Windows 11: jak ominąć wymóg konta Microsoft bez żadnego programu? Porada

Windows 11 w wersji 22H2 nie pozwala ukończyć konfiguracji bez założenia konta Microsoft. Można “przebić się” przez kreator zakładając wadliwe konto, ale system będzie ustawicznie próbował je synchronizować. Czy konta lokalne zniknęły?

Naturalnie, Windows 11 wciąż obsługuje konta lokalne. Powinno to być oczywiste z dwóch powodów. Po pierwsze, Windows musi utrzymywać wsparcie dla kont domenowych, co oznacza że “rozumie” konta inne niż “konto Microsoft”. Active Directory będzie wszak umierać bardzo powoli, na przestrzeni dekad, a nie miesięcy. Zatem środowiska firmowe i wersja Enteprise zapewniają, że Windows będzie działał po staremu.

Po drugie, konto Microsoft to w lekkie oszustwo. Z perspektywy systemu Windows (a raczej mechanizmu SAM), “konto Microsoft” to konto jak każde inne, zawierające swój SID i lokalny katalog domowy. Jedyna różnica jest taka, że jego przynależność do jednostki organizacyjnej “MicrosoftAccount” wymusza stosowanie konkretnego dostawcy poświadczeń (Credential Providers). W przypadku kont Microsoft, możliwe jest stosowanie tylko jednego, obowiązkowego dostawcy: usługi uwierzytelniania Microsoft, znanej uprzednio pod nazwą “Windows Live ID”.

Wdrożenia nienadzorowane

Windows 11 umie zatem obsługiwać konta lokalne. Czy da się go do tego zmusić bez stosowania wersji Enterprise? Tak – stosując plik odpowiedzi dla instalacji nienadzorowanych. Instalator Windows może być bowiem zaopatrzony w odpowiedzi na wszystkie zadawane pytania, za pomocą pliku XML. Domyślnie jest on dostarczany przez środowisko wdrożeń nienadzorowanych (WDS lub MDT), ale można go także przygotować samodzielnie. Umieszczenie w głównym katalogu (nośnika instalacyjnego, np. pendrive’a) pliku “autounattend.xml” sprawi, że instalator będzie szukał w nim odpowiedzi. Jeżeli je znajdzie, nie zada pytania.

Można odpowiedzieć na część pytań, można na wszystkie. Narzędzia Automated Installation Kit pozwalają wygenerować plik XML z odpowiedziami dla wielu sekcji, w tym także… zakładania użytkowników. Umieszczenie w pliku odpowiedzi poświadczeń dla użytkownika lokalnego oraz wyłączenie sekcji tworzenia konta Microsoft sprawi, że Windows pominie kreator kont i zaloguje nas od razu do nowego konta zdefiniowanego z pliku. XML z odpowiedziami wygląda następująco:

<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
	<settings pass="oobeSystem">
		<component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<InputLocale>0415:00000415</InputLocale>
			<SystemLocale>pl-PL</SystemLocale>
			<UILanguage>pl-PL</UILanguage>
			<UILanguageFallback>pl-PL</UILanguageFallback>
			<UserLocale>pl-PL</UserLocale>
		</component>
		<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<OOBE>
				<HideEULAPage>true</HideEULAPage>
				<HideLocalAccountScreen>true</HideLocalAccountScreen>
				<HideOnlineAccountScreens>true</HideOnlineAccountScreens>
				<HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>
			</OOBE>
			<UserAccounts>
				<LocalAccounts>
					<LocalAccount wcm:action="add">
						<Description>Konto Lokalne</Description>
						<DisplayName>devmasters</DisplayName>
						<Group>Administrators</Group>
						<Name>devmasters</Name>
						<Password>
							<PlainText>true</PlainText>
							<Value>abc123</Value>
						</Password>
					</LocalAccount>
				</LocalAccounts>
			</UserAccounts>
		</component>
	</settings>
	<settings pass="specialize">
		<component name="Microsoft-Windows-Security-SPP-UX" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<SkipAutoActivation>true</SkipAutoActivation>
		</component>
	</settings>
	<settings pass="windowsPE">
		<component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<InputLocale>0415:00000415</InputLocale>
			<SystemLocale>pl-PL</SystemLocale>
			<UILanguage>pl-PL</UILanguage>
			<UILanguageFallback>pl-PL</UILanguageFallback>
			<UserLocale>pl-PL</UserLocale>
			<SetupUILanguage>
				<UILanguage>pl-PL</UILanguage>
			</SetupUILanguage>
		</component>
		<component name="Microsoft-Windows-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<Diagnostics>
				<OptIn>true</OptIn>
			</Diagnostics>
			<DynamicUpdate>
				<Enable>true</Enable>
				<WillShowUI>OnError</WillShowUI>
			</DynamicUpdate>
			<ImageInstall>
				<OSImage>
					<WillShowUI>OnError</WillShowUI>
					<InstallFrom>
						<MetaData wcm:action="add">
							<Key>/IMAGE/INDEX</Key>
							<Value>1</Value>
						</MetaData>
					</InstallFrom>
				</OSImage>
			</ImageInstall>
			<UserData>
				<AcceptEula>true</AcceptEula>
				<ProductKey>
					<Key></Key>
				</ProductKey>
			</UserData>
		</component>
	</settings>
</unattend>

Stosując plik w powyższej postaci, instalator systemu zapyta tylko o układ partycji, a następnie (po restarcie) przejdzie od razu do kreatora OOBE. Zamiast żądać zakładania konta Microsoft, zapyta o lokalizację, prywatność, rozpoznawanie pisma i identyfikatory reklamowe. Po przejściu kreatora zostaniemy zalogowani do systemu za pomocą podanego konta. Okno Ustawienia opisze je jako “Konto lokalne”. W niniejszym przykładzie jest to konto “devmasters” z hasłem “abc123”.

Całkowita automatyzacja?

Co z resztą pytań (lokalizacja, telemetria itp.)? Czy te także da się usunąć? Według Microsoftu – już nie. Wersje 1709 i nowsze zmuszają do wyświetlania kreatora ustawień prywatności. Wynika to z praktyki rynkowej: automatyzację wykorzystywali głównie producenci sprzętu, a Microsoftowi zależało na tym, by klienci świadomie zgadzali się na kwestie wyświetlane w kreatorze OOBE. Co zatem ze środowiskami nienadzorowanymi w firmach? Jak radzi sobie z tym Windows Deployment Services?

Otóż… nie radzi sobie. Windows 11 podobno nie obsługuje wdrożeń nienadzorowanych z wykorzystaniem WDS i wymaga MDT. Ponadto, klucze SkipMachineOOBE i SkipUserOOBE, likwidujące kreatory, są już “nieobsługiwane”. Kreator jest więc obowiązkowy. W firmach jednak nie wyświetla się – MDT zapewne ukrywa go korzystając właśnie z tych kluczy, ale w przypadku użytkownika indywidualnego, są one “nieobsługiwane”.

Wynika to zapewne z tego, że usunięcie kreatora wymaga ustawienia opcji prywatności wewnątrz obrazu WIM, a nie tylko z użyciem pliku odpowiedzi. Bez tych ustawień, kreator OOBE (pracujący pod kontrolą użytkownika “defaultuser0”) utworzy potencjalnie niekompletne/wadliwe konto. Wyżej wymienione opcje pliku odpowiedzi działają i da się ukryć kreator, jeżeli zmodyfikuje się WIM. Ponieważ jednak funkcja ta nie jest wspierana przez Microsoft, nie umieszczamy jej w powyższym pliku odpowiedzi.

Tagi:

Podziel się postem :)

Najnowsze:

Oprogramowanie

Zmiany w Gmailu. Wyszukiwarka staje się “inteligentniejsza”

Google wprowadza zmiany w swoich usługach, w tym w wyszukiwarce działającej w Gmailu. W praktyce chodzi o rozszerzenie zmian z zapowiedzi, która pojawiła się już w lipcu tego roku. Gmail będzie teraz sprawniej szukać wiadomości zależnie od poprzednich działań użytkownika.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *