GPO – automatische Anmeldung / Autologin

Es gibt natürlich aus Anwendungsfälle, in denen das automatische Anmelde am Windows System Sinn macht. Digital Signage Devices, Kioske oder Präsentationsgeräte oder auch Server auf denen der Start einer Anwendung notwendig ist. Wir können dazu das Autologon Tool von Sysinternals verwenden und auf jedem Zielgerät ausführen oder eine GPO definieren und den entsprechenden Systemen zu weisen.

Gruppenrichtlinie (GPO) für das Autologin anlegen

Gehen wir davon aus, dass wir einen Windows Server haben, auf dem immer eine Anwendungen unter dem AD-Nutzer „service.signage“ laufen muss. Wir legen in der Gruppenrichtlinienverwaltung eine GPO namens „set Autologin user service.signage“ an. Anschließend editieren wir die und tragen folgende Werte in der „Computerkonfiguration > Preferences > Windows Settings > Registry“ an.

Warum Logindaten in die Computerkonfiguration und nicht Benutzerkonfiguration?

Wenn ihr die Logindaten unterhalb der Computerkonfiguration konfiguriert, habt ihr den Vorteil dass die Logindaten schon beim ersten Start vor dem Login angewendet werden. Konfiguriert ihr die Autologindaten innerhalb der Benutzerkonfiguration, werden diese erst auf dem Computer nach dem ersten Login angewendet. Na und? Nix na und… Wenn ihr 40 Windows Geräte zum Beispiel Signage Geräte habt, braucht ihr diese nur in das Active-Directory heben, neustarten und warten bis sich die Geräte beim ersten Start oder nach etwa 60 Minuten, die GPO Settings gezogen haben. ODER mühevoll an allen Geräten einmal manuell anmelden…

Zurück zur Konfiguration

  • Ordner „Autologon“ um die Werte schön zu gruppieren / Übersichtlichkeit.
  • innerhalb des Ordners „Autologon“ legt ihr die folgenden vier Einträge an
WertHiveKey Path
AutoAdminLogonHKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DefaultDomainNameHKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DefaultPasswordHKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DefaultUserNameHKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
notwendige Registry Werte für den Autologin

Gruppenrichtlinie (GPO) Active-Directory Gruppe zuweisen

Nach dem die GPO erstellt ist, muss diese natürlich den entsprechenden Maschine zugeordnet werden. Dazu haben wir zwei oder sogar drei Möglichkeiten

  • Zuordnung über Active-Directory Gruppe (AD-Gruppe)
  • Zuordnung über Active-Directory OU (AD-OU)
  • oder direkt über das Active-Directroy Computerkonto (am wenigstens zu empfehlen)

Alles hat seine Vor-und Nachteile doch Eines kann ich sagen: Oftmals bleibt es nicht bei einem System und von daher lässt es sich am einfachsten über die AD-Gruppe der AD-OU umsetzen und erweitern.

In diesem Beispiel entscheide ich mich für die AD-Gruppe, da in absehbarer Zeit noch weitere Server oder Client mit diesem Konto per Autologon versorgt werden sollen. Dazu habe ich eine AD-Gruppe namens „clients with autologon service.signage“ angelegt und die Computerkonten „Office01“ der AD-Gruppe zugeordnet. Natürlich muss die erstellte GPO auch noch an eine OU angehängt werden. In meinem Fall an die OU „signage devices“

Des weiteren muss noch dafür gesorgt werden, dass der Scope/Sicherheitsfilter der GPO nur auf die Mitglieder der AD-Gruppe „clients with autologon service.signage“ angewendet wird.

  • Register „Delegation“ der GPO „advanced“ öffnen
  • bei Authenticated User Häkchen bei „apply“ entfernen
  • AD-Gruppe „clients with autologon service.signage“ hinzufügen und apply Häkchen setzen

Gruppenrichtlinie auf dem Client anwenden

Nach dem die ganzen Vorarbeiten gemacht sind, müssen wir natürlich noch sicherstellen dass die GPO auch korrekt angewendet wird. Entweder bemerkt ihr beim Neustart, dass das Gerät sich schon automatisch anmelden, was natürlich der Optimalfall ist. Klappt es nicht aufgrund der Synchronisationslatenzen (z.B. in großen Umgebungen), müsst ihr folgende Schritte unternehmen.

Meldet euch an dem Gerät mit dem finalen Nutzer oder Admin.-Konto an, startet eine Console mit „Win+R“ > CMD und gebt „gpupdate /force“ ein. Nun wird der Computer gezwungen sich die neusten GPO’s vom Domaincontroller zu ziehen und anzuwenden. Ist der Befehl durch, könnt ihr die Anwendung noch mal rüfen mit dem Befehl „gpresult /r“. Nach einem erneuten Neustart, sollte sich der Client nun automatisch anmelden.

gpupdate /force
gpresult /r
shutdown -r -t 0

Es gibt auch eine Möglich innerhalb eine GPO den Schalter zu setzen, dass die Computer bei der Anmeldung erst auf das Netzwerk warten, bevor diese sich weiter Anmelden. Damit stellt man sicher, dass die GPO’s gezogen werden können, weil der Rechner erst noch auf die Netzwerkkkarte wartet. Es gab in der Vergangenheit immer mal Probleme mit einigen Netzwerkkarten und langsamen DHCP Servern, weshalb die Computer ohne Netzwerk sich mit den gecachten Credentials angemeldet haben.

In der Registry kann man natürlich auch prüfen dass die Einstellungen angekommen sind.

GANZ WICHTIG! Nie die Nerven verlieren und im Zweifel in die Logfiles von Windows rein sehen. GPUPDATE und GPRESULT sind ebenfalls sehr hilfreich bei der Fehlersuche.

weitere Beiträge über Gruppenrichtlinien

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.