Windows 11: jak ominąć wymóg konta Microsoft bez żadnego programu? Porada

Windows 11 w wersji 22H2 nie pozwala ukończyć konfiguracji bez założenia konta Microsoft. Można “przebić się” przez kreator zakładając wadliwe konto, ale system będzie ustawicznie próbował je synchronizować. Czy konta lokalne zniknęły?

Naturalnie, Windows 11 wciąż obsługuje konta lokalne. Powinno to być oczywiste z dwóch powodów. Po pierwsze, Windows musi utrzymywać wsparcie dla kont domenowych, co oznacza że “rozumie” konta inne niż “konto Microsoft”. Active Directory będzie wszak umierać bardzo powoli, na przestrzeni dekad, a nie miesięcy. Zatem środowiska firmowe i wersja Enteprise zapewniają, że Windows będzie działał po staremu.

Po drugie, konto Microsoft to w lekkie oszustwo. Z perspektywy systemu Windows (a raczej mechanizmu SAM), “konto Microsoft” to konto jak każde inne, zawierające swój SID i lokalny katalog domowy. Jedyna różnica jest taka, że jego przynależność do jednostki organizacyjnej “MicrosoftAccount” wymusza stosowanie konkretnego dostawcy poświadczeń (Credential Providers). W przypadku kont Microsoft, możliwe jest stosowanie tylko jednego, obowiązkowego dostawcy: usługi uwierzytelniania Microsoft, znanej uprzednio pod nazwą “Windows Live ID”.

Wdrożenia nienadzorowane

Windows 11 umie zatem obsługiwać konta lokalne. Czy da się go do tego zmusić bez stosowania wersji Enterprise? Tak – stosując plik odpowiedzi dla instalacji nienadzorowanych. Instalator Windows może być bowiem zaopatrzony w odpowiedzi na wszystkie zadawane pytania, za pomocą pliku XML. Domyślnie jest on dostarczany przez środowisko wdrożeń nienadzorowanych (WDS lub MDT), ale można go także przygotować samodzielnie. Umieszczenie w głównym katalogu (nośnika instalacyjnego, np. pendrive’a) pliku “autounattend.xml” sprawi, że instalator będzie szukał w nim odpowiedzi. Jeżeli je znajdzie, nie zada pytania.

Można odpowiedzieć na część pytań, można na wszystkie. Narzędzia Automated Installation Kit pozwalają wygenerować plik XML z odpowiedziami dla wielu sekcji, w tym także… zakładania użytkowników. Umieszczenie w pliku odpowiedzi poświadczeń dla użytkownika lokalnego oraz wyłączenie sekcji tworzenia konta Microsoft sprawi, że Windows pominie kreator kont i zaloguje nas od razu do nowego konta zdefiniowanego z pliku. XML z odpowiedziami wygląda następująco:

<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
	<settings pass="oobeSystem">
		<component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<InputLocale>0415:00000415</InputLocale>
			<SystemLocale>pl-PL</SystemLocale>
			<UILanguage>pl-PL</UILanguage>
			<UILanguageFallback>pl-PL</UILanguageFallback>
			<UserLocale>pl-PL</UserLocale>
		</component>
		<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<OOBE>
				<HideEULAPage>true</HideEULAPage>
				<HideLocalAccountScreen>true</HideLocalAccountScreen>
				<HideOnlineAccountScreens>true</HideOnlineAccountScreens>
				<HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>
			</OOBE>
			<UserAccounts>
				<LocalAccounts>
					<LocalAccount wcm:action="add">
						<Description>Konto Lokalne</Description>
						<DisplayName>devmasters</DisplayName>
						<Group>Administrators</Group>
						<Name>devmasters</Name>
						<Password>
							<PlainText>true</PlainText>
							<Value>abc123</Value>
						</Password>
					</LocalAccount>
				</LocalAccounts>
			</UserAccounts>
		</component>
	</settings>
	<settings pass="specialize">
		<component name="Microsoft-Windows-Security-SPP-UX" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<SkipAutoActivation>true</SkipAutoActivation>
		</component>
	</settings>
	<settings pass="windowsPE">
		<component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<InputLocale>0415:00000415</InputLocale>
			<SystemLocale>pl-PL</SystemLocale>
			<UILanguage>pl-PL</UILanguage>
			<UILanguageFallback>pl-PL</UILanguageFallback>
			<UserLocale>pl-PL</UserLocale>
			<SetupUILanguage>
				<UILanguage>pl-PL</UILanguage>
			</SetupUILanguage>
		</component>
		<component name="Microsoft-Windows-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<Diagnostics>
				<OptIn>true</OptIn>
			</Diagnostics>
			<DynamicUpdate>
				<Enable>true</Enable>
				<WillShowUI>OnError</WillShowUI>
			</DynamicUpdate>
			<ImageInstall>
				<OSImage>
					<WillShowUI>OnError</WillShowUI>
					<InstallFrom>
						<MetaData wcm:action="add">
							<Key>/IMAGE/INDEX</Key>
							<Value>1</Value>
						</MetaData>
					</InstallFrom>
				</OSImage>
			</ImageInstall>
			<UserData>
				<AcceptEula>true</AcceptEula>
				<ProductKey>
					<Key></Key>
				</ProductKey>
			</UserData>
		</component>
	</settings>
</unattend>

Stosując plik w powyższej postaci, instalator systemu zapyta tylko o układ partycji, a następnie (po restarcie) przejdzie od razu do kreatora OOBE. Zamiast żądać zakładania konta Microsoft, zapyta o lokalizację, prywatność, rozpoznawanie pisma i identyfikatory reklamowe. Po przejściu kreatora zostaniemy zalogowani do systemu za pomocą podanego konta. Okno Ustawienia opisze je jako “Konto lokalne”. W niniejszym przykładzie jest to konto “devmasters” z hasłem “abc123”.

Całkowita automatyzacja?

Co z resztą pytań (lokalizacja, telemetria itp.)? Czy te także da się usunąć? Według Microsoftu – już nie. Wersje 1709 i nowsze zmuszają do wyświetlania kreatora ustawień prywatności. Wynika to z praktyki rynkowej: automatyzację wykorzystywali głównie producenci sprzętu, a Microsoftowi zależało na tym, by klienci świadomie zgadzali się na kwestie wyświetlane w kreatorze OOBE. Co zatem ze środowiskami nienadzorowanymi w firmach? Jak radzi sobie z tym Windows Deployment Services?

Otóż… nie radzi sobie. Windows 11 podobno nie obsługuje wdrożeń nienadzorowanych z wykorzystaniem WDS i wymaga MDT. Ponadto, klucze SkipMachineOOBE i SkipUserOOBE, likwidujące kreatory, są już “nieobsługiwane”. Kreator jest więc obowiązkowy. W firmach jednak nie wyświetla się – MDT zapewne ukrywa go korzystając właśnie z tych kluczy, ale w przypadku użytkownika indywidualnego, są one “nieobsługiwane”.

Wynika to zapewne z tego, że usunięcie kreatora wymaga ustawienia opcji prywatności wewnątrz obrazu WIM, a nie tylko z użyciem pliku odpowiedzi. Bez tych ustawień, kreator OOBE (pracujący pod kontrolą użytkownika “defaultuser0”) utworzy potencjalnie niekompletne/wadliwe konto. Wyżej wymienione opcje pliku odpowiedzi działają i da się ukryć kreator, jeżeli zmodyfikuje się WIM. Ponieważ jednak funkcja ta nie jest wspierana przez Microsoft, nie umieszczamy jej w powyższym pliku odpowiedzi.

Tagi:

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Przestępcza klika Putina zamawia SI. Wyśledzi w sieci niepożądane przez nich treści

Rosysjki regulator mediów Roskomnadzor zamówił oprogramowanie oparte na sztucznej inteligencji, które będzie wykrywało w sieci materiały uważane za niedozwolone. Biorąc pod uwagę podpisaną przez Władimira Putina ustawę o “fake newsach”, narzędzie będzie zapewne śledziło również treści potępiające wojnę w Ukrainie.

Mobilne

Nowości w WhatsApp. Nowa aplikacja na komputery

Po fali krytyki ze strony użytkowników WhatsApp wreszcie wypuścił zupełnie nową wersję aplikacji na Windowsa. To nie koniec – podobna zmiana czeka WhatsApp na macOS.

Bezpieczeństwo

Wielka wpadka GIOŚ. Wyciekły dane osób, które informowały o zatruciu Odry!

Serwis lwowecki.info dotarł do ciekawych informacji. Okazuje się, że prawdopodobnie wyciekły dane osób, które informowały GIOŚ o nieprawidłowościach ws. zatrucia Odry. Urzędnicy przez przypadek mieli udostępnić imiona i nazwiska, adresy zamieszkania, numery telefonu oraz maile osób zgłaszających, włącznie z treścią pisma.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.