Показати чи сховати імена користувачів на екрані входу Windows

Як сховати ім'я останнього користувача на екрані привітання Windows?

Для зручності кінцевих користувачів на екрані входу до Windows зазвичай відображається ім'я облікового запису, і їм не потрібно вводити його вручну. Проте на публічних комп'ютерах у небезпечних місцях, з метою безпеки, можна заборонити відображення імені останнього користувача на екрані входу Windows за допомогою групової політики (Group Policy Object, GPO).

1. Для цього відкрийте редактор групових політик домену (gpmc.msc) або локальних політик (gpedit.msc) і перейдіть до розділу "Конфігурація комп'ютера" -> "Конфігурація Windows" -> "Параметри безпеки" -> "Місцеві політики" -> "Параметри безпеки" (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options).
2. Увімкніть політику "Інтерактивний вхід в систему: Не показувати дані останнього користувача" (Interactive logon: Don’t display last signed-in). За замовчуванням ця політика вимкнена.

Якщо вам потрібно приховати ім'я останнього користувача на екрані входу в Windows через реєстр, ви можете виконати наступні кроки:

1. Відкрийте Редактор реєстру (Registry Editor), натиснувши Win + R, введіть "regedit" та натисніть Enter.
2. Перейдіть до наступного шляху: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Якщо гілки System або параметра dontdisplaylastusername немає, ви можете їх створити.
3. Створіть новий параметр з назвою dontdisplaylastusername типу DWORD (якщо його ще немає) та встановіть його значення 1.

Це призведе до того, що ім'я останнього користувача не буде відображатися на екрані входу в Windows.

Зверніть увагу, що внесення змін до реєстру може вплинути на роботу вашої системи, тому переконайтеся, що ви розумієте, що робите, і створіть резервну копію реєстру перед внесенням змін.

   3. Для того щоб сховати ім'я користувача на екрані блокування (коли комп'ютер блокується натисканням Win+L або через GPO блокування екрана), вам потрібно увімкнути відповідну політику через Групову політику (GPO):

1. Відкрийте редактор Групових політик домену (gpmc.msc) або локальних політик (gpedit.msc).
2. Перейдіть до розділу "Конфігурація комп'ютера" -> "Конфігурація Windows" -> "Параметри безпеки" -> "Місцеві політики безпеки" -> "Параметри безпеки" (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options).
3. Знайдіть політику "Інтерактивний вхід в систему: показувати інформацію про користувача, якщо сеанс заблоковано" (Interactive logon: Display user information when the session is locked) та встановіть значення "Не показувати інформацію про користувача" (Do not display user information).

Це дозволить сховати ім'я користувача на екрані блокування при використанні функції блокування екрана в Windows через GPO.

Цій політиці відповідає параметр реєстра DontDisplayLockedUserId в тій самій гілці зі значенням 3

Із задіянням цієї політики на екрані входу та екрані блокування Windows замість імені останнього користувача будуть відображені порожні поля для введення імені користувача та пароля. Це забезпечить більшу конфіденційність та безпеку, особливо на публічних комп'ютерах або в умовах, де є ризик несанкціонованого доступу до системи.

За допомогогою параметра DisableBackButton реєстра можна сховати список користувачів на екрані блокування:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /t REG_DWORD /f /d 0 /v DisableBackButton

Після включення цієї політики для розблокування екрану користувачеві потрібно лише ввести пароль, а для відображення списку усіх користувачів буде потрібно натиснути кнопку "Перемкнути користувача" на екрані блокування. Це додає додатковий рівень безпеки, оскільки доступ до списку користувачів стає доступним лише після явної дії користувача.

Показати список локальних користувачів на екрані входу у Windows

У сучасних версіях Windows, таких як Windows 11 23H2 і Windows 10 22H2, за замовчуванням на комп'ютерах, що не включені в домен Active Directory, у лівому нижньому куті екрана завжди відображається список включених локальних користувачів. Однак приховані або вимкнені облікові записи користувачів тут не відображаються, що сприяє загальній безпеці системи. Це дозволяє користувачам швидко вибирати свої облікові записи для входу, спрощуючи процес аутентифікації.

Щоб увійти на комп'ютер, користувачу достатньо натиснути по потрібній обліковій та ввести пароль.

Якщо для облікової не задано пароль (пустий пароль), то для автоматичного входу локального користувача достатньо натиснути кнопку Sign-In.

Якщо список локальних користувачів не відображається на екрані входу Windows, можна перевірити налаштування наступних параметрів у редакторі локальної групової політики (gpedit.msc):

Interactive Logon: Don’t display last signed-in (Інтерактивний вхід в систему: Не відображати дані останнього користувача) = Вимкнено (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options) - ця політика визначає, чи відображаються дані останнього ввійшовшого користувача на екрані входу.

Enumerate local users on domain-joined computers (Перелічити локальних користувачів на комп'ютерах, приєднаних до домену) = Увімкнено (Computer Configuration -> Administrative Templates -> System -> Logon / Конфігурація комп'ютера -> Адміністративні шаблони -> Вхід в систему) - ця політика дозволяє перелічити локальних користувачів на комп'ютерах, які приєднані до домену.

Переконайтеся, що ці налаштування встановлені відповідно до вашої конфігурації системи.

Перевантажте комп'ютер, що б застосувати нові параметри групових політик.

Вивести список домених користувачів на екрані входу в Windows

Якщо на одному комп'ютері користуються кілька користувачів, ви можете відобразити на екрані привітання список користувачів з активними сеансами. Активний сеанс передбачає, що користувач увійшов до комп'ютера. Це може бути загальний комп'ютер (який працює в режимі перемикання користувачів), каса, кіоск, сервери Windows Server з роллю RDS (або їх аналоги з підтримкою мультсесій на десктопних версіях Windows).

Переконайтеся, що в розділі GPO "Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options" відключені такі політики:

1. Interactive logon: Don’t display last signed-in (Інтерактивний вхід в систему: не відображати останнього ввійшовшого): Вимкнено
2. Interactive logon: Don’t display username at sign in (Інтерактивний вхід в систему: не відображати ім'я користувача під час входу): Вимкнено

Потім відключіть такі політики в розділі "Computer Configuration -> Administrative Templates -> System -> Logon":

1. Block user from showing account details on sign-in (Заборонити користувачу показувати деталі облікового запису при вході): Вимкнено
2. Do not enumerate connected users on domain-joined computer (Не перелічувати підключених користувачів на комп'ютері, що приєднаний до домену): Вимкнено

Після виконання цих кроків на екрані привітання буде відображено список користувачів з активними сеансами.

На доменному комп'ютері ви можете перевірити результативні налаштування цих параметрів ГПО за допомогою інструментів поточного стану політик групової політики (Group Policy) за допомогою команди gpresult у командному рядку або за допомогою інструменту Resultant Set of Policy (RSOP), який запускається за допомогою команди rsop.msc.

Після налаштування вказаних параметрів на екрані привітання буде відображений список користувачів, які ввійшли до системи. Тут будуть відображатися як активні сеанси, так і сеанси користувачів зі статусом "відключено" (наприклад, через таймаут RDP).

Порада.  Замість стандартних іконок користувачів на екрані входу Windows можна показати їх фото з Active Directory

Як сховати окремого користувача на екрані входу?

На екрані входу в Windows завжди відображаються користувачі, які належать до однієї з таких локальних груп: Адміністратори, Користувачі, Досвідчені користувачі, Гості.

Ви можете приховати певних користувачів у списку на екрані входу в систему через реєстр. Для цього вам потрібно створити гілку реєстру HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. Для кожного користувача, якого ви хочете приховати, потрібно створити DWORD параметр з іменем користувача і значенням 0.

Список локальних користувачів можна вивести в PowerShell або cmd:

Net user

Або:

Get-LocalUser | where {$_.enabled –eq $true}

Ці команди виведуть список локальних користувачів у вашій системі.

Що б сховати окремого користувача на екрані входу Windows (наприклад user1), виконайте команду:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v user1

Якщо вам знову потрібно показати користувача на екрані входу, ви можете видалити цей параметр з реєстру або змінити його значення на 1.

Якщо на комп'ютері увімкнений обліковий запис вбудованого адміністратора Windows, і це не єдиний обліковий запис з правами локального адміністратора на комп'ютері, ви також можете приховати його:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v administrator

Якщо ви хочете приховати всіх користувачів, крім останнього ввійшовшого, ви можете налаштувати такі параметри ГПО в розділі "Конфігурація комп'ютера -> Адміністративні шаблони -> Система -> Вхід в систему":

1. Enumerate local users on domain-joined computers = Вимкнено - ця політика дозволяє вивести список локальних користувачів на доменних комп'ютерах.
2. Do not enumerate connected users on domain-joined compute = Увімкнено