Настройка блокировки экрана windows 10 через gpo

В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш
Win+L
). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.

Создадим и настроим доменную политику управления параметрами блокировки экрана:

1. 1. Откройте консоль управления доменными политиками Group Policy Management console (
      gpmc.msc
      ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями);
   2. Перейдите в режим редактирования политики и выберите секцию User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
   3. В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
      • Enable screen saver — включить экранную заставку;
      • Password protect the screen saver — требовать пароль для разблокировки компьютера;
      • Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер;
      • Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это
        scrnsave.scr
        (с помощью GPO можно сделать скринсейвер в виде слайдшоу);
      • Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.

• Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал
  300
  . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут;
• Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой (
  gpupdate /force
  ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).

Начиная с Windows Server 2012/Windows 8 есть отдельная политика безопасности компьютера, в которой задается период неактивности компьютера, после которого его нужно блокировать. Политика называется setting Interactive logon: Machine inactivity limit и находится в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsControl PanelDesktop:

• Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
• Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
• Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Создайте в домене группу пользователей (
SPB-not-lock-desktop
), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

Также придется создать еще 4 параметра реестра со значениями REG_SZ 0, которые принудительно отключают блокировку экрана для группы SPB-not-lock-desktop (иначе, политики не будут перезатирать установленные ранее значения).

В большинстве организаций, применяющих в своей ИТ инфраструктуре локальные стандарты и регламенты информационной безопасности, уделяется отдельное внимание вопросу блокировки консолей рабочих станций пользователей при наступлении некоторого периода бездействия. Например, в качестве обязательного требования для большинства категорий пользователей может выставляться блокировка рабочего стола компьютера при отсутствии пользовательской активности более 15 минут. В управляемой среде Active Directory в доменных групповых политиках администраторам предоставляется ряд параметров, позволяющих централизованно настроить пользовательскую среду для форсированного применения механизма блокировки рабочего стола посредствам срабатывания программы — хранителя экрана (screen saver), или как её ещё называют, экранной заставки.

Эти параметры расположены в разделе групповой политики:

User Configuration > Policies > Administrative Templates > Control Panel > Personalization

Вот типичный возможный пример таких настроек:

Password protect the screen saver  = Enable
Screen saver timeout = Enable (900 Seconds)
Force specific screen saver = scrnsave.scr

В данном примере включено обязательный запуск конкретного файла экранной заставки (scrnsave.scr) при простое более 15 минут с требованием ввода пароля пользователя при попытке последующего доступа к рабочему столу.

В системе, где применены данные параметры GPO, все настройки экранной заставки для пользователя становятся недоступными для изменений.

На практике встречается ситуация, когда за компьютером работает сменный суточный персонал, которому постоянно необходимо в режиме наблюдения видеть рабочий стол компьютера. При этом такой персонал может даже иметь несколько рабочих столов компьютеров, за которыми требуется наблюдение и не требуется интерактивное взаимодействие с клиентской ОС. Для такого рода пользователей нужен несколько иной подход с точки зрения автоматической блокировки компьютеров при простое.

Для обеспечения настроек экранной заставки для сменного персонала и для всех остальных пользователей мы можем создать две отдельные групповые политики – одна с обязательным срабатыванием экранной заставки, другая — без него. Но с использованием механизмов настройки реестра с помощью Group Policy Preferences (GPP) мы сможем гибко объединить эти настройки внутри одной групповой политики.

Для того, чтобы задействовать механизмы GPP для данной задачи, мы воспользуемся параметрами реестра, которые изменяются стандартными Административными шаблонами, указанными нами ранее. Сопоставим указанные ранее параметры GPO с ключами реестра которые они изменяют в клиентской системе:

Политика: Password protect the screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1

Политика: Screen saver timeout
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900

Значение «900» означает количество секунд от момента начала бездействия до срабатывания экранной заставки (15 минут простоя)

Политика: Force specific screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr

Эксперименты с применением этой политики показали, что ключ реестра ScreenSaveActive добавляется лишь на системах Windows XP, а после отключения этой политики, он из реестра корректно не удаляется. Опытным путём удалось выяснить, что отсутствие этого ключа не вносит никаких изменений, поэтому будем рассматривать его как рудиментарный элемент и исключим из наших настроек GPP.

Итак, в групповой политике, действующей на наших пользователей, переведём три перечисленных параметра в состояние Not configured (если они ранее были настроены), а в разделе политики User Configuration > Preferences > Windows Settings > Registry создадим логическую группу, в которой будут храниться наши настройки, например ScreenSaver.

Внутри этой группы создадим две подгруппы настроек — Enabled и Disabled, в которых соответственно будут хранится настройки для включения и отключения форсированного применения экранной заставки. В нашем примере важно, чтобы параметры включения обрабатывались перед параметрами отключения.

В группе Enabled создадим три правила для создания/обновления ранее перечисленных ключей пользовательского реестра. Нацеливание (Item-level targeting) для этой группы использовать не будем, то есть эти параметры реестра будут применяться для всех пользователей.

В группе Disabled создадим три правила для удаления этих же ключей реестра. Группа Disabled будет иметь нацеливание на специально созданную доменную группу безопасности, в которую будут включены все пользователи, для которых нужно отключить форсированное применение экранной заставки.

Таким образом, логика обработки параметров реестра будет заключаться в обязательном включении экранной заставки для всех пользователей за исключением тех, кто включён в специальную группу безопасности. То есть при включении какого-либо пользователя в данную группу, из его пользовательского реестра будут удаляться ключи форсированной настройки экранной заставки, и он самостоятельно сможет, например, отключить её вовсе, так как в ОС диалоговые элементы пользовательского интерфейса станут доступными.

Централизованная настройка экрана блокировки и плана электропитания операционных систем

Одна из возможностей, которой славится новейшая клиентская операционная система от Microsoft, – это возможность кастомизации фона экрана блокировки компьютера, чего так не хватало в предыдущих операционках, из-за чего пользователям приходилось изобретать различные твики и, в большинстве случаев, использовать сторонние программные продукты, которые, между прочим, могли даже принести вред самому рабочему месту пользователя. Думаю, многие помнят, что если вы не хотите использовать какое-либо стороннее программное обеспечение, то нужно было для решения такой задачи в той же Windows 7 вносить изменения в параметры реестра OEMBackground и UseOEMBackground, создавать картинки с определенными разрешениями экрана и определенными наименованиями и помещать их в папку C:WindowsSystem32oobeinfobackgrounds. Короче говоря, весьма утомительная процедура для какой-то мелочи, без которой, по большому счету, можно было бы и прожить.
Собственно, теперь в Windows 8 можно в разы проще изменять изображения экрана блокировки системы, и это может выполнить, грубо говоря, любой пользователь, включая тех, которые боятся даже подходить к компьютерам. То есть для этого на том же начальном экране нужно перейти по ссылке «Сменить аватар», а затем в группе «Экран блокировки» указывается требуемая картинка. Другими словами, 4 клика, не считая поиска самой картинки. Ну проще некуда. Но, опять же, даже здесь есть одно маленькое ограничение. По дефолту операционная система отображает экран блокировки только лишь 1 минуту, а затем экран гаснет, причем не имеет значения, работаете вы от батареи или от сети. И, к сожалению, по умолчанию просто невозможно найти каких-либо опций, снимающих данное ограничение.
Здесь, естественно, может возникнуть следующий вопрос: «А могу ли я как-то снять такое ограничение и добавить опцию в GUI?». Этим мы в данной статье и займемся. Но чтобы было все интереснее, сделаем все централизовано для каждого пользователя, то есть средствами групповой политики. Ну что же, приступим.
В связи с тем, что решение поставленной задачи будет выполняться средствами групповой политики, можно еще и сделать так, чтобы картинка устанавливалась для пользователя самостоятельно.
Итак, далее по программе:

• Настройка картинки экрана блокировки;
• Обнаружение параметра, отвечающего за время ожидания до отключения экрана блокировки;
• Настройка такого параметра;
• Тестирование получившихся результатов.

Начинать мы сейчас будем по порядку, а именно с

Настройки картинки экрана блокировки

Естественно, сейчас нас пользовательский интерфейс, то есть те четыре клика, о которых я сказал еще во введении, не сильно интересует, а это означает, что мы будем изменять само изображение средствами функциональных возможностей групповой политики.
В последних клиентских и серверных операционных системах от Microsoft, конечно же, появились новые параметры политики в административных шаблонах, используемые лишь для последних функциональных возможностей, и к одному из таких параметров относится параметр, отвечающий за применение настраиваемого изображения экрана блокировки. Что же для этого следует сделать? Сейчас для выполнения такого изменения выполним следующие действия:

1. В оснастке «Управление групповой политикой» нужно создать новый или выбрать существующий объект групповой политики, связать его с подразделением, в которое входят ваши целевые компьютеры, а затем открыть для него редактор управления групповыми политиками;
2. В отобразившейся оснастке следует перейти к узлу Конфигурация компьютераПолитикиАдминистративные шаблоныПанель управленияПерсонализация (Computer ConfigurationPoliciesAdministrative TemplatesControl PanelPersonalization) и выбрать параметр политики «Применение специального изображения экрана блокировки по умолчанию» (Force a specific default lock screen image);
3. Теперь в отобразившемся диалоговом окне останется лишь установить переключатель на опцию «Включено», а далее уже в соответствующем текстовом поле нужно будет указать локальный или UNC-путь к требуемому изображению.
   На этом этапе, ввиду того, что у каждого пользователя однозначно не будут располагаться одни и те же требуемые изображения в определенной папке, вы можете выбрать один из двух следующих вариантов:
   • Можно указать UNC-путь для изображения, которое располагается, скажем, на выделенном файловом сервере, и пользовательские компьютеры будут его загружать при выполнении групповой политики;
   • Можно средствами предпочтений групповой политики один раз скопировать конкретное изображение в библиотеку изображений пользователей, у которых установлена исключительно операционная система Windows 8, а в соответствующем текстовом поле уже использовать локальный путь к файлу.

   Так как в статье будет еще рассмотрено много различных нюансов, остановимся на первом варианте с UNC-путем. Например, как видно на следующей иллюстрации, это будет путь \SERVER02ImgLockScrnIM3.jpg:

   
   Рис. 1. Диалоговое окно параметра политики, отвечающего за изображения экрана блокировки

В принципе, на этом данная фаза подходит к концу. То есть сразу после того, как пользовательский компьютер перезагрузится, у него на экране блокировки будет фигурировать новое изображение.

Поиск параметра, отвечающего за время ожидания до отключения экрана блокировки

В первую очередь, если вам не удалось обнаружить требуемый параметр политики среди доступных административных шаблонов, следует постараться найти подходящий параметр в системном реестре операционной системы, позволяющий изменить определенный компонент системы на компьютере. Каким образом это обычно делается? Естественно, для организации такой задачи следует проводить некоторый мониторинг реестра при изменении такого параметра. То есть берется, например, та же утилита Марка Руссиновича Process Monitor, настраивается фильтрация для вывода требуемых записей, например, в большинстве случаев это будут операции RegCreateKey и RegSetValue для определенного PID-а или имени процесса. В некоторых случаях, естественно, требуется следить за операциями, позволяющими удалять конкретные параметры из разделов реестра. После этого, естественно, среди выведенной информации нужно будет локализовать требуемые записи в реестре, еще раз протестировать эти же параметры, но уже в открытом редакторе реестра, и, собственно, сам твик уже будет практически готов. Останется только лишь каким-то способом распространить такой параметр на ваших пользователей или на их компьютеры. Распространенных способов, в принципе, не так уж и мало, а точнее три: путем создания reg-файла и его распространения средствами сценариев входа или автозапуска, путем написания своего собственного, скажем, кастомного административного шаблона, а также путем настройки элемента предпочтения реестра непосредственно из редактора управления групповыми политиками. Между прочим, в большинстве случаев целесообразно применять последние два способа.
Однако, в этом частном случае невозможно применить мониторинг реестра, так как искомый параметр попросту отсутствует в графическом интерфейсе. Остается только лишь искать такой параметр в редакторе реестра вручную. Поначалу может показаться, что такая задача из разряда «Миссия невыполнима», однако на деле все оказывается куда проще.
Смотрите, так как логичнее всего, если параметр, отвечающий за время ожидания до отключения экрана блокировки будет находиться в диалоге дополнительных параметров электропитания, изменяться будет параметр, который отвечает за компоненты панели управления. Этот параметр должен отображаться у любого пользователя на компьютере, следовательно, его нужно будет искать в корневом разделе HKEY_LOCAL_MACHINE. В принципе, это уже сужает круг поиска.
Смотрим дальше. В разделе HKLM также можно легко запутаться, так как там множество разделов, где мог бы «жить» наш параметр. Куда же нужно смотреть? Мы изменяем параметр из панели управления – значит, нам следует искать его в разделе SYSTEM. Далее, если немного начать исследовать содержимое системного реестра операционных систем Windows, то стает понятно, что большинство параметров панели управления находятся в разделе CurrentControlSetControl.
Теперь из всего множества разделов реестра у нас осталось для поиска требуемого(ых) параметра всего до тысячи разделов. Но это все равно много, и никто не будет пересматривать каждый доступный раздел и параметр. Но тут все оказывается проще, чем может показаться на первый взгляд. Можно найти такой раздел, как Power, который, очевидно, отвечает именно за параметры электропитания. Ну а за сами параметры электропитания уже, как можно предположить, отвечает раздел PowerSettings. Таким образом, мы уже пришли к разделу, в котором находятся все возможные параметры электропитания операционных систем Windows. Осталось дело за малым – найти правильный раздел, а затем локализовать специальный параметр.
В разделе PowerSettings каждый дочерний раздел, представленный в буквенно-цифровом формате, отвечает за группу параметров диалогового окна дополнительных параметров электропитания. Другими словами, нам нужно попробовать найти правильный раздел. Каким образом это можно сделать? На самом деле, здесь тоже все очень просто. Для каждого дочернего раздела можно локализовать параметр, который называется Description. Опять же, если немного логически подумать, то параметр, отвечающий за затухание экрана должен быть в диалоговом окне в группе «Экран». Значит, локализовав раздел с описанием «Video and Display power management settings and configurations» можно предположить, что мы нашли нужный раздел. Это будет раздел 7516b95f-f776-4464-8c53-06167f40cc99.
Последнее, что осталось сделать – это найти раздел, отвечающий за требуемый параметр из раздела экрана. Благо, здесь осталось только лишь 10 дочерних разделов, и много времени эта процедура у нас не займет. Здесь у каждого раздела также есть параметры Description, где можно узнать, за что конкретно будет отвечать полученный параметр. Возьмем для примера первый раздел, то есть раздел 17aaa29b-8b43-4b94-aafe-35f64daaf1ee. При помощи описания раздела можно сразу понять, что этот раздел отвечает за параметр «Гасить экран после», так как описание «Specify how long your computer is inactive before your display dims» можно перевести как «Укажите, как долго у неактивного компьютера не будет гаситься экран». Здесь обратим внимание на то, что у этого раздела значением параметра Attributes является двойка. Можно сделать следующий вывод: каждый раздел, у которого значение параметра Attributes будет 0x00000002, отвечает за параметр, который будет отображен в GUI. Следовательно, нам нужно искать раздел, у которого значение этого параметра будет равняться единице.

Рис. 2. Требуемый раздел системного реестра
Это уже намного проще, так как таких разделов всего лишь 5. Получается, требуемый раздел – это раздел 8EC4B3A5-6868-48c2-BE75-4F3044BE88A7, так как у него значение атрибутов – 1, да и описание подходящее. Изменим значение параметра Attributes на 2 и проверим, изменилось ли что-то в GUI.
Как видно на следующей иллюстрации, в нашем диалоговом окне появился новый параметр, который называется «Время ожидания до отключения экрана блокировки консоли». То есть мы нашли искомый раздел, а также изменяемый параметр!

Рис. 3. Диалоговое окно дополнительных параметров электропитания с новым параметром
Получается, требуемый раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPowerPowerSettings7516b95f-f776-4464-8c53-06167f40cc998EC4B3A5-6868-48c2-BE75-4F3044BE88A7, а необходимый параметр – Attributes.
Помимо этого параметра нам также нужно будет предопределить его значения за конечного пользователя, так как не факт, что пользователи вообще будут заглядывать в настройки электропитания. Тут все также просто.
В разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPower можно локализовать дочерний раздел, отвечающий за настройки параметров плана электропитания. Это раздел UserPowerSchemes, в котором можно найти несколько нечитаемых разделов, каждый из которых отвечает за конкретный план электропитания.
Например, в данном примере мы будет работать с планом электропитания «Сбалансированный», за значения параметров которого отвечает дочерний раздел 381b4222-f694-41f0-9685-ff5bb260df2e.
Структура этого раздела следующая: в нем находятся дочерние разделы с настраиваемыми параметрами. Другими словами, если мы будем предопределять значения найденного параметра, то здесь должны быть разделы 7516b95f-f776-4464-8c53-06167f40cc998EC4B3A5-6868-48c2-BE75-4F3044BE88A7.
Какие именно параметры тут должны быть настроены? Если посмотреть на значения для опции «Гасить экран после», то здесь можно найти два параметра: ACSettingIndex и DCSettingIndex. Здесь в шестнадцатеричном формате должны указываться значения для работы параметра от батареи и от сети. За работу от батареи отвечает параметр DCSettingIndex, а от сети – ACSettingIndex.
Теперь точно мы нашли все, а это означает, что мы можем переходить к следующей фазе – к распространению параметра средствами функциональных возможностей групповой политики.

Распространение параметров средствами GPO

Распространение параметров средствами групповой политики в данном примере целесообразнее всего выполнять при помощи создания элементов предпочтений групповой политики. Чтобы не писать множество бесполезных предложений, без которых можно обойтись, пожалуй, сразу перейду к сути.
Для бОльшего удобства, изменять найденные параметры будем для всех пользователей – обладателей операционных систем Windows 8 во всей организации. Итак, чтобы распространить значения найденных параметров реестра на целевые компьютеры пользователей, выполним следующие действия:

1. Для начала следует в оснастке «Управление групповой политикой» создать новый объект групповой политики, например, «New Power Settings», и привязать его ко всему домену. После этого можно переходить к самому редактору управления групповыми политиками;
2. В отобразившейся оснастке следует развернуть узел Конфигурация компьютера, а затем перейти к узлу НастройкаКонфигурация Windows и выбрать узел «Реестр» (Computer ConfigurationPreferencesWindows SettingsRegistry).
   Так как параметры реестра, отвечающие за дополнительные параметры электропитания можно отнести к одной конкретной категории, имеет смысл для таких создаваемых параметров создать отдельную коллекцию, используемую для группировки таких параметров. В принципе, целесообразно создавать такие коллекции в том случае, если один объект групповой политики будет включать в себя сразу множество параметров системного реестра. Для этого щелкните на узле «Реестр» правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать», а затем «Элемент семейства» (New > Collection Item). В дереве консоли будет создана папка с именем «Коллекция». Можно такую коллекцию переименовать, например, в «Power Settings», и затем нажать на клавишу Enter. Коллекция изображена на следующей иллюстрации:

   
   Рис. 4. Элемент коллекции реестра предпочтений групповой политики

3. Теперь, чтобы, наконец-то создать элемент реестра, перейдите в созданную вами ранее коллекцию, нажмите на созданной вами папке правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать» и «Элемент реестра» (New > Registry Item);
4. Теперь, как видно на следующей иллюстрации, в отобразившемся диалоговом окне «Новые свойства реестра», на вкладке «Общие» (General), вы можете выбрать одно из четырех стандартных действий:
   • Создать (Create) – создание нового параметра или раздела реестра;
   • Заменить (Replace) – удаление с последующим созданием существующего параметра или раздела реестра со всеми вложенными параметрами и дочерними подразделами;
   • Обновить (Update) – обновление определенных в элементе предпочтения параметров реестра без удаления последних;
   • Удалить (Delete) – удаление указанного параметра или раздела реестра.

   
   Рис. 5. Раскрывающийся список действий создаваемого элемента предпочтений групповой политики
   Следует отметить, что по умолчанию выбрано действие «Обновить», которое лучше всего оставлять нетронутым в большинстве сценариев работы с текущим элементом предпочтения GPO.
   После того, как вы выберете нужное действие, вам еще предстоит указать в новом элементе предпочтения раздел системного реестра, параметр, а также его значение.
   В раскрывающемся списке «Куст:» (Hive) выберите куст реестра, в котором находится параметр, подлежащий изменению. Вы можете выбрать любой из пяти доступных и, полагаю, известных вам кустов системного реестра. Стоит обратить внимание на то, что, так как изначально элемент предпочтения создавался в разделе «Конфигурация компьютера», в раскрывающемся списке по умолчанию будет выбран раздел «HKEY_LOCAL_MACHINE» (в противном случае был бы выбран раздел HKEY_CURRENT_USER);

5. Текстовое поле «Путь реестра» (Key Path) позволяет вам указать раздел, содержащий требуемый параметр реестра. Следует помнить, что в данном текстовом поле вам не нужно указывать куст, а также не нужно указывать слеш перед родительским разделом, так как в противном случае раздел не будет найден. Например, в данном случае следует указать раздел SYSTEMCurrentControlSetControlPowerPowerSettings7516b95f-f776-4464-8c53-06167f40cc998EC4B3A5-6868-48c2-BE75-4F3044BE88A7.
   В группе «Имя параметра» (Value name) вы можете указать параметр, который будет подлежать изменениям. В том случае, если вы изменяете параметр «По умолчанию» (@), установите флажок на одноименной опции. Так как в большинстве случаев не требуется менять параметр по умолчанию, вы можете самостоятельно ввести имя параметра в соответствующее текстовое поле. В нашем случае, параметр – Attributes.
   К этому же параметру можно получить доступ, нажав на соответствующую кнопку, которая расположена около текстового поля пути раздела реестра. При помощи отобразившегося диалогового окна «Браузер элементов реестра» (Registry Item Browser) можно легко локализовать требуемый раздел, не вводя его вручную, причем при помощи него также можно выбрать требуемый параметр. Диалоговое окно браузера элементов можно увидеть ниже:

   
   Рис. 6. Диалоговое окно «Браузер элементов реестра»
6. Вернемся к предыдущему диалоговому окну. Раскрывающийся список «Тип параметра» (Value type) позволяет вам выбрать необходимый тип параметра. Несмотря на то, что в общей сложности насчитывается 15 типов данных, в большинстве случаев используются только параметры типа REG_DWORD, REG_BINARY, а также REG_SZ. Здесь мы укажем значение DWORD;
7. Последнее текстовое поле доступное на этой вкладке, — поле «Значение» (Value data) – позволяет вам указать значения для выбранного параметра системного реестра. У нас будет значение 00000002.

   
   Рис. 7. Диалоговое окно свойств создаваемого элемента предпочтения

Можно сохранять изменения. Сейчас осталось создать еще целых 2 параметра реестра. Приступим.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPowerUserPowerSchemes381b4222-f694-41f0-9685-ff5bb260df2e7516b95f-f776-4464-8c53-06167f40cc998ec4b3a5-6868-48c2-be75-4f3044be88a7]

• «DCSettingIndex»=dword:000004b0
• «ACSettingIndex»=dword:00000258

Окно оснастки редактора управления групповыми политиками с созданными тремя элементами отображено на следующей иллюстрации:

Рис. 8. Оснастка GPME с созданными элементами предпочтений
Теперь, согласно условию, нам следует еще каждому элементу предпочтения указать, что он должен применяться только лишь для компьютеров с операционными системами Windows 8. Что для этого нужно сделать…
В диалоговом окне свойств каждого созданного ранее элемента предпочтений следует перейти ко вкладке «Общие параметры» (Common), где нужно установить флажок на опции «Нацеливание на уровень элемента» (Item-level targeting), а затем нажать на соответствующую кнопку. В диалоговом окне редактора нацеливания, из раскрывающегося списка «Создать элемент» (New Item) выберите элемент «Операционная система» (Operating system). Для этого элемента настроек совсем уж немного, а именно: выберите из раскрывающегося списка «Продукт» операционную систему «Windows 8», из раскрывающегося списка «Выпуск» укажите требуемую редакцию, например, «Enterprise», и все. У вас фильтрация уже настроена, и элемент предпочтений будет распространяться только лишь на компьютеры, у которых установлена операционная система Windows 8.
Диалоговое окно редактора нацеливания для обсуждаемого только что элемента предпочтения изображено ниже:

Рис. 8. Окно редактора нацеливания на уровень элемента

Тестирование получившихся результатов

Осталось самое важное – проверить, что мы смогли сделать для конечного пользователя за все это время. Другими словами, у нас с вами должна автоматически установиться картинка для экрана блокировки, должен появиться в диалоговом окне свойств дополнительных параметров электропитания новый параметр, а также для этого параметра должны измениться настройки, указанные по умолчанию. Значит, настало самое время все это дело проверить.
На клиентском компьютере при помощи команды gpupdate с параметрами /force и /boot обновим параметры политики и для уверенности перезагрузим сам компьютер. После перезагрузки на экране блокировки экрана должна уже красоваться новая картинка. Если что-то случилось не так, следует сперва проверить, применился ли параметр при помощи результирующей групповой политики, а также удостовериться в том, что в самом параметре политики были указаны правильные параметры. В противном случае, все должно быть настолько хорошо как можно заметить по следующей иллюстрации:

Рис. 9. Экран блокировки на целевом компьютере
Теперь по следующему моменту: у нас в диалоговом окне настройке электропитания, в категории параметров экрана, должен появиться новый параметр, причем для такого плана как «Сбалансированный» должны уже быть указаны предустановленные правильные, на наш взгляд, значения. Естественно, есть смысл проверить, так ли оно есть. Для начала можно попробовать открыть редактор реестра и в нем проверить 3 искомых параметра. Если с ними все в порядке, тогда практически можно ни о чем не беспокоиться. Но, все-таки необходимо перейти и к самому диалоговому окну параметров этого плана электропитания и проверить, все ли так хорошо, как нам хотелось бы. Как видно на следующей иллюстрации, действительно, параметры были правильно определены, и сейчас все красиво (так как скриншот создавался не на ноутбуке, значение параметра «от батареи» попросту отсутствует):

Рис. 10. Новые дополнительные параметры плана электропитания

Так вот…

О чем же вы узнали за время прочтения текущей статьи? В этой статье я рассказал о том, каким образом можно выполнить несколько операций, а именно: как можно централизованно установить пользовательское изображение на экран блокировки операционных систем Windows 8, как можно локализовать дополнительные параметры плана электропитания, которые изначально отсутствуют в пользовательском интерфейсе, а также о том, как же вы можете включить их и настроить сразу на множестве компьютеров непосредственно при использовании функциональных возможности групповой политики. Я надеюсь, что данная статья была для вас интересной и вы из нее вынесли для себя что-то полезное.
И, наконец, коллеги, у меня к вам есть небольшой вопрос: возникала ли у вас потребность в локализации каких-либо дополнительных параметров электропитания, и каким образом вы выполняете мониторинг и распространение параметров, которые можно найти в системном реестре, но которые отсутствуют в наборе стандартных административных шаблонов?

Блокировка экрана компьютера при простое с помощью групповой политики

В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L ). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.

Создадим и настроим доменную политику управления параметрами блокировки экрана:

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsControl PanelDesktop:

Источник

Настройка блокировки экрана windows 10 через gpo

Вопрос

Ответы

Все ответы

Если возможно, расскажите подробнее о том, как вы развертывали политику?
Вы имеете в виду, что развертываете объект групповой политики для принудительного использования определенного изображения экрана блокировки по умолчанию и предотвращения изменения экрана блокировки и изображения входа в систему в разделе Конфигурация компьютера> Административные шаблоны> Панель управления> Персонализация, но объект групповой политики не работал？
Вы можете рассмотреть возможность использования сценария для изображения экрана блокировки по умолчанию на https://abcdeployment.wordpress.com/2017/04/20/how-to-set-custom-backgrounds-for-desktop-and-lockscreen-in-windows- 10-Creators-update-v1703-с-powershell /
Этот ответ содержит стороннюю ссылку. Мы предоставляем эту ссылку для удобства. Microsoft не может гарантировать достоверность любой информации и содержимого по этой ссылке.

Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

Не подскажите от куду Вы это узнали?

У меня схожая ситуация, пытаюсь сменить изображение входа в систему (изображение при заблокированном ПК) через GPO но ничего не срабатывает. Изображения копируются, а применяться не применяются.

Система Windows 10 Pro 21H1 сборка 19043.1052

А это написано в описании самой политики.

Этот параметр позволяет принудительно назначать конкретное изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию, путем ввода пути (расположения) файла изображения. Для экрана блокировки и экрана входа в систему будет использоваться одно и то же изображение.

Этот параметр позволяет указывать изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию при отсутствии вошедших в систему пользователей, а также устанавливать определенное изображение в качестве изображения по умолчанию для всех пользователей (оно заменяет изображение, используемое по умолчанию для папки «Входящие»).

Чтобы воспользоваться этим параметром, введите полный путь и имя файла изображения экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию. Можно ввести локальный путь, например C:WindowsWebScreenimg104.jpg, или UNC-путь, например \ServerShareCorp.jpg.

Одновременно с этим можно задать параметр «Запретить изменение изображения экрана блокировки и экрана входа в систему», чтобы указанное изображение экрана блокировки и экрана входа в систему отображалось всегда.

Примечание. Этот параметр применяется только к SKU корпоративных, серверных выпусков и выпусков для образовательных учреждений.

Источник

Локальные групповые политики, востребованные при администрировании ОС Windows 10

Ранее в статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм добавления объектов групповой политики для редактирования параметров, которые будут применяться для определенных пользователей.

Содержание

Запрет доступа к редактору реестра и командной строке

Иногда бывает крайне рационально запрет неопытному пользователю доступ к редактору реестра и командной строке. Для этого можно настроить два параметра.

Рис.1 Окно консоли с добавленными оснастками объектов групповой политики

Рис.2 Редактирование параметров политик узла Система

Рис.3 Редактирование параметра политики Запретить использование командной строки

Если параметр политики Запретить использование командной строки включен и определенный пользователь откроет окно командной строки, будет выведено сообщение о том, что это действие запрещено.

Рис.4 Результат действия запрета при запуске командной строки

При запуске реестра после изменения локальной политики на экран будет выведено сообщение о запрете.

Рис.5 Результат действия запрета при запуске редактора реестра

Запрет определенных настроек узла Персонализация

С помощью узла Персонализация оснастки локальной групповой политики можно настроить для определенных пользователей запрет на изменение цветовой схемы, темы, фона рабочего стола. Можно запретить изменять заставку, стиль оформления окон и кнопок и многое другое. Все эти параметры доступны по следующему пути: Конфигурация пользователя > Административные шаблоны > Панель управления > Персонализация.

Рис.6 Редактирование параметров политик узла Персонализация

Рис.7 Редактирование параметра политики Запрет изменения фона рабочего стола

При активировании данной политики, при попытке изменить фон рабочего стола через настройки персонализации, данная опция будет не активна.

Рис.8 Результат действия запрета на изменение фона рабочего стола

Запрет доступа к различным элементам меню Пуск и настройки панели задач

При администрировании рабочих станций рационально для неопытных пользователей запретить изменять параметры панели задач и меню Пуск, удалить не используемые элементы Windows из меню Пуск. Все эти параметры доступны в узле локальной групповой политики Конфигурация пользователя > Административные шаблоны > Меню Пуск и панель задач.

Рис. 9 Редактирование параметров политик узла Меню «Пуск» и панель задач

Ниже представлен лишь не полный перечень политик, который доступен в Меню Пуск и панель задач в операционной системе Windows 10 Pro:

В данном примере будет рассмотрена политика Запретить изменение размера панели задач.

Рис.11 Редактирование параметра политики Запретить изменение размера панели задач

Рис.12 Открытие параметров панели задач

Рис.13 Результат действия запрета на редактирование размера панели задач

Скрытие определенных элементов панели управления

При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя определенные элементы панели управления. В статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм отображения только указанных элементов панели управления. В данном примере рассмотрен механизм скрытия определенных элементов из всего перечня апплетов панели управления. Для этого:

Рис.14 Редактирование параметра политики Скрыть указанные объекты панели управления

Рис.15 Редактирование параметра политики Скрыть указанные объекты панели управления

Рис.16 Список запрещенных элементов панели управления

Рис.17 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.18 Список элементов панели управления после изменения параметра локальной групповой политики

Источник

Настраиваем блокировку компьютера при простое через screen saver с помощью Group Policy Preferences

Эти параметры расположены в разделе групповой политики:

User Configuration > Policies > Administrative Templates > Control Panel > Personalization

Вот типичный возможный пример таких настроек:

Password protect the screen saver = Enable
Screen saver timeout = Enable ( 900 Seconds)
Force specific screen saver = scrnsave.scr

В данном примере включено обязательный запуск конкретного файла экранной заставки (scrnsave.scr) при простое более 15 минут с требованием ввода пароля пользователя при попытке последующего доступа к рабочему столу.

В системе, где применены данные параметры GPO, все настройки экранной заставки для пользователя становятся недоступными для изменений.

На практике встречается ситуация, когда за компьютером работает сменный суточный персонал, которому постоянно необходимо в режиме наблюдения видеть рабочий стол компьютера. При этом такой персонал может даже иметь несколько рабочих столов компьютеров, за которыми требуется наблюдение и не требуется интерактивное взаимодействие с клиентской ОС. Для такого рода пользователей нужен несколько иной подход с точки зрения автоматической блокировки компьютеров при простое.

Для того, чтобы задействовать механизмы GPP для данной задачи, мы воспользуемся параметрами реестра, которые изменяются стандартными Административными шаблонами, указанными нами ранее. Сопоставим указанные ранее параметры GPO с ключами реестра которые они изменяют в клиентской системе:

Политика: Password protect the screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1

Политика: Screen saver timeout
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900

Значение «900» означает количество секунд от момента начала бездействия до срабатывания экранной заставки (15 минут простоя)

Политика: Force specific screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr

Эксперименты с применением этой политики показали, что ключ реестра ScreenSaveActive добавляется лишь на системах Windows XP, а после отключения этой политики, он из реестра корректно не удаляется. Опытным путём удалось выяснить, что отсутствие этого ключа не вносит никаких изменений, поэтому будем рассматривать его как рудиментарный элемент и исключим из наших настроек GPP.

В группе Enabled создадим три правила для создания/обновления ранее перечисленных ключей пользовательского реестра. Нацеливание (Item-level targeting) для этой группы использовать не будем, то есть эти параметры реестра будут применяться для всех пользователей.

В группе Disabled создадим три правила для удаления этих же ключей реестра. Группа Disabled будет иметь нацеливание на специально созданную доменную группу безопасности, в которую будут включены все пользователи, для которых нужно отключить форсированное применение экранной заставки.

Таким образом, логика обработки параметров реестра будет заключаться в обязательном включении экранной заставки для всех пользователей за исключением тех, кто включён в специальную группу безопасности. То есть при включении какого-либо пользователя в данную группу, из его пользовательского реестра будут удаляться ключи форсированной настройки экранной заставки, и он самостоятельно сможет, например, отключить её вовсе, так как в ОС диалоговые элементы пользовательского интерфейса станут доступными.

Источник

Настройка блокировки экрана windows 10 через gpo

Вопрос

Ответы

Все ответы

Если возможно, расскажите подробнее о том, как вы развертывали политику?
Вы имеете в виду, что развертываете объект групповой политики для принудительного использования определенного изображения экрана блокировки по умолчанию и предотвращения изменения экрана блокировки и изображения входа в систему в разделе Конфигурация компьютера> Административные шаблоны> Панель управления> Персонализация, но объект групповой политики не работал？
Вы можете рассмотреть возможность использования сценария для изображения экрана блокировки по умолчанию на https://abcdeployment.wordpress.com/2017/04/20/how-to-set-custom-backgrounds-for-desktop-and-lockscreen-in-windows- 10-Creators-update-v1703-с-powershell /
Этот ответ содержит стороннюю ссылку. Мы предоставляем эту ссылку для удобства. Microsoft не может гарантировать достоверность любой информации и содержимого по этой ссылке.

Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

Не подскажите от куду Вы это узнали?

У меня схожая ситуация, пытаюсь сменить изображение входа в систему (изображение при заблокированном ПК) через GPO но ничего не срабатывает. Изображения копируются, а применяться не применяются.

Система Windows 10 Pro 21H1 сборка 19043.1052

А это написано в описании самой политики.

Этот параметр позволяет принудительно назначать конкретное изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию, путем ввода пути (расположения) файла изображения. Для экрана блокировки и экрана входа в систему будет использоваться одно и то же изображение.

Этот параметр позволяет указывать изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию при отсутствии вошедших в систему пользователей, а также устанавливать определенное изображение в качестве изображения по умолчанию для всех пользователей (оно заменяет изображение, используемое по умолчанию для папки «Входящие»).

Чтобы воспользоваться этим параметром, введите полный путь и имя файла изображения экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию. Можно ввести локальный путь, например C:WindowsWebScreenimg104.jpg, или UNC-путь, например \ServerShareCorp.jpg.

Одновременно с этим можно задать параметр «Запретить изменение изображения экрана блокировки и экрана входа в систему», чтобы указанное изображение экрана блокировки и экрана входа в систему отображалось всегда.

Примечание. Этот параметр применяется только к SKU корпоративных, серверных выпусков и выпусков для образовательных учреждений.

Источник

null

gpupdate /force