Gli utenti vedono “indirizzo e‑mail” nella finestra di accesso RDP/Windows ma l’accesso richiede solo il nome utente? In pochi minuti puoi sostituire l’indicazione fuorviante con un campo neutro (“Nome utente”), senza software esterni, agendo su criteri di sicurezza o Registro.
Perché compare “indirizzo e‑mail” e come rimettere “Nome utente”
Nei sistemi moderni (Windows 10/11 e Windows Server 2016/2019/2022), l’interfaccia di logon usa diversi credential provider. Quando Windows “pensa” che l’utente si autenticherà con un Microsoft account, la UI suggerisce la forma indirizzo e‑mail. In ambienti aziendali, però, l’accesso avviene tipicamente con account di dominio o locali (DOMINIO\utente o utente), e quel suggerimento confonde.
La soluzione più efficace e supportata consiste nell’abilitare il criterio Interactive logon: Do not display last user name. Così Windows non precompila né etichetta il campo basandosi sull’ultimo accesso e mostra un prompt neutro con il campo Nome utente + Password. In RDP, questo elimina riferimenti espliciti all’e‑mail sul primo prompt.
Risultato atteso
- La schermata di accesso mostra un campo neutro “Nome utente”.
- Gli utenti inseriscono
DOMINIO\utenteoppure soloutentese il dominio predefinito è noto. - Nessun riferimento a “indirizzo e‑mail” o suggerimenti del tipo
utente@esempio.com.
Procedura tramite Criteri di sicurezza locali (Windows Pro/Enterprise/Server)
- Premi Win + R, digita
secpol.msce premi Invio. - Vai in Criteri locali → Opzioni di sicurezza.
- Apri Interactive logon: Do not display last user name.
- Imposta su Abilitato e conferma.
- Chiudi le finestre e riavvia il sistema o disconnetti/riconnetti la sessione RDP.
Dopo l’applicazione, Windows non “ricorda” più l’ultimo utente e non forza la UI “tipo email”: il campo torna ad essere esplicitamente Nome utente.
Alternative equivalenti: GPO, Registro e criteri amministrativi
Distribuzione via Group Policy (dominio)
- Apri Group Policy Management su un controller di dominio.
- Crea o modifica una GPO collegata all’OU dei server/PC interessati.
- Vai in Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options.
- Imposta Interactive logon: Do not display last user name su Enabled.
- Forza l’aggiornamento con
gpupdate /forcesui client/host o attendi la normale replica.
Client Home edition o Server Core: via Registro
Sui sistemi dove secpol.msc non è disponibile, usa il Registro (richiede riavvio o logoff):
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" ^
/v dontdisplaylastusername /t REG_DWORD /d 1 /f
PowerShell equivalente:
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' `
-Name 'dontdisplaylastusername' -PropertyType DWord -Value 1 -Force
Amministrative Templates (complementare)
Su alcuni build è presente anche il criterio amministrativo:
- Computer Configuration → Administrative Templates → System → Logon → Do not display last signed-in = Enabled.
Questo criterio lavora in tandem con l’opzione di sicurezza: insieme rendono neutro il prompt sin dall’avvio.
Ottimizzazioni specifiche per RDP
La schermata che l’utente vede quando usa mstsc.exe è influenzata sia dal client sia dall’host.
Impostazioni consigliate lato host (Session Host)
- Always prompt for password upon connection: Enabled
Percorso GPO: Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Security.
Registro (equivalente):reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" ^ /v fPromptForPassword /t REG_DWORD /d 1 /fQuesta impostazione forza sempre la richiesta delle credenziali e riduce i casi in cui viene mostrata un’identità “tipo e‑mail”. - Do not allow passwords to be saved: Enabled (opzionale, ma utile per evitare cache fuorvianti)
Registro:reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" ^ /v DisablePasswordSaving /t REG_DWORD /d 1 /f
Consigli lato client RDP
- Se distribuisci file
.rdppreconfigurati, lascia vuoto il campo utente oppure usa una variabile:username:s: prompt for credentials:i:1 authentication level:i:2 enablecredsspsupport:i:1 - Rimuovi eventuali credenziali memorizzate in Gestione credenziali (Pannello di controllo) che contengano formati
utente@dominioo e‑mail: possono “educare” la UI del client a riproporre il formato errato.
Quando conviene bloccare i Microsoft account
Se l’infrastruttura prevede esclusivamente account di dominio/locali, puoi eliminare alla radice ogni hint “di tipo e‑mail” vietando l’uso di Microsoft account per il logon:
- Account: Block Microsoft accounts → Users can’t add or log on with Microsoft accounts.
Percorso: Local Security Policy → Security Options (o GPO equivalente).
Registro equivalente:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" ^
/v NoConnectedUser /t REG_DWORD /d 3 /f
Questa opzione non è obbligatoria per il risultato richiesto, ma rende l’esperienza coerente in contesti enterprise.
Impostare il dominio predefinito (facilita l’input)
Se gli utenti devono digitare spesso DOMINIO\, puoi impostare il dominio predefinito sul prompt di logon dell’host RDP (consigliato solo se il host è sempre in quel dominio):
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" ^
/v DefaultDomainName /t REGSZ /d NOMEDOMINIO /f
Nota: evita di impostare anche DefaultUserName con un valore specifico; annullerebbe il vantaggio del campo neutro.
Tabella dei principali scenari
| Scenario | Azione consigliata | Effetto sulla UI |
|---|---|---|
| Server RDP domain‑joined | Abilita “Do not display last user name” via GPO; opzionale “Always prompt for password upon connection”. | Prompt con “Nome utente”, dominio predefinito applicato, nessun hint e‑mail. |
| PC Windows Pro/Enterprise stand‑alone | secpol.msc → Abilita criterio; oppure Registro dontdisplaylastusername=1. | Campo neutro, elimina l’ultimo utente e quindi gli hint. |
| Client Home edition | Usa Registro; non è disponibile secpol.msc. | Stesso risultato del criterio locale. |
| Distribuzione massiva in dominio | GPO su OU di server/PC; valuta anche Block Microsoft accounts. | Esperienza coerente su tutto il parco macchine. |
| Ambiente misto con credenziali salvate | Abilita “Do not allow passwords to be saved”; ripulisci Gestione credenziali lato client. | Riduce prompt “tipo e‑mail” riproposti dal client. |
Procedura completa e verifiche: passo dopo passo
- Applica il criterio (secpol/GPO/Registro) per non visualizzare l’ultimo utente.
- Riavvia l’host o esegui un logoff completo; per RDP è sufficiente disconnect → reconnect nella maggior parte dei casi.
- Test locale: sulla console del server verifica che la schermata mostri Other user/Altro utente con Nome utente e Password.
- Test remoto: da un client privo di credenziali salvate, lancia
mstsc.exe, connettiti e verifica che il prompt chieda “Nome utente”. - Controllo del dominio predefinito: prova a inserire solo
utente; se funziona, il dominio predefinito è correttamente impostato (via membership oDefaultDomainName).
Domande frequenti (FAQ)
Posso cambiare letteralmente la dicitura in qualcosa di personalizzato (es. “ID Operatore”)?
No. La UI del logon non è pensata per essere personalizzata a piacere senza sviluppare un credential provider o installare software di terze parti. Le impostazioni proposte rendono il campo neutro e rimuovono il riferimento all’e‑mail, che è esattamente lo scopo richiesto.
Questa modifica influisce sul Single Sign‑On (SSO) o su NLA di RDP?
No. Network Level Authentication e le deleghe di credenziali restano operative. L’impostazione agisce sulla UI del logon e sulla memorizzazione dell’ultimo utente, non sui meccanismi di autenticazione.
Gli utenti devono sempre scrivere DOMINIO\utente?
Dipende. In macchine domain‑joined, di norma è preimpostato il dominio. Se necessario, imposta DefaultDomainName come mostrato sopra per facilitare l’input.
È una modifica sicura?
Sì. Anzi, aumenta la privacy: non mostra l’ultimo utente connesso e non suggerisce formati che potrebbero indurre a digitare e‑mail aziendali in luoghi non opportuni.
Serve riavviare?
Per i criteri di sicurezza locali o modifiche di Registro legate al logon è consigliato un riavvio o almeno disconnessione completa della sessione. Con RDP spesso basta chiudere la sessione e riconnettere.
Automazione: script pronti all’uso
PowerShell (host singolo)
# 1) Campo neutro "Nome utente" (niente ultimo utente)
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' `
-Name 'dontdisplaylastusername' -PropertyType DWord -Value 1 -Force | Out-Null
2) (Opzionale) Impedisci Microsoft account per logon
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' `
-Name 'NoConnectedUser' -PropertyType DWord -Value 3 -Force | Out-Null
3) (Opzionale) RDP: chiedi sempre la password
New-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT' -Name 'Terminal Services' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services' `
-Name 'fPromptForPassword' -PropertyType DWord -Value 1 -Force | Out-Null
4) (Opzionale) RDP: non salvare password
New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services' `
-Name 'DisablePasswordSaving' -PropertyType DWord -Value 1 -Force | Out-Null
Write-Host 'Impostazioni applicate. Esegui un logoff/riavvio per renderle effettive.' Batch (compatibile con Server Core)
@echo off
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v dontdisplaylastusername /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v NoConnectedUser /t REG_DWORD /d 3 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fPromptForPassword /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v DisablePasswordSaving /t REG_DWORD /d 1 /f
echo Fatto. Riavviare o disconnettere la sessione.
Best practice e criticità da evitare
- Non impostare
DefaultUserName: riporterebbe l’ultimo utente e vanificherebbe la neutralità del campo. - Evita di confondere criterio “Do not display last user name” con altri che nascondono dettagli nella schermata di blocco (Display user information when the session is locked): sono complementari ma separati.
- Se il client RDP continua a mostrare suggerimenti “tipo email”, pulisci le credenziali salvate nel Credential Manager e assicurati che i file
.rdpdistribuiti non contenganousername:s:utente@dominio. - In ambienti ibridi (Azure AD Join + on‑prem), stabilisci una policy chiara su come si accede ai server (solo account di dominio, account locali con LAPS, ecc.) e allinea le impostazioni proposte di conseguenza.
Rollback: come tornare indietro
Se vuoi ripristinare la situazione precedente (non consigliato), imposta:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" ^
/v dontdisplaylastusername /t REG_DWORD /d 0 /f
e, se impostati, ripristina:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" ^
/v NoConnectedUser /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" ^
/v fPromptForPassword /t REG_DWORD /d 0 /f In sintesi (takeaway operativi)
- Problema: il prompt RDP/Windows invita a usare un’e‑mail, ma serve solo il nome utente.
- Soluzione: abilita Interactive logon: Do not display last user name (secpol/GPO/Registro).
- Risultato: campo “Nome utente” pulito e coerente con l’accesso
DOMINIO\utente. - Extra utili: “Always prompt for password upon connection” in RDP host; opzionale blocco Microsoft account; pulizia delle credenziali salvate sul client.
Appendice: mappa criteri → Registro
| Criterio | Chiave Registro | Valore | Impostazione |
|---|---|---|---|
| Interactive logon: Do not display last user name | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System | dontdisplaylastusername (DWORD) | 1 = Enabled; 0 = Disabled |
| Do not display last signed‑in (ADM Templates) | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System | (implementazione interna, complementare) | Usare GPO; comportamento allineato al precedente |
| Accounts: Block Microsoft accounts | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System | NoConnectedUser (DWORD) | 3 = non aggiungere né usare MSA |
| Always prompt for password upon connection (RDS) | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services | fPromptForPassword (DWORD) | 1 = Enabled |
| Do not allow passwords to be saved (RDS) | HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services | DisablePasswordSaving (DWORD) | 1 = Enabled |
| Enumerate local users on domain‑joined computers | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System | EnumerateLocalUsers (DWORD) | 0 = Disabled (non mostra elenco utenti locali) |
| Default domain name (Winlogon) | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | DefaultDomainName (SZ) | Imposta il dominio predefinito nel campo utente |
Checklist rapida per l’amministratore
- [ ] Abilitato Do not display last user name (secpol/GPO)
- [ ] Riavvio o logoff/riconnessione effettuati
- [ ] (RDP host) Always prompt for password upon connection abilitato
- [ ] (Opzionale) Blocco Microsoft account in ambienti solo dominio
- [ ] (Client) Credenziali salvate rimosse se necessario
- [ ] (Opzionale) DefaultDomainName configurato
Conclusione. Per eliminare l’indicazione “indirizzo e‑mail” dalla finestra di autenticazione e guidare correttamente gli utenti all’uso del solo nome utente, non servono strumenti esterni: bastano i criteri integrati in Windows. Con le impostazioni proposte, la tua schermata di logon RDP/Windows diventa più chiara, coerente e sicura.