Блокировка экрана компьютера при простое с помощью групповой политики

В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L ). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.

Создадим и настроим доменную политику управления параметрами блокировки экрана:

1. Откройте консоль управления доменными политиками Group Policy Management console ( gpmc.msc ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями);
2. Перейдите в режим редактирования политики и выберите секцию User Configuration ->Policies ->Administrative Templates ->Control Panel ->Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
3. В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
  - Enable screen saver — включить экранную заставку;
  - Password protect the screen saver — требовать пароль для разблокировки компьютера;
  - Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер;
  - Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это scrnsave.scr (с помощью GPO можно сделать скринсейвер в виде слайдшоу);
  - Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.

Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал 300 . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут;
Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой ( gpupdate /force ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:

Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

Server2012 автоблокировка

Действительно невозможно сделать так, чтобы Server2012R2 гасил монитор, но при этом не блокировал сеанс?
(Чтоб при перемещении мыши высвечивался десктоп, а не ввод пароля.)
Во всех интернетах пишут: во избежание блокировки сеанса запретите выключение монитора в параметрах электропитания.

Сброс пароля Администратора в Windows Server2012 R2
Добрый день. Подскажите пожалуйста,сбросил пароль локального пользователя на Win2012 R2 как.

Раздача интернета в локальную сеть через Server2012
Полный новичок в этом деле, подскажите пожалуйста в какую сторону копать. Имеем: 1. Сеть.

Автоблокировка временная
Может кто встречал готовый скрипт, например как реализован в Битриксе, блокировка Юзера, если он в.

Добавить строки в таблицу sql server2012
Ребят. Была реализована бд. Был реализован скрипт, который отвечает за то, что после достижения.

Вроде получилось.
Похоже, что вот эти две политики совместно дают нужный эффект:

Конфигурация компьютера
__Политики
____Административные шаблоны
______Система/Вход в систему
: Разрешает пользователям выбирать, необходим ли ввод пароля при возобновлении работы из режима ожидания с подключением = Включено

Конфигурация пользователя
__Политики
____Административные шаблоны
______Система/Управление электропитанием
: Запрашивать пароль при выходе из режима гибернации, спящего или ждущего режима = Отключено

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

Блокировка рабочих станций в домене

Задача: Посредством GPO настроить блокировку рабочих станций

Порой сотрудники на рабочем месте вообще относятся ко всему лишь бы как и их не волнует что в тот момент когда они отошли покурить, на обед их рабочее место — это в частности касается шоурума, опенспейса и других легко доступных мест может стать источником как для них самих проблем, так и для компании в частности.

Что я имею ввиду? — Вы оставили рабочее место своего компьютера в том виде за которым работали, Ваша почта, документы, страницы интернета, программа 1С. А в это время над Вами решили пошутить или со злым умыслом сели и напакостничали или даже уволокли важную информацию. Отмазка в стиле я тут не причем и я отходил уже не будет работать на Вас.

К тому же отдел системного администрирования должен/обязан настроить работы вверенной ему сети на полную безопасность от информативного взлома.

Ладно, а что же сделать? Сегодняшней целью будет настройка блокировки экрана системы, по прошествии определенного времени, к примеру 2 минут экран системы будет заблокирован и потребуется нажать сочетание клавиш: Ctrl + Alt + Delete и авторизоваться.

Авторизуюсь на домен контроллере (Windows Server 2012 R2 Std) с правами учетной записью вхожей в группу Domain Admins и создаю Group Policy Object (или сокращенно GPO). Запускаю оснастку:

Win + X → Control Panel — Administrative Tools — Group Policy Management: Create a GPO in this domain, and Link it here…

Name: GPO_Lock
Source Starter GPO: (none)

Политика будет нацелена на Authenticated Users

Открываю созданную политику и наполняю ее настройками по воплощению данной заметки в практическое использование:

User Configuration — Policies — Administrative Templates — Control Panel — Personalization

Настройка Screen saver timeout → Enabled: Seconds = 2 * 60 = 120

Т.е. в случае 2 минут бездействия за рабочим местом экран рабочего стола заблокируется и потребуется от пользователя нажать Ctrl + Alt + Del и авторизоваться.

Настройка Enable screen saver → Enabled
Настройка Password protect the screen saver → Enabled

На заметку: Если хотите то может указать скринсейвер, где в качестве имени нужно использовать именование файла (*.scr) из директории: %systemroot%\system32\ или %systemroot%\winsxs\

После любой понравившийся файл скринсейвера нужно поместить в каталог который доступен всем пользователям домена.

Настройка Force specific screen saver → Enabled: Screen saver executable name = Mystify.scr

Теперь когда политика завершена. Проверяем, как она отработается.

Для этого авторизуюсь на любом доменном компьютере (к примеру на Windows 7 X64) под доменной учетной записью (к примеру alektest@polygon.local). Далее: Клавиша Windows — Панель управления — Персонализация — щелкаю по иконке «Заставка» и вижу свои настройки пришедшие на этого пользователя от групповой политики GPO_Lock

Теперь рабочая станция и учетная запись в случае некоторого бездействия (не нажимаются клавиши на клавиатуре, не дергается мышь, отошли) блокирует работу до ввода сочетания клавиш и ввода логина и пароля в систему.

Итого поставленная задача выполнена полностью. На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.

Windows server автоматическая блокировка

Общие обсуждения

Напомните, пожалуйста, каким образом в домене у всех пользователей выставить время блокировки экрана на 30 минут вместо стандартных 15 через политики? Как называются эти политики и через какую оснастку это редактируется?

Изменен тип Petko Krushev Microsoft contingent staff, Moderator 30 ноября 2015 г. 12:14