После входа в Windows 10/11 на компьютере, который добавлен в домен Active Directory или Azure AD, пользователь может увидеть всплывающее сообщение в нижнем правом углу:
Операционной системе требуются ваши учетные данные. _x000D_Заблокируйте компьютер и разблокируйте его, используя последний пароль или смарт карту.
Windows needs your current credentials._x000D_ Please lock this computer, then unlock it using your most recent password or smart card.
Если заблокировать экран компьютера (Win+L) и ввести пароль/PIN от вашего аккаунта, сообщение опять появляется через некоторое время.
В некоторых случаях при блокировке экрана компьютера и вводе пароля, вы можете обнаружить что ваша учётная запись AD заблокирована .
Если проблема возникает при входе на компьютер с помощью учетной записи Microsoft (или Azure AD) с настроенным PIN (через Windows Hello ), скорее всего причина в том, что ваш текущий PIN создан с помощью вашего предыдущего пароля. Попробуйте пересоздать PIN для вашего аккаунта.
- Перейдите в раздел Settings -> Accounts -> You info ( команда быстрого доступа
ms-settings:yourinfo) и нажмите на кнопку Verify ;Опция доступа если вы вошли с учетной записью Microsoft. Если нет, здесь нужно нажать кнопку “ Sign in with a Microsoft Account instead ”.
- Выполните повторную верификацию и перезагрузите компьютер. После это Windows должна перестать требовать от вас учетные данные.
Если вы вошли на компьютер с учетной запись Azure, а на устройстве есть подключенные сетевые диски с помощью учетной записи локальной Active Directory, Windows может требовать выполнить проверку учетных данных AD. В этом случае нужно удалить все подключенные сетевые диски с помощью команды:
net use * /delete
Также рекомендует очистить сохраненные учетные данные в диспетчере паролей Windows . Выполните команду rundll32.exe keymgr.dll, KRShowKeyMgr и удалите все записи.
На компьютере в домене Active Directory можно отключить требовать повторный ввод учетных данных (не путать с автоматическим входом в Windows ) с помощью параметра GPO.
- Вы можете использовать локальный редактор GPO на компьютере (
gpedit.msc) или редактор доменных GPO (gpmc.msc); - Перейдите в раздел Computer Configuration -> Administrative Templets -> System -> Logon и найдите параметр “ Always wait for the network at computer startup and logon ”;
- Измените параметр политики на Disable и сохраните изменения.
- Перезагрузите компьютер чтобы применить настройки групповой политики .
Можно настроить этот параметр реестра с помощью PowerShell :
$null = Set-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTCurrentVersionWinlogon' -Name 'SyncForegroundPolicy' -Value 0 -Type 'DWord' Также проверьте в настройках учетной записи в AD, что для пользователя не настроено ограничение на часы входа (Logon Hours).
На компьютерах в домене Active Directory уведомление о необходимости повторно ввести учетные данные возникает, когда срок действия билета Kerberos истек. Вы можете вывести информацию о билетах Kerberos пользователя с помощью команды:
klist
Команду klist можно использовать для обновления билета Kerberos и членства в группах AD без перезагрузки .
Введите пароль чтобы обновить ваш билет Kerberos. В данном случае после блокировки экрана и повторного ввода пароля, ваш билет Kerbero будет обновлен и повторный запрос учетных данных не будет появляться. Вы можете убедиться, что проблема связана с Kerberos, если с помощью редактора атрибутов AD включите в настройках учетной записи пользователя ( атрибут userAccountControl ) параметр “ Do not require Kerberos Preauthentication ”. После этого Windows престанет повторно требовать ваши учетные данные (не рекомендуется оставлять этот параметр включенным по соображениям безопасности).
Если в вашей сети используется гибридная аутентификация (AAD и AD), или вы выполняете миграцию в облако, то чтобы избавиться от надоедливого запроса учетных данных на компьютерах в AAD, нужно сменить настройки DNS на компьютерах на внешние DNS сервера вместо локальных DNS серверов Active Directory.
