Windows 10/11 : forcer l’écran de connexion à demander « Nom d’utilisateur » (RDP, local & AD)

Sur Windows 10/11 (et souvent en RDP), le champ d’ouverture de session peut afficher « Adresse e‑mail, téléphone ou Skype ». Voici comment forcer un libellé neutre « Nom d’utilisateur » pour vos comptes locaux ou Active Directory, avec méthodes pas‑à‑pas, scripts et conseils de dépannage.

Problématique

Dans de nombreuses organisations, les PC sont rejoints à un domaine Active Directory ou administrés en local ; pourtant, l’écran de connexion affiche parfois un champ « Adresse e‑mail, téléphone ou Skype ». Ce texte provient des Credential Providers de Windows : lorsque le fournisseur Microsoft Account/Cloud est prioritaire, l’interface suggère de saisir un identifiant de type courrier électronique. Résultat : les utilisateurs saisissent à tort une adresse personnelle, ou hésitent sur la syntaxe « DOMAINE\utilisateur », ce qui allonge le temps de support et multiplie les échecs de connexion.

La bonne pratique consiste à présenter par défaut la vignette Autre utilisateur (le fournisseur Nom d’utilisateur / Mot de passe), dont le premier champ est titré Nom d’utilisateur et accepte les trois syntaxes suivantes :

• ORDINATEUR\utilisateur pour un compte local ;
• DOMAINE\utilisateur pour un compte AD ;
• utilisateur@domaine.local (UPN) pour un compte AD.

Solution rapide recommandée

1. Ouvrir la stratégie de sécurité locale : Win + R → secpol.msc.
2. Aller dans Stratégies locales ▸ Options de sécurité.
3. Activer Interactive logon : Do not display last signed‑in user name (FR : Ouverture de session interactive : Ne pas afficher le dernier nom d’utilisateur connecté).
4. Redémarrer Windows.

Effet immédiat : l’écran de connexion affiche la vignette Autre utilisateur avec un champ Nom d’utilisateur. La dernière adresse e‑mail utilisée n’est plus proposée.

Explication technique

Windows choisit l’interface de connexion via des Credential Providers (CP). Lorsque « Ne pas afficher le dernier utilisateur » est activé, LogonUI n’ancre plus la dernière identité (souvent un CP Microsoft/Cloud affichant « Adresse e‑mail »), et bascule sur la vignette neutre. C’est le moyen le plus sûr d’imposer « Nom d’utilisateur » sans toucher à des DLL système ni créer un fournisseur tiers.

Pas‑à‑pas détaillé sur une machine locale

Via la stratégie de sécurité locale

1. Win + R → secpol.msc.
2. Stratégies locales ▸ Options de sécurité.
3. Ouvrir Ouverture de session interactive : Ne pas afficher le dernier nom d’utilisateur connecté → choisir Activé.
4. Valider et redémarrer.

Via la stratégie de groupe locale

1. Win + R → gpedit.msc.
2. Configuration ordinateur ▸ Paramètres Windows ▸ Paramètres de sécurité ▸ Stratégies locales ▸ Options de sécurité.
3. Activer Ouverture de session interactive : Ne pas afficher le dernier nom d’utilisateur connecté.

Via PowerShell (administrateur)

Exécutez la commande suivante pour appliquer l’option au registre, puis mettre à jour la stratégie :

# Exécuter dans une console PowerShell élevée
$base = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System'
New-Item -Path $base -Force | Out-Null
New-ItemProperty -Path $base -Name 'DontDisplayLastUserName' -PropertyType DWord -Value 1 -Force | Out-Null

# Optionnel : bloquer l’usage des comptes Microsoft (voir plus bas)

# New-ItemProperty -Path $base -Name 'NoConnectedUser' -PropertyType DWord -Value 3 -Force | Out-Null

gpupdate /target:computer /force

# Redémarrez pour que LogonUI prenne l’option en compte

Via le registre (administrateur)

Pour les environnements automatisés ou les images de référence, vous pouvez injecter les clés suivantes :

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" ^
  /v DontDisplayLastUserName /t REG_DWORD /d 1 /f

:: Optionnel : bloquer les comptes Microsoft (voir tableau)
:: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" ^
::   /v NoConnectedUser /t REG_DWORD /d 3 /f </code></pre>

<h2>Compléments utiles</h2>
<p>Ces réglages renforcent la cohérence de l’expérience de connexion, en particulier dans les scénarios RDP et poste partagé.</p>

<table>
  <thead>
    <tr>
      <th>Objectif</th>
      <th>Paramètre</th>
      <th>Emplacement (secpol/gpedit)</th>
      <th>Clé et valeur registre</th>
      <th>Commentaire</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td><strong>Afficher « Nom d’utilisateur » et masquer le dernier compte</strong></td>
      <td><em>Interactive logon&nbsp;: Do not display last signed‑in user name</em></td>
      <td>Stratégies locales ▸ Options de sécurité</td>
      <td><code>HKLM\SOFTWARE\...\Policies\System\DontDisplayLastUserName=1 (DWORD)</code></td>
      <td>Affiche la vignette <strong>Autre utilisateur</strong> par défaut.</td>
    </tr>
    <tr>
      <td><strong>Masquer toute référence aux comptes Microsoft</strong></td>
      <td><em>Comptes&nbsp;: Bloquer les comptes Microsoft</em> → « Les utilisateurs ne peuvent pas se connecter avec un compte Microsoft »</td>
      <td>Stratégies locales ▸ Options de sécurité</td>
      <td><code>HKLM\SOFTWARE\...\Policies\System\NoConnectedUser=3 (DWORD)</code></td>
      <td>Supprime les fournisseurs Microsoft et leurs libellés orientés e‑mail.</td>
    </tr>
    <tr>
      <td><strong>Forcer la vignette « Nom d’utilisateur / Mot de passe »</strong></td>
      <td><em>Attribuer le fournisseur d’informations d’identification par défaut</em> et saisir le CLSID <code>{60b78e88‑ead8‑445c‑9cf6‑4d0955e109d0}</code></td>
      <td>Configuration ordinateur ▸ Modèles d’administration ▸ Système ▸ Ouverture de session</td>
      <td>Géré par stratégie (valeur spécifique au système)</td>
      <td>Place le CP « Nom d’utilisateur/Mot de passe » au premier plan au lieu du CP Microsoft.</td>
    </tr>
    <tr>
      <td><strong>Exiger la saisie du mot de passe à chaque connexion RDP</strong></td>
      <td><em>Toujours demander le mot de passe à la connexion</em></td>
      <td>Composants Windows ▸ Services Bureau à distance ▸ Hôte de session ▸ Sécurité</td>
      <td><code>HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword=1 (DWORD)</code></td>
      <td>Évite l’autoremplissage par des informations mises en cache côté client.</td>
    </tr>
  </tbody>
</table>

<h2>Déploiement en environnement d’entreprise</h2>
<h3>Via une stratégie de groupe de domaine</h3>
<ol>
  <li>Créer une GPO ciblant les ordinateurs (OU adéquate).</li>
  <li>Configurer&nbsp;:
    <ul>
      <li><strong>Configuration ordinateur ▸ Paramètres Windows ▸ Paramètres de sécurité ▸ Stratégies locales ▸ Options de sécurité</strong>&nbsp;:
        <ul>
          <li><em>Ouverture de session interactive&nbsp;: Ne pas afficher le dernier nom d’utilisateur connecté</em> → <strong>Activé</strong>.</li>
          <li><em>Comptes&nbsp;: Bloquer les comptes Microsoft</em> → <strong>Les utilisateurs ne peuvent pas se connecter avec un compte Microsoft</strong>.</li>
        </ul>
      </li>
      <li><strong>Configuration ordinateur ▸ Modèles d’administration ▸ Système ▸ Ouverture de session</strong>&nbsp;:
        <ul>
          <li><em>Attribuer le fournisseur d’informations d’identification par défaut</em> → <strong>{60b78e88‑ead8‑445c‑9cf6‑4d0955e109d0}</strong>.</li>
        </ul>
      </li>
      <li><strong>Composants Windows ▸ Services Bureau à distance ▸ Hôte de session ▸ Sécurité</strong>&nbsp;:
        <ul>
          <li><em>Toujours demander le mot de passe à la connexion</em> → <strong>Activé</strong> (pour les hôtes RDS/RDP).</li>
        </ul>
      </li>
    </ul>
  </li>
  <li>Forcer un <code>gpupdate /force</code> et <strong>redémarrer</strong> les machines ciblées.</li>
</ol>

<h3>Particularités RDP</h3>
<p>Dans un contexte RDP, le libellé que voit l’utilisateur dépend à la fois de l’hôte et du client. Quelques bonnes pratiques&nbsp;:</p>
<ul>
  <li><strong>Côté hôte</strong>&nbsp;: activer « Ne pas afficher le dernier utilisateur » et « Toujours demander le mot de passe ». Cela force l’apparition de <strong>Autre utilisateur</strong> avec « Nom d’utilisateur ».</li>
  <li><strong>Côté client</strong>&nbsp;: vider les informations d’identification mises en cache si nécessaire&nbsp;:
    <pre><code>cmdkey /list
cmdkey /delete:TERMSRV/nom-serveur

ou lancer la connexion avec mstsc /v:nom-serveur /prompt pour exiger une saisie au moment de la connexion.</li>

Machines Azure AD / Entra ID

Sur les postes joints uniquement à Azure AD, le fournisseur Cloud peut rester prioritaire et afficher un message orienté e‑mail. Deux options :

• Conserver l’authentification cloud, mais afficher « Autre utilisateur » par défaut avec la stratégie « Ne pas afficher le dernier utilisateur » (pratique sur des postes partagés).
• Si vous n’utilisez pas les comptes Microsoft/Entra sur ces postes, bloquer les comptes Microsoft (voir le tableau) pour supprimer leurs fournisseurs.

Notez que le texte précis du champ appartient au Credential Provider actif ; il n’est pas personnalisable sans développement d’un CP tiers.

Contrôles et validation

• Vérifier l’UI : écran de connexion → seule la vignette Autre utilisateur apparaît, le champ indique Nom d’utilisateur.
• Vérifier les stratégies :
  • secpol.msc : la stratégie est Activée.
  • gpresult /h c:\temp\gp.html puis ouvrir le rapport pour confirmer l’application côté ordinateur.
• Vérifier le registre : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System → DontDisplayLastUserName=1.

Questions fréquentes

Ce réglage désactive‑t‑il Windows Hello ?
Non. Il change la vignette choisie par défaut. Windows Hello, carte à puce ou autres CP restent disponibles, sauf si vous les bloquez explicitement.

Faut‑il forcément redémarrer ?
L’UI de connexion (LogonUI) charge la configuration au démarrage. Une simple ouverture/fermeture de session peut ne pas suffire ; redémarrez pour un résultat fiable.

Pourquoi le texte « Nom d’utilisateur » n’apparaît‑il pas malgré tout ?
Vérifiez : 1) que la machine applique bien la GPO ; 2) qu’aucun autre fournisseur (Web Sign‑in, MSA, CloudAP) n’est imposé par une stratégie ; 3) que le client RDP n’injecte pas des identités mises en cache (utiliser /prompt et/ou supprimer cmdkey).

Peut‑on modifier le libellé exact du champ ?
Non. Le texte est fourni par le Credential Provider. Pour changer le libellé, il faut un fournisseur tiers (développement spécifique), ce qui n’est pas recommandé pour la plupart des entreprises.

Quel impact pour les postes en libre‑service ?
Très positif : l’écran ne divulgue pas le dernier utilisateur, réduit l’ingénierie sociale et encourage explicitement les saisies DOMAINE\utilisateur ou ORDINATEUR\utilisateur.

Procédure complète avec recommandations

1. Activer Ne pas afficher le dernier utilisateur (secpol/gpedit).
2. Optionnel mais recommandé : Bloquer les comptes Microsoft si votre standard est exclusivement local/AD.
3. Optionnel : Assigner le fournisseur par défaut au CLSID {60b78e88‑ead8‑445c‑9cf6‑4d0955e109d0}.
4. Sur les hôtes RDP : activer Toujours demander le mot de passe.
5. Redémarrer, puis valider via l’écran de connexion et gpresult.

Script de déploiement PowerShell prêt à l’emploi

Ce script applique les paramètres côté ordinateur (adapter selon votre standard). Déployez‑le via votre outil d’orchestration ou un Startup Script GPO.

#Requires -RunAsAdministrator
Write-Host "Configuration de l'écran de connexion en cours..."

# 1) Ne pas afficher le dernier utilisateur

$polBase = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System'
New-Item -Path $polBase -Force | Out-Null
New-ItemProperty -Path $polBase -Name 'DontDisplayLastUserName' -PropertyType DWord -Value 1 -Force | Out-Null

# 2) RDP : toujours demander le mot de passe (optionnel)

$rdpPol = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services'
New-Item -Path $rdpPol -Force | Out-Null
New-ItemProperty -Path $rdpPol -Name 'fPromptForPassword' -PropertyType DWord -Value 1 -Force | Out-Null

# 3) Bloquer les comptes Microsoft (optionnel : 0=autoriser, 1=pas d’ajout, 3=pas d’ajout ni connexion)

# New-ItemProperty -Path $polBase -Name 'NoConnectedUser' -PropertyType DWord -Value 3 -Force | Out-Null

# Application immédiate

gpupdate /target:computer /force | Out-Null

Write-Host "Terminé. Redémarrez l'ordinateur pour appliquer LogonUI." 

Conseils de diagnostic

• La tuile « Autre utilisateur » n’apparaît pas : une autre GPO impose peut‑être un fournisseur (Hello Entreprise, Web Sign‑in). Cherchez des paramètres Logon additionnels.
• La mention e‑mail réapparaît après une mise à jour : revalidez la GPO (des mises à niveau majeures peuvent réinitialiser certaines valeurs).
• Un seul utilisateur reste affiché : assurez‑vous que l’option « Masquer le dernier utilisateur » est appliquée côté ordinateur, pas seulement côté utilisateur.
• Conflit avec des postes AAD‑joint : si l’authentification cloud est voulue, n’activez que « Ne pas afficher le dernier utilisateur », sans bloquer MSA.

Limites

• Le libellé exact « Nom d’utilisateur » est contrôlé par le Credential Provider de Microsoft. Il n’est pas personnalisable sans CP tiers.
• Les réglages décrits s’appliquent à tous les utilisateurs de la machine.
• Assigner un fournisseur par défaut ne désactive pas les autres. Pour supprimer complètement un provider, préférez les paramètres de sécurité officiels (« Bloquer les comptes Microsoft ») plutôt que des hacks registre.

Résultat attendu

• La vignette Autre utilisateur s’affiche par défaut.
• Le premier champ indique clairement Nom d’utilisateur.
• Les mentions orientées « Adresse e‑mail » disparaissent.
• Les utilisateurs saisissent directement DOMAINE\utilisateur, utilisateur@domaine.local ou ORDINATEUR\utilisateur sans ambiguïté.

Référence synthétique

Action	Outil	Chemin	Valeur	Impact
Masquer le dernier utilisateur	secpol/gpedit	Stratégies locales ▸ Options de sécurité	Activé	Affiche « Autre utilisateur » et « Nom d’utilisateur ».
Bloquer les comptes Microsoft	secpol/gpedit	Stratégies locales ▸ Options de sécurité	Les utilisateurs ne peuvent pas se connecter avec un compte Microsoft	Supprime les CP Microsoft et les libellés e‑mail.
Assigner le CP par défaut	gpedit	Modèles d’administration ▸ Système ▸ Ouverture de session	CLSID {60b78e88‑ead8‑445c‑9cf6‑4d0955e109d0}	Met « Nom d’utilisateur/Mot de passe » au premier plan.
RDP : demander systématiquement le mot de passe	gpedit/registre	RDS ▸ Hôte de session ▸ Sécurité	fPromptForPassword=1	Empêche les identités en cache côté client.

Bonnes pratiques complémentaires

• Modèles d’image : appliquez ces réglages dans vos images de référence (golden image) pour VDI et postes neufs.
• Communication : informez les utilisateurs des syntaxes acceptées et affichez‑les dans votre portail d’accueil ou fond d’écran.
• Sécurité : combiner avec « Masquer les détails de l’utilisateur lors du verrouillage » si votre politique l’exige.

En appliquant ces quelques paramètres éprouvés, vous standardisez l’expérience de connexion, réduisez les tickets liés aux identifiants mal saisis et alignez Windows 10/11 (y compris en RDP) sur un modèle d’authentification clair, où le champ d’entrée indique sans ambiguïté Nom d’utilisateur.