Windows 11: jak ominąć konto Microsoft bez żadnego programu?

Windows 11 w wersji 22H2 nie pozwala ukończyć konfiguracji bez założenia konta Microsoft. Można "przebić się" przez kreator zakładając wadliwe konto, ale system będzie ustawicznie próbował je synchronizować. Czy konta lokalne zniknęły?

Windows 11: jak ominąć konto Microsoft
Windows 11: jak ominąć konto Microsoft
Źródło zdjęć: © Licencjodawca | Kamil Dudek
Kamil J. Dudek

12.07.2022 | aktual.: 12.07.2022 10:46

Naturalnie, Windows 11 wciąż obsługuje konta lokalne. Powinno to być oczywiste z dwóch powodów. Po pierwsze, Windows musi utrzymywać wsparcie dla kont domenowych, co oznacza że "rozumie" konta inne niż "konto Microsoft". Active Directory będzie wszak umierać bardzo powoli, na przestrzeni dekad, a nie miesięcy. Zatem środowiska firmowe i wersja Enteprise zapewniają, że Windows będzie działał po staremu.

Po drugie, konto Microsoft to w lekkie oszustwo. Z perspektywy systemu Windows (a raczej mechanizmu SAM), "konto Microsoft" to konto jak każde inne, zawierające swój SID i lokalny katalog domowy. Jedyna różnica jest taka, że jego przynależność do jednostki organizacyjnej "MicrosoftAccount" wymusza stosowanie konkretnego dostawcy poświadczeń (Credential Providers). W przypadku kont Microsoft, możliwe jest stosowanie tylko jednego, obowiązkowego dostawcy: usługi uwierzytelniania Microsoft, znanej uprzednio pod nazwą "Windows Live ID".

Wdrożenia nienadzorowane

Windows 11 umie zatem obsługiwać konta lokalne. Czy da się go do tego zmusić bez stosowania wersji Enterprise? Tak - stosując plik odpowiedzi dla instalacji nienadzorowanych. Instalator Windows może być bowiem zaopatrzony w odpowiedzi na wszystkie zadawane pytania, za pomocą pliku XML. Domyślnie jest on dostarczany przez środowisko wdrożeń nienadzorowanych (WDS lub MDT), ale można go także przygotować samodzielnie. Umieszczenie w głównym katalogu (nośnika instalacyjnego, np. pendrive'a) pliku "autounattend.xml" sprawi, że instalator będzie szukał w nim odpowiedzi. Jeżeli je znajdzie, nie zada pytania.

Można odpowiedzieć na część pytań, można na wszystkie. Narzędzia Automated Installation Kit pozwalają wygenerować plik XML z odpowiedziami dla wielu sekcji, w tym także… zakładania użytkowników. Umieszczenie w pliku odpowiedzi poświadczeń dla użytkownika lokalnego oraz wyłączenie sekcji tworzenia konta Microsoft sprawi, że Windows pominie kreator kont i zaloguje nas od razu do nowego konta zdefiniowanego z pliku. XML z odpowiedziami wygląda następująco:

<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
	<settings pass="oobeSystem">
		<component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<InputLocale>0415:00000415</InputLocale>
			<SystemLocale>pl-PL</SystemLocale>
			<UILanguage>pl-PL</UILanguage>
			<UILanguageFallback>pl-PL</UILanguageFallback>
			<UserLocale>pl-PL</UserLocale>
		</component>
		<component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<OOBE>
				<HideEULAPage>true</HideEULAPage>
				<HideLocalAccountScreen>true</HideLocalAccountScreen>
				<HideOnlineAccountScreens>true</HideOnlineAccountScreens>
				<HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>
			</OOBE>
			<UserAccounts>
				<LocalAccounts>
					<LocalAccount wcm:action="add">
						<Description>Konto Lokalne</Description>
						<DisplayName>dobreprogramy</DisplayName>
						<Group>Administrators</Group>
						<Name>dobreprogramy</Name>
						<Password>
							<PlainText>true</PlainText>
							<Value>abc123</Value>
						</Password>
					</LocalAccount>
				</LocalAccounts>
			</UserAccounts>
		</component>
	</settings>
	<settings pass="specialize">
		<component name="Microsoft-Windows-Security-SPP-UX" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<SkipAutoActivation>true</SkipAutoActivation>
		</component>
	</settings>
	<settings pass="windowsPE">
		<component name="Microsoft-Windows-International-Core-WinPE" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<InputLocale>0415:00000415</InputLocale>
			<SystemLocale>pl-PL</SystemLocale>
			<UILanguage>pl-PL</UILanguage>
			<UILanguageFallback>pl-PL</UILanguageFallback>
			<UserLocale>pl-PL</UserLocale>
			<SetupUILanguage>
				<UILanguage>pl-PL</UILanguage>
			</SetupUILanguage>
		</component>
		<component name="Microsoft-Windows-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
			<Diagnostics>
				<OptIn>true</OptIn>
			</Diagnostics>
			<DynamicUpdate>
				<Enable>true</Enable>
				<WillShowUI>OnError</WillShowUI>
			</DynamicUpdate>
			<ImageInstall>
				<OSImage>
					<WillShowUI>OnError</WillShowUI>
					<InstallFrom>
						<MetaData wcm:action="add">
							<Key>/IMAGE/INDEX</Key>
							<Value>1</Value>
						</MetaData>
					</InstallFrom>
				</OSImage>
			</ImageInstall>
			<UserData>
				<AcceptEula>true</AcceptEula>
				<ProductKey>
					<Key></Key>
				</ProductKey>
			</UserData>
		</component>
	</settings>
</unattend>

Stosując plik w powyższej postaci, instalator systemu zapyta tylko o układ partycji, a następnie (po restarcie) przejdzie od razu do kreatora OOBE. Zamiast żądać zakładania konta Microsoft, zapyta o lokalizację, prywatność, rozpoznawanie pisma i identyfikatory reklamowe. Po przejściu kreatora zostaniemy zalogowani do systemu za pomocą podanego konta. Okno Ustawienia opisze je jako "Konto lokalne". W niniejszym przykładzie jest to konto "dobreprogramy" z hasłem "abc123".

Konto lokalne w 22H2
Konto lokalne w 22H2© Licencjodawca | Kamil Dudek

Całkowita automatyzacja?

Co z resztą pytań (lokalizacja, telemetria itp.)? Czy te także da się usunąć? Według Microsoftu - już nie. Wersje 1709 i nowsze zmuszają do wyświetlania kreatora ustawień prywatności. Wynika to z praktyki rynkowej: automatyzację wykorzystywali głównie producenci sprzętu, a Microsoftowi zależało na tym, by klienci świadomie zgadzali się na kwestie wyświetlane w kreatorze OOBE. Co zatem ze środowiskami nienadzorowanymi w firmach? Jak radzi sobie z tym Windows Deployment Services?

Otóż… nie radzi sobie. Windows 11 podobno nie obsługuje wdrożeń nienadzorowanych z wykorzystaniem WDS i wymaga MDT. Ponadto, klucze SkipMachineOOBE i SkipUserOOBE, likwidujące kreatory, są już "nieobsługiwane". Kreator jest więc obowiązkowy. W firmach jednak nie wyświetla się - MDT zapewne ukrywa go korzystając właśnie z tych kluczy, ale w przypadku użytkownika indywidualnego, są one "nieobsługiwane".

Wynika to zapewne z tego, że usunięcie kreatora wymaga ustawienia opcji prywatności wewnątrz obrazu WIM, a nie tylko z użyciem pliku odpowiedzi. Bez tych ustawień, kreator OOBE (pracujący pod kontrolą użytkownika "defaultuser0") utworzy potencjalnie niekompletne/wadliwe konto. Wyżej wymienione opcje pliku odpowiedzi działają i da się ukryć kreator, jeżeli zmodyfikuje się WIM. Ponieważ jednak funkcja ta nie jest wspierana przez Microsoft, nie umieszczamy jej w powyższym pliku odpowiedzi.

Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl

Programy

Zobacz więcej
windows 11oprogramowanieit.pro
Wybrane dla Ciebie
Komentarze (130)