- Изменить заставку экрана блокировки windows 10 через gpo
- Изменить картинку экрана блокировки/входа средствами GPO на windows 10 1607
- Блокировка экрана компьютера при простое с помощью групповой политики
- Установка фона (обоев) рабочего стола через групповые политики
- Настройка групповых политик управления фоном рабочего стола
- Настройка фона рабочего стола через реестр и GPO
- На Windows 10 не применяются обои рабочего стола через GPO
Изменить заставку экрана блокировки windows 10 через gpo
В домене все ПК на версии win10 1511
Настроена ГПО для единой картинки экрана блокировки. Все работает.
Конфигурация компьютера — Адм. шаблоны — Панель управления — Персонализация
Включены два параметра Применение спец. изображения экрана блокировки по умолчанию. Указан путь \\l.local\SYSVOL\l.local\ll2.jpg
Запрет изменения изображения экрана блокировки — Включен
Идет процедура обновления всех ПК с 1511 до 1607 и на версии 1607 на экране блокировки обычная виндовая заставка, НЕ корпоративная картинка
Нашел https://docs.microsoft.com/ru-ru/win. dows-spotlight
Вроде как все должно работать, но не работает
Скачал новые admx файлы, на контролер домена скопировал и создал новую политику. НЕ работает политика
В этой статье https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/
пишут, про неправильную работу GPO после обновления 2016 года.
Выполнил предложенный ими скрипт, получил результат для политики по изменению картинки
Adding ‘Read’ permissions for ‘Authenticated Users’ to the GPO ‘Logo_win10’.
Set-GPPermissions : Такой объект на сервере отсутствует.
C:\Users\GNV\Desktop\AdjustGPOPermissions.ps1:77 знак:11
+ Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetT .
+
+ CategoryInfo : NotSpecified: ( 
[Set-GPPermission], DirectoryServicesCOMException
+ FullyQualifiedErrorId : System.DirectoryServices.DirectoryServicesCOMException,Microsoft.GroupPolicy.Commands.SetGPPermissio nsCommand
При этом в политике все норм (см. скриншот gpo1)
В домене есть один ноут с версией 1709 (Сборка 16299.19) — тоже не отрабатывает
Саму картинку привел к размеру 1920 на 1200 — НЕ помогло
gpresult /r /scope:computer
| Программа формирования отчета групповой политики операционной системы Microsoft (R) Windows (R) версии 2.0 © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. |
Создано 10.11.2017 в 15:35:37
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 10.0.14393
Имя сайта: MAINSITE
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\GNV
Подключение по медленному каналу: Нет
Конфигурация компьютера
————————
CN=TEST,OU=test users,DC=ll,DC=local
Последнее применение групповой политики: 10.11.2017 в 14:55:54
Групповая политика была применена с: LL.ll.local
Порог медленного канала для групповой политики: 500 kbps
Имя домена: LL
Тип домена: Windows 2008 или более поздняя версия
Примененные объекты групповой политики
—————————————
Fhoto_reg
Logo_w10
Default Domain Policy
Firewall Group Policy
Account Group Policy
WSUS for clients
Outlook
script
windows_10
Audit Succses/Failure
Следующие политики GPO не были применены, так как они отфильтрованы
———————————————————————
Local Group Policy
Фильтрация: Не применяется (пусто)
Компьютер является членом следующих групп безопасности
——————————————————
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
Данная организация
TEST$
Domain Computers
Подтвержденное центром проверки подлинности удостоверение
Обязательный уровень системы
Тестовые ПК в OU, на которую применяется политика, перемещены
Картинки экрана блокировки расположены в C:\Users\[Имя_Вашей_Учетной_Записи]\AppData\Local\Packages\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\LocalState\Assets
но файлы странные, не jpeg. Может мне картинку в какой то определенный формат перевести?
Может кто помочь в этой проблеме
Изменить картинку экрана блокировки/входа средствами GPO на windows 10 1607
В домене все ПК на версии win10 1511
Настроена ГПО для единой картинки экрана блокировки. Все работает.
Конфигурация компьютера — Адм. шаблоны — Панель управления — Персонализация
Включены два параметра Применение спец. изображения экрана блокировки по умолчанию. Указан путь \\l.local\SYSVOL\l.local\ll2.jpg
Запрет изменения изображения экрана блокировки — Включен
Идет процедура обновления всех ПК с 1511 до 1607 и на версии 1607 на экране блокировки обычная виндовая заставка, НЕ корпоративная картинка
Нашел https://docs.microsoft.com/ru-ru/win. dows-spotlight
Вроде как все должно работать, но не работает
Скачал новые admx файлы, на контролер домена скопировал и создал новую политику. НЕ работает политика
В этой статье https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/
пишут, про неправильную работу GPO после обновления 2016 года.
Выполнил предложенный ими скрипт, получил результат для политики по изменению картинки
Adding ‘Read’ permissions for ‘Authenticated Users’ to the GPO ‘Logo_win10’.
Set-GPPermissions : Такой объект на сервере отсутствует.
C:\Users\GNV\Desktop\AdjustGPOPermissions.ps1:77 знак:11
+ Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetT .
+
+ CategoryInfo : NotSpecified: (
[Set-GPPermission], DirectoryServicesCOMException
+ FullyQualifiedErrorId : System.DirectoryServices.DirectoryServicesCOMException,Microsoft.GroupPolicy.Commands.SetGPPermissio nsCommand
При этом в политике все норм (см. скриншот gpo1)
В домене есть один ноут с версией 1709 (Сборка 16299.19) — тоже не отрабатывает
Саму картинку привел к размеру 1920 на 1200 — НЕ помогло
gpresult /r /scope:computer
| Программа формирования отчета групповой политики операционной системы Microsoft (R) Windows (R) версии 2.0 © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. |
Создано 10.11.2017 в 15:35:37
Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 10.0.14393
Имя сайта: MAINSITE
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\GNV
Подключение по медленному каналу: Нет
Конфигурация компьютера
————————
CN=TEST,OU=test users,DC=ll,DC=local
Последнее применение групповой политики: 10.11.2017 в 14:55:54
Групповая политика была применена с: LL.ll.local
Порог медленного канала для групповой политики: 500 kbps
Имя домена: LL
Тип домена: Windows 2008 или более поздняя версия
Примененные объекты групповой политики
—————————————
Fhoto_reg
Logo_w10
Default Domain Policy
Firewall Group Policy
Account Group Policy
WSUS for clients
Outlook
script
windows_10
Audit Succses/Failure
Следующие политики GPO не были применены, так как они отфильтрованы
———————————————————————
Local Group Policy
Фильтрация: Не применяется (пусто)
Компьютер является членом следующих групп безопасности
——————————————————
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
Данная организация
TEST$
Domain Computers
Подтвержденное центром проверки подлинности удостоверение
Обязательный уровень системы
Тестовые ПК в OU, на которую применяется политика, перемещены
Картинки экрана блокировки расположены в C:\Users\[Имя_Вашей_Учетной_Записи]\AppData\Local\Packages\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\LocalState\Assets
но файлы странные, не jpeg. Может мне картинку в какой то определенный формат перевести?
Может кто помочь в этой проблеме
Блокировка экрана компьютера при простое с помощью групповой политики
В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L ). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.
Создадим и настроим доменную политику управления параметрами блокировки экрана:
-
- Откройте консоль управления доменными политиками Group Policy Management console ( gpmc.msc ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями);
- Перейдите в режим редактирования политики и выберите секцию User Configuration ->Policies ->Administrative Templates ->Control Panel ->Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
- В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
- Enable screen saver — включить экранную заставку;
- Password protect the screen saver — требовать пароль для разблокировки компьютера;
- Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер;
- Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это scrnsave.scr (с помощью GPO можно сделать скринсейвер в виде слайдшоу);
- Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.
- Откройте консоль управления доменными политиками Group Policy Management console ( gpmc.msc ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями);
- Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал 300 . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут;
- Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой ( gpupdate /force ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).
В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.
Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:
- Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
- Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
- Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.
Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).
Установка фона (обоев) рабочего стола через групповые политики
Рассмотрим, как с помощью групповых политик можно установить одинаковый рисунок рабочего стола (обои) на всех компьютерах домена. Как правило, такое требование возникает в крупных организациях, требующих использовать на всех компьютерах одинаковый фон рабочего стола, выполненного в корпоративном стиле компании.
Нам понадобится, собственно файл с рисунком, который вы хотите использовать в качестве обоев. Это может быть файл формата bmp или jpg.
Файл с изображением можно предварительно скопировать на все компьютеры, но на мой взгляд проще, чтобы клиенты автоматически брали jpg файл из сетевого каталога. Для этого можно использовать файл-сервер, каталог SYSVOL на контроллерах домена или DFS каталог. Для нашей распределенной сети мы выбрали второй вариант, ведь так как содержимое SYSVOL автоматически реплицируется между всеми DC, это уменьшит WAN — трафик между филиалами при получении клиентами файла с рисунком.
Скопируйте файл с изображением на любом контроллер домена в каталог C:\Windows\SYSVOL\sysvol\winitpro.loc\scripts\Screen. UNC путь к файлу будет выглядеть так: \\winitpro.loc\SYSVOL\winitpro.loc\scripts\Screen\corp_wallpaper.jpg.
Проверьте, что у пользователей домена есть права на чтение этого файла (проверьте NTFS разрешения, предоставив право Read группе Domain Users или Authenticated Users).
Настройка групповых политик управления фоном рабочего стола
Затем откройте консоль управления доменными GPO (GPMC.msc). Создайте новую политику и назначьте ее на нужный OU с пользователями (в нашем примере мы хотим, чтобы политика применялась на все компьютеры и сервера домена, поэтому мы просто отредактируем политику Default Domain Policy). Перейдите в режим редактирования политики.
Перейдите в секцию секции User Configuration -> Policies -> Administrative Templates -> Desktop -> Desktop (Конфигурация пользователя -> Административные шаблоны -> Рабочий стол -> Рабочий стол).
Включите политику Enable Active Desktop (Включить Active Desktop).
Затем включите политику Desktop Wallpaper (Фоновые рисунки рабочего стола). В параметрах политики укажите UNC путь к файлу с рисунком и выберите стиль фонового рисунка (Wallpaper Style) — Fill (Заполнение).
Чтобы проверить работу политики на клиенте, выполните выход из системы (logoff) и зайдите в систему опять. На рабочем столе пользователя должны отобразиться заданные обои.
Если требуется запретить пользователям менять фоновый рисунок рабочего стола, включите политику Prevent Changing Desktop Background (Запрет изменения фона рабочего стола) в разделе User Configuration -> Administrative Templates -> Control Panel -> Personalization.
Если вы хотите более точно нацеливать политику с обоями на клиентов, вы можете использовать WMI Фильтры GPO, например, чтобы применить обои только к десктопам с Windows 10, используйте следующий WMI фильтр:
select * from Win32_OperatingSystem where Version like “10.%”
Настройка фона рабочего стола через реестр и GPO
Вы можете задать параметры и файл фонового рисунка рабочего стола через реестра. Путь к файлу обоев хранится в строковом (REG_SZ) параметре реестра Wallpaper в ветке HKEY_CURRENT_USER\Control Panel\Desktop\ или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System. В этом параметре нужно указать UNC путь к вашей картинке.
В этой же ветке реестра параметром WallpaperStyle (REG_SZ) задается положение изображения на рабочем столе. Для растягивания изображения используется значение 2.
Если вы хотите запретить пользователям менять фон рабочего стола, создайте в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop параметр «NoChangingWallPaper»=dword:00000001
Эти настройки реестра можно распространить на компьютеры пользователей через расширение GPO – Group Policy Preferences. Для этого перейдите в раздел User Configuration -> Preferences -> Windows Settings и создайте два параметра реестра с режимом Update.
С помощью Group Policy Preferences Item level Targeting вы можете более точно назначить политику обоев на клиентов. Например, в свойствах параметра реестра в политике на вкладке Common включите Item level Targeting, нажмите кнопку Targeting и с помощью простого мастера укажите, что данные настройки политики фонового рисунка должны применяться только к компьютерам с Windows 10 и пользователям из определённой группы безопасности AD.
Аналогичным образом вы можете сделать несколько разных файлов обоев для разных групп пользователей (или устройств). Добавив нужных пользователей в группы доступа вы можете задать различный фоновый рисунок рабочего стола для разных категорий сотрудников.
Дополнительно вы можете изменить картинку на экране входа в систему. Для этого можно использовать политику Force a specific default lock screen image в разделе GPO Computer Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization или через следующие параметры реестра:
- HKLM\Software\Policies\Microsoft\Windows\Personalization — LockScreenImage — путь к jpg изображению на экране блокировки;
- HKLM\Software\Policies\Microsoft\Windows\Personalization — LockScreenOverlaysDisabled = 1;
- HKLM\Software\Policies\Microsoft\Windows\System — DisableLogonBackgroundImage = 0.
На Windows 10 не применяются обои рабочего стола через GPO
На компьютерах с Windows 10 политика обоев рабочего стола может применяться не с первого раза. Дело в том, что Windows 7 и Windows 10 по-разному используют кеш фонового рисунка рабочего стола. В Windows 7 при каждом входе пользователя в систему кэш фонового изображения обоев перегенеририуется автоматически.
В Windows 10, если путь к картинке не изменился, не происходит обновление кэша, соответственно пользователь будет видеть старую картинку, даже если вы обновили ее в каталоге на сервере.
Поэтому для Windows 10 можно добавить дополнительный логоф скрипт, который очищает кэш изображения при выходе пользователя из системы. Это может быть bat файл Clear_wallpaper_cache.bat с кодом:
del /F /S /Q %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper
del /F /S /Q %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Themes\CachedFiles\*.*
В результате фон рабочего стола у пользователей Windows 10 станет применяться нормально.
