Zvláštnost při přihlášení do Windows 11

[darebacik]

Ja sice nepouzivam Win, ale mam niekolko znamych, ktori Win pouzivaju. U jedneho znameho mam nastavene aby sa pomocou WoL zapinal PC kazde rano. Ak pride do prace, tak sa prihlasi (ma admin konto) a pracuje.
Dnes rano  mi zavolal, ze sa neda prihlasit.
Po rozhovore ohladm numlock, Sk - EN klavesnice atd ... sme nedospeli nikde
Mam k nemu RD, tak som sa pripojil a skusal som sa prihlasit.
Samozrejme pri prihlaseni sa da heslo zobrazit, takze sme obaja videli, ze heslo je spravne, ale win stale hlasil, ze heslo je nespravne.
Takze nasledoval restart, ale ani po restarte to nefungovalo (a ani po dalsich dvoch restartoch).

Takze som zacal googlit ako heslo resetovat.
Avsak znova som sa cez rustdesk prihlasil na RD a zadal som heslo este raz.
Zaaaaazrak  .... som prihlaseny !!!
Ako to casto byva, tak netreba ist na mna sposobom, ze predtym si sa musel urcite pomylit, lebo heslo som videl a predsa nie som magor.

Na PC neexistuje MS konto, pouziva sa len lokalne konto.
Na PC sa nepouziva ziadny externy AV ani firewall, len tie defenderi ktore su sucastou OS (aktualizacie su pravidelne).

Je to nejaky bug, alebo co sa deje ?

[Reklama]

[jauznevimco]

Videl jsem na vlastni bulvy totez.

Heslo zarucene spravne / vyresetovane. Psane na on-screen klabosnici, heslo zobrazene pred odeslanim - ano, je spravne, akorat, ze neni.

Prihlasi se jinej user a zkusi "run as" user puvodni .... heslo to sezere na prvni dobrou.

OK, nahradni user se odhlasi a ten problematickej se zkusi prihlasit znovu... ne.

Vlastne uz nevim, co bylo reseni. Snad zadani kompletne celyho prihlaseni pres kolonku Other user.

Strasna haluz. Takze ne, nehrabe vam... deje se to.

[Michal Šmucr]

Tohle se mi sice osobně nikdy nedělo, ale asi bych pro jistotu ještě zkusil zkontrolovat počet špatných přihlášení, než se dočasně zamkne účet.
https://www.onevinn.com/blog/windows-11-local-account-lockout-policy
Dá se to nastavit přes politiku (Pro, Enterprise) nebo zjistit a změnit z příkazové řádky (net account).

[Marek Staněk]

kontrolní otázka... ten účet je lokální nebo doménový?
u doménového účtu jsem to viděl asi 3x, poté co zákazník olepil DNSky a ADDCčka bezpečnostními záplatami, které zakázaly staré verze TLS a SSL.

[Jiri Dobry]

A ještě pozor na čas. Pokud je čas v počítači oproti doméně, ke které se přihlašuje, posunut, může dojít k problémům s přihlášením. Nejde přitom primárně o rozdíl v minutách, ale o platnost vydaných Kerberos tiketů a klíčů – pokud server považuje tiket za "neaktuální" kvůli časovému nesouladu, přihlášení se nepovede. Po synchronizaci času se to povede, pokud k té synchronizaci tedy dojde.

Zvlášť problematické jsou případy, kdy je čas v RTC nastaven jako lokální a uživatel se po jeho změně (letní/normální) nepřihlásí delší dobu. Windows pak v některých případech mylně předpokládají, že po změně systému došlo i ke změně času v RTC, a přihlášení se zablokuje.

Bohužel je čas v RTC lokální a win se toho stále drží (pokud není nastaveno jinak registru - klíč RealTimeIsUniversal)

[Reklama]

[jjrsk]

Pokud by ucet byl locknutej, tak widle vetshou hlasaj, ze je locknutej.

Jinak netreba se nicemu divit, u widli je mozny uplne vsechno. Specilne u 11+.

Trebas ... https://www.borncity.com/blog/2025/11/21/windows-11-24h2-microsoft-bestaetigt-broken-by-design-durch-update-kb5062553/

Apropos, pokud na tom stroji je secureboot, honem ho vypni. A nedej boze widli sifrovani disku, to se s tim co na tom disku je, rovnou rozluc.

[darebacik]

kontrolní otázka... ten účet je lokální nebo doménový?
u doménového účtu jsem to viděl asi 3x, poté co zákazník olepil DNSky a ADDCčka bezpečnostními záplatami, které zakázaly staré verze TLS a SSL.

Ne neni na domene. Je to len local a bez MS konta.

Pokud by ucet byl locknutej, tak widle vetshou hlasaj, ze je locknutej.

Jinak netreba se nicemu divit, u widli je mozny uplne vsechno. Specilne u 11+.

Trebas ... https://www.borncity.com/blog/2025/11/21/windows-11-24h2-microsoft-bestaetigt-broken-by-design-durch-update-kb5062553/

Apropos, pokud na tom stroji je secureboot, honem ho vypni. A nedej boze widli sifrovani disku, to se s tim co na tom disku je, rovnou rozluc.

Myslim, ze ked som instaloval win, tak som sec.boot vypol, ale musim to skontrolovat.

Tohle se mi sice osobně nikdy nedělo, ale asi bych pro jistotu ještě zkusil zkontrolovat počet špatných přihlášení, než se dočasně zamkne účet.
https://www.onevinn.com/blog/windows-11-local-account-lockout-policy
Dá se to nastavit přes politiku (Pro, Enterprise) nebo zjistit a změnit z příkazové řádky (net account).

Dik, necital som to cele, ale prisiel som az k tabulke kde su prednastavene hodnoty. To neviem kolko krat sa pokusal znamy o zadanie hesla. Mozno to skusil viac ako 10x a ked sa to nepodarilo, tak sa ucet blokol na 10 minut.
Po 10 minutach sa uz potom dalo  pripojit.
Cize mozno je toto vysvetlenie

[Michal Šmucr]

Apropos, pokud na tom stroji je secureboot, honem ho vypni. A nedej boze widli sifrovani disku, to se s tim co na tom disku je, rovnou rozluc.

Off-topic. Proč bys vypínal SB? Tím, že jsou ty loadery podepsány přímo klíčem od MS UEFI autority, co má certifikáty přímo v každém standardním počítači/desce, nikdy jsem s tím nezažil problémy. Chápu, že pokud má někdo komplikovanější multiboot s nějakým vícenásobným chainloadingem, MOK klíči atp., tak to může dávat smysl vypnout. Nebo dočasně vypnout v BIOSu, když člověk potřebuje nouzově nabootovat z nějakého nepodepsaného loaderu.

U toho device encryption (což je technicky BitLocker s ořezanými možnostmi) to chce, myslím, taky dovysvětlit.. Souhlas, že pokud má Windows Home s lokálním účtem, tak je lepší to vypnout, protože tam přesně může dojít k tomu, že ti třeba odejde deska/CPU (kde jsou v TPM klíče) a už se do toho nikdo nikdy nedostane.
Ale pokud má funkční přihlášení do Windows s MS účtem (jeden z důvodů jeho vynucování), tak se krom TPM uloží také záložní klíč automaticky na servery MS. Takže pokud k dojde k problému, dá se třeba z jiného počítače normálně stáhnout přes web a disk pak v pohodě otevřeš (třeba z jiných Windows nebo klidně z Linuxu LUKSem).
U Windows Pro nebo Enterprise je pak plný BitLocker, takže pokud někdo chce šifrování (notebook třeba) dohromady s  lokálním účtem, je tam možnost předělat device encryption na normální variantu BL a uložit si záložní klíč třeba na flešku, vytisknout na papír atp.

Takže ty možnosti dávají smysl, a určitě jsou situace, kdy šifrování zapneš. Akorát to podle mě MS klasicky zvoral. Zaprvé tím, že to nevysvětluje v kontextu i s riziky. A hlavně tím, že to natvrdo, bez varování a explicitního souhlasu natlačil všem (co to neměli zakázané politikou nebo tam nevyhovovaly technické podmínky) a na pozadí zašifroval disky i s tím zmíněným rizikem, že lidé pak nemají žádné záložní klíče.