¿Te incomoda que la pantalla de inicio de sesión de Windows muestre el texto “Introduzca su dirección de correo electrónico” cuando en tu organización nadie inicia sesión con direcciones e‑mail? Este comportamiento, heredado de los planes de Microsoft para cuentas en la nube, puede confundir a los usuarios que solo necesitan teclear un nombre de usuario tradicional. Afortunadamente, podemos forzar a Windows 10 y Windows 11 —así como al Cliente de Escritorio remoto (RDP)— a que muestren directamente el cuadro «Nombre de usuario». A continuación encontrarás una guía completa que cubre todos los escenarios: ediciones Home, Pro/Enterprise, entornos con dominio, y gestión desde Intune. También repasaremos las implicaciones de seguridad y buenas prácticas para que la solución sea robusta y amigable.
Por qué Windows insiste en pedir un correo electrónico
Desde Windows 8 Microsoft apuesta por el ecosistema en la nube y, de forma predeterminada, la pantalla de seguridad invita a introducir una cuenta Microsoft (en formato e‑mail) o una cuenta de AAD (Azure Active Directory). Sin embargo, en redes locales con controladores de dominio On‑Premises o en estaciones aisladas, los administradores suelen mantener cuentas DOMAIN\usuario o PC\usuario. En ese contexto, el texto «correo electrónico» resulta engañoso.
Objetivo: reemplazar la sugerencia de correo por un campo neutral que acepte “Nombre de usuario” tanto en la consola local como en el cuadro de credenciales de RDP.
Resumen de la solución
- Habilitar la directiva Interactive logon: Do not display last user name.
- Con ello, Windows deja de rellenar el último usuario utilizado y redibuja la caja de entrada como “Nombre de usuario”.
- La medida aplica al inicio de sesión gráfico, a Ctrl+Alt+Supr, al cuadro de credenciales UAC y al cliente de Escritorio remoto.
Paso a paso en ediciones Pro o Enterprise
- Abrir la Directiva de seguridad local
Presiona Win+R, escribesecpol.mscy confirma. - Navegar por la consola
Seguridad → Políticas locales → Opciones de seguridad. - Configurar la directiva
Localiza Interactive logon: Do not display last user name, haz doble clic y selecciona Habilitado.
Aplica → Aceptar. - Reiniciar o cerrar sesión para que el cambio surta efecto.
Resultado inmediato
Al volver a la pantalla de inicio, el sistema mostrará un cuadro de texto vacío cuyo rótulo predeterminado pasa a ser “Nombre de usuario”. Cuando la misma máquina actúe como host RDP o cuando uses mstsc.exe para conectarte a otra, el cuadro de credenciales también presentará ese mismo etiquetado.
Edición Home: registro de Windows
Las ediciones Home no incluyen la consola secpol.msc, pero la clave de Registro sigue existiendo:
[HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DontDisplayLastUserName"=dword:00000001
Pasos recomendados:
- Inicia
regedit.execomo administrador. - Navega a la ruta anterior.
- Si el valor
DontDisplayLastUserNameno existe, crea un nuevo DWORD (32 bits). - Establece los datos en
1. - Cierra el editor y reinicia.
Precaución: un error en el Registro puede dejar inestable el sistema. Crea un punto de restauración antes de editar.
Dominios AD o Azure AD
Group Policy On‑Premises
En controladores de dominio Windows Server:
- Abre la Group Policy Management Console (
gpmc.msc). - Crea o edita una GPO vinculada a la OU que contenga los equipos.
- Ruta → Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options.
- Configura Interactive logon: Do not display last user name como Enabled.
- Ejecuta
gpupdate /forceo espera a la actualización automática.
Microsoft Intune / MDM
En entornos modernos gestionados desde la nube:
- Ir a Endpoint security → Account protection → Attack surface reduction.
- Crear un perfil Account protection y activar Hide last signed‑in user.
- Asignar el perfil a los grupos de dispositivos Windows 10/11.
Alternativamente, puedes desplegar un OMA‑URI con la ruta ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastUserName y valor 1.
Tabla comparativa de métodos
| Escenario | Método | Nivel de riesgo | Reversible |
|---|---|---|---|
| Windows Pro/Enterprise individual | secpol.msc | Bajo | Sí, basta con deshabilitar la política |
| Windows Home | Registro (DontDisplayLastUserName) | Medio (edición manual) | Sí, estableciendo el valor en 0 |
| Dominios Active Directory | GPO | Bajo | Sí, des‑link de la GPO o cambio a Not Configured |
| Dispositivos gestionados por Intune | Perfil CSP / Account protection | Bajo | Sí, retira o modifica el perfil |
Ventajas y limitaciones
Ventajas clave
- Claridad para el usuario: el texto coincide con el formato real de credenciales.
- Compatibilidad: funciona con cuentas locales, de dominio y RDP.
- Seguridad añadida: al no mostrar el último usuario, se dificulta la enumeración de cuentas.
Desventajas o puntos a vigilar
- No se recuerda el último usuario: cada inicio requerirá teclear nombre completo; podría ser tedioso en kioscos.
- Soporte limitado para cuentas Microsoft: si algún usuario inicia sesión con e‑mail, deberá escribirlo completo o usar Omitir este paso.
- Impacto en scripts antiguos: algunos flujos automatizados que dependían del valor
%USERNAME%visible podrían requerir ajustes.
Buenas prácticas de implementación
En estaciones individuales
- Después de aplicar la política, crea una cuenta administrativa de emergencia distinta, por si acaso.
- Documenta el cambio en el registro de TI para futuras auditorías.
En despliegues masivos
- Prueba primero en un anillo piloto —por ejemplo, 5 % de los equipos— y monitorea Help Desk.
- Incluye la modificación en la baseline de seguridad para evitar configuraciones divergentes.
- Comunica a los usuarios el motivo del cambio con capturas de pantalla.
Preguntas frecuentes (FAQ)
¿Es necesario reiniciar el equipo?
No estrictamente; cerrar sesión basta. Sin embargo, un reinicio asegura que el cambio alcance a todos los servicios y al cliente de RDP.
¿Puedo revertir la medida?
Sí. En secpol.msc marca la opción como Deshabilitado o en el Registro pon DontDisplayLastUserName=0. Vuelve a aparecer el último usuario y el campo se etiqueta «Correo electrónico». Para GPO e Intune, revierte o elimina la política.
¿Afecta a la autenticación biométrica (Windows Hello)?
No. El dispositivo sigue ofreciendo PIN, huella o reconocimiento facial. La política solo cambia el texto y el recuerdo del último usuario cuando el método principal es la contraseña.
Comprobación desde Escritorio remoto
Tras aplicar la configuración, abre mstsc.exe, introduce la IP o FQDN del host y haz clic en «Conectar». Dentro del cuadro “Credenciales de Windows” verás el campo “Nombre de usuario” listo para recibir DOMAIN\usuario, sin rastro de la palabra “correo”. Este comportamiento también se replica en la app Remote Desktop para Windows Store.
Automatización con PowerShell
Si necesitas aplicar esta configuración en lote, aquí tienes un script mínimo:
# Ejecutar como administrador
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' `
-Name 'DontDisplayLastUserName' -Value 1 -Type DWord
Write-Host 'Directiva aplicada. Reinicia el equipo para confirmar.'
Puedes incorporarlo a un script de inicio de GPO o a una tarea de Intune remediation.
Recomendaciones de seguridad complementarias
- Activa la directiva Interactive logon: Machine inactivity limit para bloquear la sesión tras X minutos de inactividad.
- Revisa periódicamente el Event Log (ID 4625 — Intentos de inicio de sesión erróneo) para detectar fuerza bruta.
- Considera habilitar cuentas bloqueadas tras N intentos (Account lockout threshold).
Conclusión
Cambiar el cuadro de inicio de sesión de “correo electrónico” a “nombre de usuario” no solo mejora la usabilidad sino que añade una capa de seguridad al suprimir el último usuario visible. La directiva Do not display last user name es sencilla de implementar y reversible en cualquier momento. Ya sea a través de secpol.msc, el Registro, GPO o Intune, tu organización podrá ofrecer una experiencia de autenticación coherente con su modelo de cuentas.