнения этих шагов на экране приветствия будет отображен список пользователей с активными сеансами.
На доменном компьютере вы можете проверить результирующие настройки этих параметров GPO с помощью инструментов текущего состояния политик групповой политики (Group Policy) с помощью команды gpresult в командной строке или с помощью инструмента Resultant Set of Policy (RSOP), который запускается с помощью команды rsop.msc.
После настройки указанных параметров на экране приветствия будет отображаться список пользователей, которые выполнили вход в систему. Здесь будут отображаться как активные сессии, так и сессии пользователей со статусом "disconnected" (например, по таймауту RDP).
Совет. Вместо стандартных иконок пользователей на экране входа Windows можно показать их фото из Active Directory.
Как скрыть определенного пользователя на экране входа?
На экране входа в Windows всегда отображаются пользователи, которые входят в одну из следующих локальных групп: Администраторы, Пользователи, Опытные пользователи, Гости.
Вы можете скрыть определенных пользователей в списке на экране входа в систему через реестр. Для этого нужно создать ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. Для каждого пользователя, которого вы хотите скрыть, нужно создать DWORD параметр с именем пользователя и значением 0.
Список локальных пользователей можно вывести в PowerShell или cmd:
Net user
Или:
Get-LocalUser | where {$_.enabled –eq $true}
Эти команды выведут список локальных пользователей в вашей системе.
Чтобы скрыть определенного пользователя на экране входа Windows (например, user1), выполните команду:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v user1
Если вам нужно снова показать пользователя на экране входа, вам нужно удалить этот параметр из реестра или изменить его значение на 1.
Если на компьютере включен аккаунт встроенного администратора Windows, и это не единственный аккаунт с правами локального администратора на компьютере, вы также можете скрыть его:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v administrator
Если вы хотите скрыть всех пользователей, кроме последнего вошедшего, вы можете настроить следующие параметры GPO в разделе "Computer Configuration -> Administrative Templates -> System -> Logon":
- Enumerate local users on domain-joined computers = Отключено - эта политика позволяет вывести список локальных пользователей на доменных компьютерах.
- Do not enumerate connected users on domain-joined computer = Включено