Generator autounattend.xml Windows 11 - Ghid Cont Local 2026

Microsoft a inchis in 2025, una cate una, toate scurtaturile "magice" pentru cont local in Windows 11 OOBE. In martie 2025, oobe\BYPASSNRO a fost eliminata din build-urile Insider Beta 26120.3653 si apoi propagata in Stable. In octombrie 2025, comanda start ms-cxh:localonly a fost blocata pe build 26200+. Registry hack-urile cu HideOnlineAccountScreens functioneaza partial, doar daca le aplici inainte sa ajungi in OOBE - ceea ce inseamna ca tot ai nevoie de o metoda anterioara ca sa le aplici.

In aprilie 2026, profesionistii IT care fac deployment masiv si utilizatorii care vor independenta de cloud au ramas cu o singura metoda fiabila si neblocabila: autounattend.xml. E formatul oficial documentat de Microsoft, folosit de SCCM, MDT, Intune si Autopilot - blocarea lui ar paraliza deployment-ul enterprise pe scara globala. De asta supravietuieste din Vista incoace si va supravietui si in 25H2.

Articolul de fata acopera tot ce trebuie sa stii: cum generezi rapid un autounattend.xml cu Generator autounattend.xml SecureNET - tool-ul nostru gratuit optimizat pentru Romania - cum il pui pe USB cu Rufus, cum faci boot si instalare automata, configurarile avansate pentru enterprise (Domain Join, FirstLogonCommands, app cleanup) si troubleshooting-ul problemelor frecvente. La final gasesti un exemplu complet XML pe care il poti folosi imediat si o sectiune dedicata pentru deployment NIS2-compliant in companii cu 50+ statii.

In acest ghid, iti aratam exact cum sa folosesti generatorul nostru gratuit de autounattend.xml pentru a obtine fisierul personalizat in 60 secunde, apoi cum sa il pui pe USB Windows 11 si sa rulezi instalarea automata.

De ce autounattend.xml functioneaza inca cand alte metode au fost blocate

Statusul metodelor in aprilie 2026

Pe scurt, situatia arata asa:

• oobe\BYPASSNRO: functional in 2024, BLOCAT in 2026 (eliminat din build martie 2025)
• start ms-cxh:localonly: functional in 2024, BLOCAT in 2026 (build 26200+, octombrie 2025)
• Registry HideOnlineAccountScreens: functional in 2024, partial in 2026 (necesita aplicare anterioara OOBE)
• Domain Join trick: functional, dar doar pe Pro/Enterprise/Education
• autounattend.xml: FUNCTIONAL pe 24H2 si 25H2, fara semne de blocare
• Rufus 4.x cu autounattend integrat: FUNCTIONAL, recomandat pentru utilizatori finali

De ce Microsoft nu poate bloca autounattend.xml

Trei motive structurale:

Primul, e standard documentat oficial pe Microsoft Learn de peste doua decenii. Eliminarea lui ar contrazice contractele de support enterprise si Volume Licensing Agreements care presupun unattended deployment.

Al doilea, toate produsele de deployment Microsoft - Microsoft Deployment Toolkit, System Center Configuration Manager, Intune Autopilot, Windows Deployment Services - se bazeaza pe answer files in formatul WSIM. Blocarea ar dezactiva Autopilot pe milioane de device-uri provisionate prin OEM la fabrica.

Al treilea, marii integratori OEM (Dell, HP, Lenovo) injecteaza autounattend.xml pe imaginile preinstalate. Blocarea ar afecta direct lantul de productie OEM si licentierea Windows pentru fiecare PC nou vandut.

In esenta, autounattend.xml nu e un "exploit" sau o "scapare" - e infrastructura. ms-cxh:localonly era un debug shortcut introdus accidental in OOBE; oobe\BYPASSNRO era un script special pentru testare interna care a fost descoperit public. Ambele puteau fi blocate fara consecinte. autounattend.xml nu poate.

Diferenta intre autounattend.xml si unattend.xml

Una dintre confuziile frecvente in documentatie. Cele doua fisiere au structura XML identica, dar comportament diferit la rulare:

autounattend.xml e cautat AUTOMAT de Windows Setup la pornire, in radacina mediei de instalare (USB, DVD, ISO mounted). Daca exista, e folosit fara sa-l mentionezi explicit. E format magic recunoscut nativ.

unattend.xml e similar ca structura, dar trebuie referit explicit prin parametrul de comanda /unattend:path. E folosit cand vrei sa pasezi mai multe answer files in pase diferite ale instalarii sau cand integrezi cu MDT/SCCM care manageriaza singur referirea.

Pentru cazurile de uz din acest articol - boot de pe USB pentru un singur PC sau deployment masiv - autounattend.xml e alegerea corecta.

Ce iti trebuie inainte sa incepi

Hardware

• USB stick minim 8 GB (recomandat 16 GB sau mai mare, pentru ISO 11 25H2)
• PC tinta cu Windows 11 deja instalat sau gata de instalare clean
• Conexiune internet pentru descarcare ISO oficial

Software

• Windows 11 ISO oficial de la microsoft.com/software-download/windows11
• Rufus 4.x descarcat de la rufus.ie (versiunea portable e suficienta)
• Generator autounattend.xml SecureNET - tool gratuit online optimizat pentru Romania (recomandat)
• Optional: Notepad++ sau VS Code pentru editare manuala XML (utilizatori avansati)

Cunostinte minime

• Cum se acceseaza meniul boot al motherboard-ului (F12, F2, Del, Esc)
• Concept de fisier configurare unattended (citeste sectiunea de mai sus daca e nou)
• Notiuni de baza XML pentru sectiunea avansata

Metoda 1 - Generator autounattend.xml online SecureNET (recomandat)

Generator autounattend.xml SecureNET e tool-ul nostru gratuit care creeaza fisierul personalizat pentru Windows 11 24H2 si 25H2 in browser, fara inregistrare, in maxim 60 secunde. Pentru majoritatea utilizatorilor din Romania - de la enthusiast la admin de retea care face deployment lunar - aceasta e cea mai rapida ruta de la "vreau cont local" la "USB gata de boot".

De ce sa folosesti generatorul nostru autounattend.xml online

• 100% in browser - configuratia ta nu pleaca pe niciun server, totul ruleaza local in JavaScript
• Configurare in 60 secunde printr-un formular cu tab-uri intuitive (General, Cont Local, Bypass, Privacy, Avansat)
• Preview XML live in timp real, vezi exact ce se genereaza pe masura ce bifezi optiunile
• Optimizat pentru Windows 11 24H2 si 25H2 (build 26200+) - actualizat constant fata de modificarile Microsoft
• Include automat bypass-urile necesare in 2026 (HideOnlineAccountScreens, SkipUserOOBE, HideWirelessSetupInOOBE, HideOEMRegistrationScreen)
• Compatibil out-of-the-box cu Rufus 4.x - workflow-ul cel mai folosit
• Suport nativ pentru Romania: locale ro-RO, GTB Standard Time, Romanian Standard keyboard layout
• Open principles - vezi XML-ul generat inainte sa-l descarci, poti compara cu exemplul din acest articol

Pasi pas-cu-pas

#### Pasul 1: Deschide generatorul SecureNET

Mergi la snsys.ro/apps/generator-autounattend-windows11. Pagina se incarca instant, fara dependente externe. Vei vedea un formular cu mai multe tab-uri in stanga si un panel cu preview XML live in dreapta.

#### Pasul 2: Tab "General" - limba, timezone, computer name

• Display language: Romanian (ro-RO) sau English (en-US)
• Time zone: GTB Standard Time pentru Bucuresti si majoritatea Romaniei (default daca selectezi profil RO)
• Keyboard layout: Romanian Standard pentru diacritice sau US pentru layout clasic IT
• Computer name: optional, lasa gol pentru generare automata sau pune o conventie (ex: "WS-CONTAB-05")

Greseala frecventa: time zone lasat pe UTC. Genereaza ulterior probleme cu logging-ul de evenimente, certificate Active Directory (Kerberos clock skew) si sincronizare. Selecteaza GTB Standard Time chiar si pentru un singur PC personal.

#### Pasul 3: Tab "Cont Local" - aici se face efectiv bypass-ul

• Username: "Administrator" sau orice nume preferi (evita "Admin" - rezervat de Windows)
• Password: parola sigura SAU lasa gol pentru cont fara parola
• Confirma parola
• Account type: Administrator (recomandat pentru control complet)

ATENTIE: Parola va fi stocata in clear text in fisierul autounattend.xml generat. Pentru un USB pe care il pierzi, oricine il gaseste poate citi parola. Pentru deployment enterprise, foloseste credentials encryption (MDT/SCCM) sau seteaza parola goala si o stabilesti la primul login.

#### Pasul 4: Tab "Bypass Cerinte" - aici e magia OOBE

Bifeaza obligatoriu pentru cont local:

• "Bypass Microsoft Account requirement" (DEFAULT: ON)
• "Skip wireless network setup" (cheia bypass-ului - fara asta, Windows 11 24H2+ va incerca conectarea si va afisa prompt-ul Microsoft Account)
• "Hide EULA page"
• "Hide PC Health Check"

Pentru hardware fara TPM 2.0 sau Secure Boot (laptop-uri vechi reciclate, masini virtuale fara vTPM):

• "Bypass TPM check"
• "Bypass Secure Boot check"
• "Bypass RAM 4GB check"

Generatorul adauga automat RunSynchronousCommand-uri in pass windowsPE care seteaza registry keys in HKLM\SYSTEM\Setup\LabConfig - aceleasi cu cele din exemplul XML de mai jos.

#### Pasul 5: Tab "Privacy & Telemetry" - protectie maxima

Click pe presetul "Privacy maxim - dezactiveaza tot" pentru a opri intr-un singur clic:

• Send diagnostic data to Microsoft
• Improve inking & typing
• Get tailored experiences
• Let apps use advertising ID
• Get location services

Pentru companii in scope NIS2, asta e parte din "minimizarea expunerii datelor" cerute de articolul 21 din Directiva.

#### Pasul 6: Tab "Avansat" (optional)

• RegisteredOrganization: numele firmei tale (apare in System Properties)
• FirstLogonCommands: PowerShell pentru install software automat la primul login
• Skip apps Microsoft (Cortana, Bing News, Xbox Game Bar, Teams personal)

#### Pasul 7: Verifica preview live XML

In panel-ul din dreapta vezi XML-ul generat in timp real, cu syntax highlighting Prism. Verifica vizual ca toate setarile sunt reflectate corect inainte de download. Daca ceva nu arata bine, modifica in tab-uri si XML-ul se actualizeaza instant.

#### Pasul 8: Click "Genereaza si descarca autounattend.xml"

Fisierul se descarca instant in folderul Downloads. Marime tipica: 5-15 KB. Numele fisierului este exact "autounattend.xml" (lowercase, fara spatii) - exact ce asteapta Windows Setup.

Generator autounattend.xml SecureNET vs alte tool-uri

• Optimizat pentru Windows 11 25H2 (build 26200+) - actualizat constant cu modificarile Microsoft post-octombrie 2025
• Profile pre-configurate pentru scenarii frecvente in Romania:

- "Cont local + privacy maxim" - utilizator individual care vrea independenta de cloud

- "Workstation NIS2 hardened" - companii sub conformitate NIS2 cu telemetrie minima si audit policy

- "Kiosk minimal" - dispozitive embedded, receptii, terminale POS

• Suport nativ Romanian Standard keyboard si GTB Standard Time (nu trebuie sa cauti manual identificatorii)
• Documentatie completa in romana cu exemple Romania-specific
• Nu trimite date catre niciun server extern - toata generarea ruleaza in browser-ul tau

Pasul critic - cum sa pui autounattend.xml pe USB

Optiunea A: cu Rufus (recomandat)

#### Pasul 1: Descarca Windows 11 ISO oficial

Mergi la microsoft.com/software-download/windows11 si descarca imaginea pentru "Windows 11 (multi-edition ISO)". Selecteaza limba (Romanian sau English International) si edition (Pro pentru utilizare business). Fisierul are 5-6 GB.

#### Pasul 2: Conecteaza USB-ul si deschide Rufus

Rufus 4.x portable nu necesita instalare. Ruleaza-l ca administrator. Conecteaza USB stick-ul de minim 8 GB (atentie: continutul va fi sters complet).

#### Pasul 3: Configureaza Rufus

• Device: selecteaza USB-ul corect din lista (verifica de doua ori - poti formata accidental un disk gresit)
• Boot selection: click pe SELECT si alege ISO-ul Windows 11 descarcat
• Image option: Standard Windows installation
• Partition scheme: GPT (pentru UEFI modern) sau MBR (pentru BIOS legacy)
• Target system: UEFI (non CSM) pentru majoritatea sistemelor moderne
• File system: NTFS (recomandat pentru ISO Windows 11 mai mare de 4 GB)
• Click START

#### Pasul 4: Fereastra "Windows User Experience"

Cand apesi START, Rufus 4.x afiseaza un dialog cu optiuni preconfigurate (cont local automat, bypass TPM, bypass network, etc.). Pentru workflow-ul nostru, DEBIFEAZA toate aceste optiuni - vom folosi autounattend.xml manual care ofera control mai fin. Click OK.

#### Pasul 5: Asteapta crearea USB-ului

Procesul dureaza intre 5 si 15 minute, in functie de viteza USB-ului si a CPU-ului. Rufus formateaza, copiaza fisierele si face USB-ul bootable.

#### Pasul 6: Copiaza autounattend.xml in radacina USB-ului

Deschide USB-ul in File Explorer si copiaza fisierul autounattend.xml descarcat de la generator direct in primul nivel - nu intr-un subfolder. Verifica vizual ca fisierul apare langa folderele sources/, boot/ si efi/. Daca il pui in subfolder, Setup nu il va detecta.

Optiunea B: manual (avansat, doar profesionisti)

Pentru cazuri speciale unde Rufus nu functioneaza (USB exotic, CPU foarte vechi):

• Pasul 1: Formateaza USB-ul ca FAT32 (pentru UEFI) sau NTFS (pentru BIOS legacy) prin diskpart
• Pasul 2: Extrage continutul ISO-ului Windows 11 cu 7-Zip intr-un folder temporar
• Pasul 3: Copiaza tot continutul folderului pe USB
• Pasul 4: Adauga autounattend.xml in radacina USB-ului
• Pasul 5: Fa USB-ul bootable cu bootsect.exe /nt60 sau prin diskpart cu activarea partitiei

Optiunea A e mult mai sigura si recomandata pentru orice scenariu non-exotic. Optiunea B e justificata doar daca administrezi flota de USB-uri preconfigurate care nu trec prin Rufus.

Boot si instalare automata Windows 11

Pasul 1: Insereaza USB-ul in PC-ul tinta

Deconecteaza alte USB-uri pentru a evita confuzia in meniul boot.

Pasul 2: Acceseaza meniul boot

Reporneste PC-ul si apasa repetat tasta meniului boot. Difera per producator:

• Dell: F12
• HP: F9 sau Esc
• Lenovo: F12 sau Enter pentru meniu interrupt, apoi F12
• ASUS: F8 sau Esc
• MSI: F11
• Acer: F12
• Custom build: de obicei F11 sau Del pentru BIOS, apoi boot menu

Daca nu stii tasta exacta, intra in BIOS/UEFI (Del sau F2 in primele secunde) si activeaza temporar Boot Override sau muta USB-ul pe prima pozitie in Boot Order.

Pasul 3: Selecteaza USB-ul

In meniul boot, alege intrarea cu numele USB-ului ("UEFI: USB SanDisk..." sau similar). Pe sistemele UEFI moderne, alege optiunea cu prefix "UEFI:" pentru a folosi mediul GPT/UEFI nativ.

Pasul 4: Setup-ul Windows 11 porneste

Dupa cateva secunde de incarcare (logo Windows 11 + spinner), Setup detecteaza autounattend.xml din radacina USB-ului si trece automat prin urmatoarele etape:

• Sare peste ecranul de selectare limba (deja in fisier)
• Accepta automat EULA
• Aplica registry hacks pentru bypass TPM/Secure Boot daca ai bifat
• Trece la selectarea partitiei (poate cere interventie aici daca ai mai multe disk-uri)
• Copiaza fisierele Windows
• NU cere conectare la internet
• NU cere cont Microsoft
• Creeaza automat contul local definit cu username si parola specificate

Pasul 5: Asteapta instalarea

Durata totala: 15-30 minute, in functie de hardware. SSD NVMe + CPU modern: 12-15 min. HDD + CPU vechi: 40-50 min. PC-ul reporneste de 2-3 ori in timpul procesului - lasa-l sa termine fara sa intervii.

Pasul 6: Boot final

Dupa ultimul reboot, ajungi direct pe Desktop-ul Windows 11, logat automat cu contul local. Fara prompt de cont Microsoft, fara cerinta de retea, fara configurari aditionale. Daca ai bifat AutoLogon=false, vei vedea ecranul de login standard cu contul local.

Pasul 7: Verificare

Dupa primul login, valideaza configuratia:

• Settings > Accounts > Your info: trebuie sa vezi "Local account" sub numele utilizatorului
• Settings > Network & Internet: nu sunt retele conectate automat
• Settings > Privacy & Security: optiunile de telemetrie reflecta ce ai bifat in generator
• File Explorer: extensiile fisierelor si fisierele ascunse vizibile (daca ai bifat)

Exemplu autounattend.xml complet pentru Windows 11 cu cont local

Pentru cazurile in care vrei sa intelegi structura sau sa editezi manual, exemplul de mai jos e un autounattend.xml functional pentru Windows 11 24H2 cu cont local Administrator si bypass hardware checks:

<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">

  <settings pass="windowsPE">
    <component name="Microsoft-Windows-International-Core-WinPE"
               processorArchitecture="amd64"
               publicKeyToken="31bf3856ad364e35"
               language="neutral"
               versionScope="nonSxS">
      <SetupUILanguage>
        <UILanguage>en-US</UILanguage>
      </SetupUILanguage>
      <InputLocale>0409:00000409</InputLocale>
      <SystemLocale>en-US</SystemLocale>
      <UILanguage>en-US</UILanguage>
      <UserLocale>ro-RO</UserLocale>
    </component>

    <component name="Microsoft-Windows-Setup"
               processorArchitecture="amd64"
               publicKeyToken="31bf3856ad364e35"
               language="neutral"
               versionScope="nonSxS">
      <UserData>
        <AcceptEula>true</AcceptEula>
      </UserData>

      <RunSynchronous>
        <RunSynchronousCommand wcm:action="add">
          <Order>1</Order>
          <Path>reg add HKLM\SYSTEM\Setup\LabConfig /v BypassTPMCheck /t REG_DWORD /d 1 /f</Path>
        </RunSynchronousCommand>
        <RunSynchronousCommand wcm:action="add">
          <Order>2</Order>
          <Path>reg add HKLM\SYSTEM\Setup\LabConfig /v BypassSecureBootCheck /t REG_DWORD /d 1 /f</Path>
        </RunSynchronousCommand>
        <RunSynchronousCommand wcm:action="add">
          <Order>3</Order>
          <Path>reg add HKLM\SYSTEM\Setup\LabConfig /v BypassRAMCheck /t REG_DWORD /d 1 /f</Path>
        </RunSynchronousCommand>
      </RunSynchronous>
    </component>
  </settings>

  <settings pass="oobeSystem">
    <component name="Microsoft-Windows-Shell-Setup"
               processorArchitecture="amd64"
               publicKeyToken="31bf3856ad364e35"
               language="neutral"
               versionScope="nonSxS">

      <UserAccounts>
        <LocalAccounts>
          <LocalAccount wcm:action="add">
            <Name>Administrator</Name>
            <Group>Administrators</Group>
            <DisplayName>Administrator Local</DisplayName>
            <Password>
              <Value>YourSecurePass123!</Value>
              <PlainText>true</PlainText>
            </Password>
          </LocalAccount>
        </LocalAccounts>
      </UserAccounts>

      <AutoLogon>
        <Username>Administrator</Username>
        <Enabled>false</Enabled>
      </AutoLogon>

      <OOBE>
        <HideEULAPage>true</HideEULAPage>
        <HideOEMRegistrationScreen>true</HideOEMRegistrationScreen>
        <HideOnlineAccountScreens>true</HideOnlineAccountScreens>
        <HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>
        <NetworkLocation>Work</NetworkLocation>
        <ProtectYourPC>3</ProtectYourPC>
        <SkipMachineOOBE>true</SkipMachineOOBE>
        <SkipUserOOBE>true</SkipUserOOBE>
      </OOBE>

      <RegisteredOrganization>SecureNET Systems</RegisteredOrganization>
      <RegisteredOwner>Administrator</RegisteredOwner>
      <TimeZone>GTB Standard Time</TimeZone>

    </component>
  </settings>

</unattend>

Explicatie elemente cheie

• BypassTPMCheck, BypassSecureBootCheck, BypassRAMCheck: registry keys aplicate in pass windowsPE care permit instalarea pe hardware care nu indeplineste cerintele oficiale Windows 11
• HideOnlineAccountScreens=true: cheia care impiedica afisarea ecranului de cont Microsoft in OOBE
• HideWirelessSetupInOOBE=true: skip pentru ecranul de configurare retea wireless
• LocalAccount: definirea contului local cu username, parola si grup Administrators
• TimeZone "GTB Standard Time": Romania Standard Time (Bucuresti, GMT+2/+3)
• RegisteredOrganization si RegisteredOwner: personalizare brand vizibila in System Properties

Acest XML este similar cu ce genereaza automat Generator autounattend.xml SecureNET. Pentru fisier personalizat fara editare manuala, foloseste generatorul nostru online (recomandat). Pentru control total si modificari care nu sunt expuse in UI, edita XML-ul cu Notepad++ sau VS Code dupa generare.

Alternative la generatorul SecureNET autounattend.xml

Daca preferi alte instrumente pentru a genera autounattend.xml, exista si alternative externe:

• schneegans.de/windows/unattend-generator/ - generator open-source german mentinut de Christoph Schneegans, mai vechi, cu mai multe optiuni avansate dar fara optimizari Romania (ro-RO, GTB Standard Time, exemple Romania-specific) si fara profile pre-configurate pentru NIS2.
• Microsoft Windows System Image Manager (SIM) - tool oficial Microsoft, parte din Windows ADK. Necesita instalare desktop, curba de invatare abrupta. Pentru utilizatori avansati care lucreaza in deployment masiv enterprise.
• Editare XML manuala - control total, dar necesita cunoastere XML schema unattend Microsoft. Vezi exemplul complet din sectiunea anterioara ca punct de pornire.

Pentru majoritatea utilizatorilor din Romania, Generator autounattend.xml SecureNET ramane optiunea recomandata - rapid, vizual, optimizat pentru Romania si Windows 11 25H2.

Troubleshooting autounattend.xml - probleme comune si solutii

Setup-ul ignora autounattend.xml

Cele mai frecvente cauze:

• Fisierul nu e in radacina USB-ului (verifica langa folderele sources/, boot/, efi/)
• Numele fisierului e gresit - trebuie EXACT "autounattend.xml" lowercase, fara spatii sau extensii duble (.xml.txt)
• Encoding-ul fisierului nu e UTF-8 (Notepad++ poate convertii: Encoding > Convert to UTF-8)
• XML-ul are syntax invalid (lipsa tag de inchidere, namespace gresit)

Solutie: regenereaza fisierul cu generatorul online, copiaza din nou pe USB cu drag-and-drop simplu, valideaza XML-ul cu xmllint sau un validator online (validxml.com).

Contul local creat dar tot cere Microsoft Account la primul boot

Apare pe build-uri Windows 11 foarte recente (Insider Canary, Dev Channel). Cauza probabila: build-ul are o iteratie noua de OOBE care ignora unele elemente din pass-ul oobeSystem.

Solutie: foloseste Rufus 4.x cu optiunile native bifate in dialog-ul "Windows User Experience" in loc sa te bazezi exclusiv pe autounattend.xml. Rufus injecteaza modificari direct in install.wim, mai compatibile cu build-uri noi.

Eroare "Windows cannot install on this disk"

Cauza tipica: TPM sau Secure Boot check inca activ, registry hacks din pass windowsPE nu s-au aplicat.

Solutie: verifica ordinea RunSynchronousCommand (Order 1, 2, 3 corecti), asigura-te ca syntax-ul reg add e corect (atentie la backslash escapat in XML), sau aplica manual registry keys prin Shift+F10 in Setup pentru a deschide cmd.exe.

Setup blocat la "Just a moment..."

Cauze probabile: probleme cu drivere de chipset, ISO corupt, USB cu erori fizice.

Solutie: redownload ISO-ul de la microsoft.com cu Download Manager (verifica integritatea cu hash SHA256 publicat de Microsoft), foloseste alt USB stick (preferabil USB 3.0+), incearca alt port USB pe PC.

Domain Join automat esueaza dar contul local functioneaza

Verifica credentials in pass-ul specialize: domeniul accesibil, parola corecta, contul de domain join cu drepturi suficiente. Logurile sunt in C:\Windows\Panther\setupact.log si C:\Windows\debug\NetSetup.log.

Configurari avansate (pentru profesionisti)

Domain Join automat

Pentru integrare in Active Directory direct la prima boot, adauga in pass "specialize":

<component name="Microsoft-Windows-UnattendedJoin"
           processorArchitecture="amd64"
           publicKeyToken="31bf3856ad364e35"
           language="neutral"
           versionScope="nonSxS">
  <Identification>
    <Credentials>
      <Domain>YOURDOMAIN.local</Domain>
      <Password>DomainAdminPassword</Password>
      <Username>domainjoin@yourdomain.local</Username>
    </Credentials>
    <JoinDomain>YOURDOMAIN.local</JoinDomain>
    <MachineObjectOU>OU=Workstations,OU=Company,DC=yourdomain,DC=local</MachineObjectOU>
  </Identification>
</component>

Atentie: parola Domain Join se pastreaza in clear text. Pentru deployment serios in productie, foloseste un cont dedicat cu drepturi minime (doar Add Computer to Domain, nu Domain Admin), ruleaza scripturi care sterg autounattend.xml dupa instalare, sau foloseste GPP (Group Policy Preferences) Encrypted Credentials. Solutia profesionala completa e Microsoft Deployment Toolkit cu cred prompt securizat.

Run scripts la prima logare

Pentru instalarea automata de aplicatii corporate sau configurari post-instalare:

<FirstLogonCommands>
  <SynchronousCommand wcm:action="add">
    <Order>1</Order>
    <CommandLine>powershell.exe -ExecutionPolicy Bypass -File C:\install-software.ps1</CommandLine>
    <Description>Install company software baseline</Description>
  </SynchronousCommand>
  <SynchronousCommand wcm:action="add">
    <Order>2</Order>
    <CommandLine>powershell.exe -ExecutionPolicy Bypass -File C:\configure-defender.ps1</CommandLine>
    <Description>Apply Defender hardening for NIS2</Description>
  </SynchronousCommand>
</FirstLogonCommands>

Scripturile pot fi puse in radacina USB-ului si copiate la C:\ printr-un RunSynchronousCommand mai devreme in instalare.

Skip apps Microsoft preinstalate

Pentru a curata "bloatware-ul" Windows 11 standard la prima boot:

<RunSynchronous>
  <RunSynchronousCommand wcm:action="add">
    <Order>1</Order>
    <Path>powershell.exe -Command "Get-AppxPackage *cortana* | Remove-AppxPackage"</Path>
  </RunSynchronousCommand>
  <RunSynchronousCommand wcm:action="add">
    <Order>2</Order>
    <Path>powershell.exe -Command "Get-AppxPackage *bingnews* | Remove-AppxPackage"</Path>
  </RunSynchronousCommand>
  <RunSynchronousCommand wcm:action="add">
    <Order>3</Order>
    <Path>powershell.exe -Command "Get-AppxPackage *xboxgamebar* | Remove-AppxPackage"</Path>
  </RunSynchronousCommand>
</RunSynchronous>

Lista completa de app-uri Microsoft preinstalate poate fi obtinuta cu Get-AppxPackage -AllUsers in PowerShell pe un Windows 11 nou instalat.

Adaugare Product Key

Pentru sisteme cu licenta OEM Volume sau Retail key prestabilit:

<component name="Microsoft-Windows-Setup" ...>
  <UserData>
    <AcceptEula>true</AcceptEula>
    <ProductKey>
      <Key>XXXXX-XXXXX-XXXXX-XXXXX-XXXXX</Key>
    </ProductKey>
  </UserData>
</component>

Pentru deployment masiv cu KMS (Key Management Service), nu pune cheia in autounattend.xml - KMS-ul intern al companiei activeaza automat masinile dupa Domain Join.

Sfaturi autounattend.xml pentru companii cu deployment masiv Windows 11

Pentru companii ca SecureNET Systems si firme similare care fac deployment regulat la 10+ statii pe luna, autounattend.xml standardizat reduce drastic timpul de onboarding al echipelor noi si elimina inconsistentele intre statii.

Standardizeaza profile per tip de client

Recomandarea practica e sa pastrezi 3-4 profile autounattend.xml pre-validate, fiecare pentru un caz de uz:

• Profil "Cont local + Domain Join AD": pentru firme medii cu Active Directory existent
• Profil "Workstation NIS2 hardened": pentru clienti in scope NIS2 cu BitLocker, audit policy, Defender ATP, telemetrie minima
• Profil "Kiosk minimal": pentru receptii, statii de productie, terminale POS
• Profil "Workstation creativ": pentru designeri si video editori, fara hardening agresiv care sa interfereze cu software-ul de productie

Pastreaza fisierele in Git

Versionare, audit trail, rollback usor. Repository privat (GitLab self-hosted, GitHub Enterprise) cu un README care documenteaza fiecare profil si schimbarile. Pentru audit DNSC sau DPA, poti demonstra rapid cand si cine a modificat configuratia de baza.

Integreaza cu MDT/SCCM/Intune

Pentru deployment-uri mai mari de 10 PC-uri lunar, autounattend.xml manual pe USB devine ineficient. Microsoft Deployment Toolkit (gratuit) ofera task sequences cu autounattend.xml integrat plus drivere injectate per model si aplicatii post-instalare. SCCM si Intune merg mai departe cu Autopilot pentru zero-touch deployment.

Conformitate NIS2

Pentru clienti in scope NIS2, autounattend.xml e prima linie de aparare standardizata - vezi checklist conformitate NIS2 Romania 2026 pentru lista completa de cerinte. Profilul "NIS2 hardened" trebuie sa includa cel putin:

• Telemetrie Windows minima (Send diagnostic data: Required only sau No)
• BitLocker enabled la prima boot prin script PowerShell in FirstLogonCommands
• Audit policy configurat (Account Logon, Account Management, Logon/Logoff, Object Access, Policy Change, Privilege Use, System) prin auditpol.exe
• Defender ATP sau Wazuh agent instalat automat
• Windows Update settings forte la "Notify before download" pentru control administrativ

Documentare pentru audit

Pastreaza pentru fiecare profil:

• Versiunea Windows targetata (24H2, 25H2)
• Data ultimei validari pe build curent
• Lista de modificari fata de versiunea anterioara
• Rezultatul testului pe o masina virtuala curata

Auditorul DNSC sau ANCOM intr-un control NIS2 nu cere sa-i predai un manual de 40 pagini, ci sa demonstrezi proces consistent. Un autounattend.xml in Git cu README clar si commit history e proof-of-process.

In SecureNET integram Generator autounattend.xml in workflow-ul nostru de externalizare IT pentru clienti enterprise. Fisierele sunt versionate in Git, auditate pentru conformitate NIS2 si integrate cu MDT/SCCM/Intune. Solicita consultanta pentru deployment masiv.

Intrebari frecvente

autounattend.xml functioneaza pe Windows 11 25H2?

Da. E una dintre putinele metode care MAI functioneaza pe build 26200+ unde oobe\BYPASSNRO si ms-cxh:localonly sunt blocate. Comunitatea tehnica internationala (Windows Latest, Tom's Hardware) confirma functionarea pe ultimele build-uri Stable.

E sigur sa pun parola in clear text in fisier?

Pentru testare sau un singur PC personal: acceptabil daca distrugi USB-ul dupa instalare. Pentru deployment enterprise: nu. Foloseste hash-uri Base64 cu suffix UserPassword (sintaxa documentata pe Microsoft Learn), credentials encrypted prin GPP, sau un deployment server (MDT, SCCM) care nu pastreaza credentials in clear text pe mediile portabile.

Pot folosi autounattend.xml pe Windows 10?

Da, formatul e similar pentru toate versiunile moderne (Vista, 7, 8, 10, 11). Cateva elemente difera intre versiuni - de exemplu HideOnlineAccountScreens nu are efect pe Windows 7 care nu cunoaste cont Microsoft. Verifica documentatia Microsoft Learn pentru elementele specifice fiecarei versiuni.

Microsoft poate bloca aceasta metoda in viitor?

Foarte putin probabil. autounattend.xml e parte fundamentala din Windows Setup, folosit de SCCM, MDT, Intune si Autopilot. Blocarea ar afecta deployment enterprise masiv si ar contrazice contractele de Volume Licensing. Microsoft poate restrictiona elemente individuale (cum a facut cu BypassNRO), dar nu intregul mecanism.

Care e diferenta intre autounattend.xml si unattend.xml?

autounattend.xml e cautat automat de Windows Setup la pornire, in radacina mediei de instalare. Daca exista, e folosit fara configurare suplimentara. unattend.xml are aceeasi structura XML dar trebuie referit explicit prin parametrul /unattend:path al setup.exe sau dism.exe. Pentru boot direct de pe USB, autounattend.xml e alegerea corecta.

Pot folosi acelasi autounattend.xml pe mai multe PC-uri?

Da. Acesta e exact cazul de uz pentru care a fost creat formatul - deployment masiv. Singurul element care trebuie diferit e ComputerName (poate fi generat aleator daca lasi gol sau redenumit ulterior printr-un script de domain join). Toate celelalte setari (cont local, telemetrie, time zone, BitLocker policy) raman identice pentru intreaga flota.

Functioneaza si pentru Windows 11 Home?

Da. Diferenta majora fata de Pro: Domain Join nu functioneaza pe Home (limitare de licenta, doar Pro/Enterprise/Education suporta join in Active Directory). Toate celelalte functii (cont local, bypass hardware, FirstLogonCommands) functioneaza identic.

Pot adauga si licenta Windows in autounattend.xml?

Da, prin elementul ProductKey in pass windowsPE in componenta Microsoft-Windows-Setup. Pentru OEM Volume Licensing, recomandarea e sa folosesti KMS (Key Management Service) intern care activeaza automat masinile dupa join in domeniu - mai sigur decat sa pastrezi cheia in clear text pe mediile de instalare.

De ce sa folosesc Generator SecureNET in loc de schneegans.de?

Generator autounattend.xml SecureNET e optimizat pentru Romania (locale ro-RO, GTB Standard Time, keyboard Romanian Standard, exemple Romania-specific) si pentru Windows 11 25H2 (build 26200+). Schneegans.de e excelent dar e generic pentru orice limba si regiune. Pentru utilizatori din Romania, generatorul SecureNET e mai rapid si include profile pre-configurate (NIS2 hardened, Kiosk minimal, Cont local + privacy maxim) plus documentatie completa in romana. In plus, ambele genereaza XML 100% in browser fara sa trimita date catre server.

Concluzie

In aprilie 2026, autounattend.xml e cea mai fiabila si neblocabila metoda pentru instalarea Windows 11 cu cont local. Daca pana acum sase luni puteai folosi oobe\BYPASSNRO sau start ms-cxh:localonly ca scurtaturi rapide in OOBE, acum ambele sunt blocate de Microsoft prin actualizari ale build-urilor Stable. Registry hack-urile cu HideOnlineAccountScreens functioneaza partial dar necesita aplicare anterioara OOBE - ceea ce, paradoxal, te trimite tot la autounattend.xml ca solutie de aplicare automata.

Pentru a obtine fisierul potrivit, foloseste Generator autounattend.xml SecureNET - gratuit, in browser, optimizat pentru Romania (ro-RO, GTB Standard Time, Romanian Standard keyboard), fara inregistrare. Pentru utilizatori individuali ai nevoie de 60 secunde sa configurezi si sa descarci fisierul, apoi 10 minute sa il pui pe USB cu Rufus si sa pornesti instalarea automata.

Pentru companii cu deployment masiv, autounattend.xml integrat in MDT, SCCM sau Intune Autopilot e standardul industriei - acelasi format, scalat la mii de masini. SecureNET Systems implementeaza solutii profesionale cu autounattend.xml integrat in MDT/SCCM/Intune, conform NIS2, cu standardizare cross-fleet pentru flote de 50+ statii si audit trail complet pentru conformitate.

Pasii urmatori:

• Utilizator individual sau IT pro: Foloseste Generator autounattend.xml SecureNET →
• Companie cu deployment masiv: Solicita consultanta deployment NIS2 →

Pentru o discutie tehnica directa pe configurari MDT, SCCM sau autounattend.xml customizat, scrie-ne la office@snsys.ro.