Блокировка экрана компьютера при простое с помощью групповой политики

В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L ). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.

Создадим и настроим доменную политику управления параметрами блокировки экрана:

1. 1. Откройте консоль управления доменными политиками Group Policy Management console ( gpmc.msc ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями);
   2. Перейдите в режим редактирования политики и выберите секцию User Configuration ->Policies ->Administrative Templates ->Control Panel ->Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
   3. В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
      • Enable screen saver — включить экранную заставку;
      • Password protect the screen saver — требовать пароль для разблокировки компьютера;
      • Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер;
      • Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это scrnsave.scr (с помощью GPO можно сделать скринсейвер в виде слайдшоу);
      • Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.

• Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал 300 . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут;
• Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой ( gpupdate /force ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:

• Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
• Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
• Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

Как сделать блокировку ПК по времени на windows 10?

Добрый день. Как сделать средствами GPO блокировку ПК через 15 минут?

В интернете нашёл инструкцию, по которой до Windows 10 все делали это через заставку:

Конфигурация пользователя — Политики — Административные шаблоны — Панель управления — Персонализация.
— «Включение заставки»
— «Запретить изменение заставки»
— «Защита заставки с помощью пароля»
— «Применение указанной заставки»
— «Тайм-аут экранной заставки»

Но вот в чём загвоздка, в windows 10 эти параметры считаются устаревшими. Об этом прямо говориться в административных шаблонах:

Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройки «Запрет отображения экрана блокировки» или «Запретить включение слайд-шоу с экрана блокировки».

Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройку «Запретить изменение изображения экрана блокировки и экрана входа в систему».

Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройку «Требовать пароль при выходе из спящего режима».

Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройку «Применить конкретное изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию» или «Запретить изменение изображения экрана блокировки и экрана входа в систему».

Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройку «Указать время ожидания для перехода в спящий режим».

Получается, что я должен настроить экран блокировки и спящий режим? Напрашивается логичное появление опции «отобразить экран блокировки через *** минут», но такого нет.

В общем помогите разобраться как правильно в Windows 10 настроить блокировку компьютера через указанное время.

Время блокировки экрана windows 10 gpo

Общие обсуждения

Напомните, пожалуйста, каким образом в домене у всех пользователей выставить время блокировки экрана на 30 минут вместо стандартных 15 через политики? Как называются эти политики и через какую оснастку это редактируется?

• Изменен тип Petko Krushev Microsoft contingent staff, Moderator 30 ноября 2015 г. 12:14

Все ответы

Как вариант в политике можно задать время:

P.S. Применим для Windows 8/Windows Server 2012 и выше

Best Regards, Andrei .
Microsoft Certified Professional

• Изменено SQx Moderator 6 ноября 2015 г. 20:53 исправлено

User Configuration –>> Administrative Templates –>> Control Panel –>> Display –>> Personalization

Как вариант в политике можно задать время:

P.S. Применим для Windows 8/Windows Server 2012 и выше

Best Regards, Andrei .
Microsoft Certified Professional

Уточните пожалуйста, на проблемных ПК случайно не указано в настройках заставки данный лимит?

Best Regards, Andrei .
Microsoft Certified Professional

• Изменено SQx Moderator 10 ноября 2015 г. 14:22 добавлено изображение

У всех (в т.ч. и у меня) в настройках экранной заставки вот такая картина:

15 минут изменились на 30 после применения групповой политики, но суть в том, что я могу свободно менять эти цифры руками (выбрав тип заставки), как мне заблокировать доступ к этим настройкам? И вообще, должна ли стоять галочка «Начинать с экрана входа в систему»?

И вообще, должна ли стоять галочка «Начинать с экрана входа в систему»?

Best Regards, Andrei .
Microsoft Certified Professional

И вообще, должна ли стоять галочка «Начинать с экрана входа в систему»?

Это нужно ставить только в случае, если после включения заставки хотите, чтобы требовал ввода логина и пароля в окне входа в систему при выходе из режима заставки, если это не требуется можете не устанавливать.

Best Regards, Andrei .
Microsoft Certified Professional

Время блокировки экрана windows 10 gpo

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Asked by:

Question

I have set up a Group Policy to set the Lock Screen image to a defined image located on the C:\users\public\pictures\

There is also a registry key to change the lock screen image location.

I have also made it so that they can’t change the Lock Screen.

I have installed the relevant Admx for windows 10 on the server and updated the group policy.

Some computers, when a gpupdate /force is done the lock screen does not change.

does anyone have any idea on how to get the lock screen changed via group policy?

All replies

Please try to run «gpresult /h result.html» and see if the setting has been applied successfully. Also, make sure that the faulty computers are in the correct container in ADUC to pick up that GPO.

For the steps on How to Manage the Lock Screen Image, please refer to this KB article:

https://support.microsoft.com/en-us/kb/2787100 (It’s for Windows 8, but the steps should hold good for Windows 10)

By the way, could you please share the exact registry key that you’ve changed?

Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com

I am unable to apply the update as it just gives me Windows 8 RT update.

I have enabled it using the correct GPO.

The registry key is the following:

HKEY Local Machine -> Software -> Polices -> Microsoft -> Windows -> Personalization -> LockScreenImage

that is a REG_SZ and the path is C:\Users\Public\Pictures\ScreenArtwork5.jpg

I have run the result many times and this is what is in the applied GPO, this sets the default lockscreen image using GPO. I also have the above registry in place and it’s still showing my own lock screen image.

If you get this registry key populated on the machine, then the policy got applied on that machine successfully.

As per the screenshot, seems you have configured security filters for this GPO, can you please confirm whether the faulty computhers have the required access to this GPO?

Yes it applies the Registry, but does not change it.

yes, those are just applying to me domainname\username and domainname\computername

I can confirm that the same method to set up a Win8 lockscreen still works in Win10. By «same method», I mean the way I’m doing it. 🙂 There’s no need fart around with registry keys — instead, simply use these settings:

Computer Configuration \ Policies \ Admin Templates \ Control Panel \ Personalization

Computer Configuration \ Preferences \ Windows Settings \ Files

And lastly, don’t call on a picture from the Public profile. I would suggest your problem stems from some/all users not having sufficient rights to this directory. Why not just use C:\Windows\Web\Screen (the default location)?

I have tried this. I have created a GPO, assigned my laptop to the group.

then I did gpupdate /force but this did not change the lockscreen.

It did not force to use the image specified in the C:\Windows\Wed\Screen

I had the same issue, it turns out the GPO mentioned above only works with Enterprise, Education and Server editions as stated in the note section of the setting.

I had the same issue, it turns out the GPO mentioned above only works with Enterprise, Education and Server editions as stated in the note section of the setting.

We are running Windows 10 Enterprise

running the same GPO as stated above

Reg key is being populated use lockscreen image at C:\Windows\Web\Screen\Lockscreen.jpg

But the lockscreen is still not updating to the jpg file at the above location when doing a gpupdate /force and or reboot

I can confirm that the same method to set up a Win8 lockscreen still works in Win10. By «same method», I mean the way I’m doing it. 🙂 There’s no need fart around with registry keys — instead, simply use these settings:

Computer Configuration \ Policies \ Admin Templates \ Control Panel \ Personalization

Computer Configuration \ Preferences \ Windows Settings \ Files

And lastly, don’t call on a picture from the Public profile. I would suggest your problem stems from some/all users not having sufficient rights to this directory. Why not just use C:\Windows\Web\Screen (the default location)?

Can you please specify what GP setting you were using for:

Computer Configuration \ Preferences \ Windows Settings \ Files

We are having the same issue as the OP

Running Windows 10 Enterprise and lockscreen is not updating

Is the above GPO setting just for updating the image file?

We use SCCM for that to copy a new image every month

Have the same IDENTICAL Problem.

Some PC get the updated Lockscreen, Others . Not.

I am becaming mad.

All settings are applied and GPRESULT confirm it.

What do you intend with the policy settings of :

Computer Configuration \ Preferences \ Windows Settings \ Files ??

I found a workaround to fix the image not updating. Configure a computer group policy to delete the following registry keys — when the lock screen is called, the keys are regenerated and in the process the image will be updated from the location specified in the «Path to lock screen image:» policy

It’s really disappointing/frustrating how group policy is so broken in Windows 10. I can’t tell if Microsoft just doesn’t care any more or is deliberately breaking thigns / making life painful for enterprise admins in order to shepherd them toward managing endpoints via AzureAD/Intune.

Just FYI, i have this problem on selected computers. taking ownership of the key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemProtectedUserData\S-1-5-18\AnyoneRead\LockScreen

deleting it, and then rebooting does work for fixing the lock screen to the new image. The key is regenerated, and even if it existed before and was correct, this allows the lockscreen to actually work.

So thanks for the tip o sysadmin. I am not deleting the key enmasse using policy at this time incase it breaks currently working lockscreens. However as its only a handful of computers with this problem, i can delete and regenerate the key on an as needed basis. This method does appear to work and not break the lockscreen for me anyway.