2010年12月31日

Windows7でクラシックログオン

Windows7ではどうやってもクラシックログオンは出来ないらしいのですが、どうにかならんかと戦ってみた時のログです。

まずドメインに参加していないWindows7では、標準の全てのユーザが一覧で並ぶようこそ画面か、毎回ユーザ名とパスワードを入力する画面のいずれかしか選択できません。

WindowsXPまで選択できたシンプルなクラシックログオン画面についてはWindows7ではどうやっても選択できません。

まぁ、これはOSの進歩と言うことでしょうがないのですが、ここで問題になるには通常ユーザは簡単にログインできるようにしておきながら、ローカルログオン可能な管理者アカウントを非表示で作成しておけないと言うことです。

非表示にするだけならWindows7でも

にあるように下記のキー

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList

に非表示にしたいユーザ名のDROW値キーを作成し値を0にすればいいのですが、クラシックログインのないWindows7でこれをやってしまうとどうやってもそのアカウントではローカルログイン出来なくなってしまいます。

まぁ、回避策はあって、下記を参考に最後のユーザ名を非表示にする設定をすればいいのですが、そうすると毎回ユーザ名をキーボードで入力しないといけなくなるので、シングルユーザやライトユーザしか使わない場合には大変面倒です。

で、どうにかならないからいろいろな設定を試してみたのですが、結果から言うと出来ません(笑)

個人的にはドメインに参加時の適用されるログイン画面(下図)に設定できれば回避できると思ってその方向で調べてみたのですが、このログオン画面も結局ドメイン参加時以外有効にならなくて挫折しました。
ログオン画面

(ログイン画面についての利用方法の詳細は下記がわかりやすいです。)

実は、こちらはグループポリシーに「常に従来のログオンを使う」という期待できそうな設定があって、

  • Windows 7 の既定の設定では、コンピューターがホーム グループやワーク グループに参加している場合は "ようこそ画面" が表示され、コンピューターがドメインに参加している場合は "ログオン画面" が表示されます。

    ようこそ画面では、コンピューターに登録されているアカウントが一覧表示されます。表示されたアカウントを使用してコンピューターにログオンするには、アカウントをクリックし、必要に応じてパスワードを入力します。ただし、ようこそ画面には、コンピューターに登録されているすべてのアカウントが表示されるわけではありません。Administrator など、一部のアカウントは表示されません。ようこそ画面には、すべての利用可能なアカウントが一覧表示されるので便利ですが、ようこそ画面ではなく、ログオン画面を使用して、アカウントが一覧表示されないようにすることで、ホームグループやワークグループのセキュリティを強化できます。

    ログオン画面では、ユーザーは、利用可能なアカウントの一覧からアカウントを選択するのではなく、ログオン名を入力する必要があります。ログオン画面では、いくつかの機能を制御できます。既定では、ログオン画面の [ユーザー名] ボックスには、最後にログオンしたユーザーの名前が表示されますが、最後にログオンしたユーザー名を表示しないようにして、セキュリティを強化できます。この設定では、ユーザーが、コンピューターにログオンできる有効なアカウント名を把握している必要があります。この設定を変更するには、管理ツールのローカル セキュリティ ポリシー ツールを起動するか、管理者特権で実行しているコマンド プロンプトで「secpol.msc」と入力します。[ローカル ポリシー]、[セキュリティ オプション] を順に展開し、[対話型ログオン: 最後のユーザー名を表示しない] をダブルクリックします。[有効] をクリックし、[OK] をクリックします。

    ようこそ画面を使用するかどうかは、グループ ポリシーの [常に従来のログオンを使う] の設定を使用して構成できます。この設定は、次のように構成できます。

    * このポリシーを有効にして、ようこそ画面ではなくログオン画面を使用する

と、いかにも出来そうな事が書いてあるのですが、実際に適用すると何も変わらないと言う罠。

そのほかにもCtrl+Alt+Deleteの有効化・無効化等のローカルセキュリティポリシーの組み合わせやいろいろなレジストリ設定を試したりしたのですが、どれもダメ。

挙げ句の果てにSambaサーバのドメインに参加して参加前後のレジストリ設定を比較したりと色々やってみたのですが、結局ドメインに参加するしかようこそ画面からログオン画面に切り換えられずに断念しました。

なお、ドメインに参加してでもいいからログイン画面が使いたい人は、上記のようにSambaドメインを作成してそれに参加すればよいですし、ドメインサーバを立てている知り合いがいればそこに混ぜて貰うという荒技もあります。
(その知り合いにPCの全権を取られるのと同義ですので全くお勧めできませんが)

そうそう、遠隔地のドメインに参加するには下記のような方法もありますので、忘備録として記載しておきます。

Posted by Takuchan at 2010年12月31日 22:27 | トラックバック(0)

「ようこそ」画面ではなく、ユーザー名入力が必須となるログオン画面の設定を見つけたので、こちらお知らせいたします。

・管理者特権で実行しているコマンド プロンプトで「secpol.msc」と入力します。
・[ローカル ポリシー]、[セキュリティ オプション] を順に展開。
・[対話型ログオン: 最後のユーザー名を表示しない] をダブルクリックします。
・[有効] をクリックし、[OK] をクリックします。

引用元:「ヒント: ようこそ画面と従来のログオン画面について理解して構成する」
technet.microsoft.com/ja-jp/windows/ff189327

何日も探してやっと辿り着きました。

Posted by: mojisan at 2012年01月25日 11:59

最後にログインしたユーザを表示しつつ、隠れたログインユーザでもログインさせたい・・・。
つまり、「ドメインに参加時の適用されるログイン画面」で表示されている状態に、ドメイン不参加状態(ワークグループ運用)でも設定できましたので、コメントしておきます。

ようこそ画面から表示を消す「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList」のレジストリに、ユーザを全部登録します。

すると・・・

最後にログインしたユーザIDが画面に表示され、その横に「他のユーザー」のアイコンが表示されました。(Win 7)

経験則なので、これが正しいやり方かどうかはわかりませんが、ご参考までに・・・。


※自己責任でお願いします。
 特に、管理者権限で起動できなくなると、にっちもさっちも行かなくなることがあります。

Posted by: ドーナツ大好き at 2012年02月20日 20:09

全ユーザを非表示にしてしまえばドメイン参加時と同じ動きになるのですね。
大変参考になります。

ただ、この設定を行った後に、管理者権限がないユーザを追加して、レジストリで消すのを忘れると管理者権限でローカルログインできなくなるので、常用するには若干リスキーな感じはありますね。

ひとまず、ご連絡ありがとうございました。

Posted by: Takuchan at 2012年03月04日 19:47