Время блокировки экрана windows 10 gpo

В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера

В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш
Win+L
). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.

Создадим и настроим доменную политику управления параметрами блокировки экрана:

    1. Откройте консоль управления доменными политиками Group Policy Management console (
      gpmc.msc
      ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями); LockScreenPolicy
    2. Перейдите в режим редактирования политики и выберите секцию User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
    3. В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
      • Enable screen saver — включить экранную заставку;
      • Password protect the screen saver — требовать пароль для разблокировки компьютера;
      • Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер;
      • Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это
        scrnsave.scr
        (с помощью GPO можно сделать скринсейвер в виде слайдшоу);
      • Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.
  • Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал
    300
    . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут; включить блокировку компьютера при неактивности через групповые политики
  • Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой (
    gpupdate /force
    ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).

Начиная с Windows Server 2012/Windows 8 есть отдельная политика безопасности компьютера, в которой задается период неактивности компьютера, после которого его нужно блокировать. Политика называется setting Interactive logon: Machine inactivity limit и находится в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. политика Interactive logon: Machine inactivity limit

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsControl PanelDesktop:

  • Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
  • Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
  • Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Создайте в домене группу пользователей (
SPB-not-lock-desktop
), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

отключить блокировку экрана политикой для определенных пользователей

Также придется создать еще 4 параметра реестра со значениями REG_SZ 0, которые принудительно отключают блокировку экрана для группы SPB-not-lock-desktop (иначе, политики не будут перезатирать установленные ранее значения).

RRS feed

  • Remove From My Forums

 none

Настройка времени блокировки экрана в домене.

RRS feed

  • Общие обсуждения

  • Всем привет!

    Напомните, пожалуйста, каким образом в домене у всех пользователей выставить время блокировки экрана на 30 минут вместо стандартных 15 через политики? Как называются эти политики и через какую оснастку это редактируется?

    Спасибо!

Все ответы

  • Здравствуйте,

    Как вариант в политике можно задать время:

    Computer Config > Policies > Windows Settings > Security Settings > Local Policies > Security Options:
    Interactive logon: Machine inactivity limit

    P.S. Применим для Windows 8/Windows Server 2012 и выше


    Best Regards, Andrei …
    Microsoft Certified Professional

    • Изменено
      SQxModerator
      6 ноября 2015 г. 20:53
      исправлено

  • У меня в домене есть и Windows 7, для них отработает?

  • Там предлагают установить сразу несколько параметров, вы считаете стоит сделать так же? Мне казалось должен быть один пункт (аналог — Начинать с экрана входа в систему в Windows 8). Хотя могу ошибаться.

  • Здравствуйте,

    Как вариант в политике можно задать время:

    Computer Config > Policies > Windows Settings > Security Settings > Local Policies > Security Options:
    Interactive logon: Machine inactivity limit

    P.S. Применим для Windows 8/Windows Server 2012 и выше


    Best Regards, Andrei …
    Microsoft Certified Professional

    Спасибо, вот только я не пойму, политику применил, на компьютерах она отработала, однако экран блокируется минут через 15 все равно? Судя по всему раньше 30 минут (как мне нужно) отрабатывает другая функция по умолчанию,
    где ее можно поправить?

  • Уточните пожалуйста, на проблемных ПК случайно не указано в настройках заставки данный лимит?


    Best Regards, Andrei …
    Microsoft Certified Professional

    • Изменено
      SQxModerator
      10 ноября 2015 г. 14:22
      добавлено изображение

  • Добрый день!

    У всех (в т.ч. и у меня) в настройках экранной заставки вот такая картина:

    15 минут изменились на 30 после применения групповой политики, но суть в том, что я могу свободно менять эти цифры руками (выбрав тип заставки), как мне заблокировать доступ к этим настройкам? И
    вообще, должна ли стоять галочка «Начинать с экрана входа в систему»?

  •  И вообще, должна ли стоять галочка «Начинать с экрана входа в систему»?

    Это нужно ставить только в случае, если после включения заставки хотите, чтобы требовал ввода логина и пароля в окне входа в систему при выходе из режима заставки, если это не требуется можете не устанавливать.


    Best Regards, Andrei …
    Microsoft Certified Professional

  •  И вообще, должна ли стоять галочка «Начинать с экрана входа в систему»?

    Это нужно ставить только в случае, если после включения заставки хотите, чтобы требовал ввода логина и пароля в окне входа в систему при выходе из режима заставки, если это не требуется можете не устанавливать.


    Best Regards, Andrei …
    Microsoft Certified Professional

    Так, ну моя задача на системах Windows 7 и 8, которые у меня в домене, сделать так, что бы монитор отключался через 10 минут, а экран блокировался через 30 (само собой со вводом пароля, а как еще заблокировать
    экран?). По вашему совету выставил Inactive Limit 30 минут, оно применилось, но изменять его пользователи могут, как мне сделать так что бы не могли? Где это можно настроить, я не могу найти. И еще, вы
    пишите что Inactive Limit параметр только для Windows 8, а Windows 7 настроить нужно другой параметр?

  • Если я Вас правильно понимаю, Вам следует просмотреть нужные Вам параметры (например:
    Prevent changing screen saver) в следующей ветки групповой политики:

    Local Group Policy > User Configuration > Administrative Templates > Control Panel > Personalization

    В итоги можете получить следующее сообщение:
    One or more of the settings on this page has been disabled by the system administrator


    Best Regards, Andrei …
    Microsoft Certified Professional

    • Изменено
      SQxModerator
      11 ноября 2015 г. 11:52
      добавлено

  • Если я Вас правильно понимаю, Вам следует просмотреть нужные Вам параметры (например:
    Prevent changing screen saver) в следующей ветки групповой политики:

    Local Group Policy > User Configuration > Administrative Templates > Control Panel > Personalization

    В итоги можете получить следующее сообщение:
    One or more of the settings on this page has been disabled by the system administrator


    Best Regards, Andrei …
    Microsoft Certified Professional

    Так, попробовал, действительно параметры настройки заставки блокируются от изменений, но проблема в том, что несмотря на то, что время Inactive Session я выставил на 30 минут, экран блокируется вместе с гашением
    экрана через 10 минут! Т.е. как только экран гаснет сразу же блокируется экран (и предлагает ввести пароль), хотя этого не было ни изначально ни в настройках экрана ни в груп полиси.

imageВ большинстве организаций, применяющих в своей ИТ инфраструктуре локальные стандарты и регламенты информационной безопасности, уделяется отдельное внимание вопросу блокировки консолей рабочих станций пользователей при наступлении некоторого периода бездействия. Например, в качестве обязательного требования для большинства категорий пользователей может выставляться блокировка рабочего стола компьютера при отсутствии пользовательской активности более 15 минут. В управляемой среде Active Directory в доменных групповых политиках администраторам предоставляется ряд параметров, позволяющих централизованно настроить пользовательскую среду для форсированного применения механизма блокировки рабочего стола посредствам срабатывания программы — хранителя экрана (screen saver), или как её ещё называют, экранной заставки.

Эти параметры расположены в разделе групповой политики:

User Configuration > Policies > Administrative Templates > Control Panel > Personalization

Вот типичный возможный пример таких настроек:

Password protect the screen saver  = Enable
Screen saver timeout = Enable (900 Seconds)
Force specific screen saver = scrnsave.scr

image

В данном примере включено обязательный запуск конкретного файла экранной заставки (scrnsave.scr) при простое более 15 минут с требованием ввода пароля пользователя при попытке последующего доступа к рабочему столу.

В системе, где применены данные параметры GPO, все настройки экранной заставки для пользователя становятся недоступными для изменений.

image

На практике встречается ситуация, когда за компьютером работает сменный суточный персонал, которому постоянно необходимо в режиме наблюдения видеть рабочий стол компьютера. При этом такой персонал может даже иметь несколько рабочих столов компьютеров, за которыми требуется наблюдение и не требуется интерактивное взаимодействие с клиентской ОС. Для такого рода пользователей нужен несколько иной подход с точки зрения автоматической блокировки компьютеров при простое.

Для обеспечения настроек экранной заставки для сменного персонала и для всех остальных пользователей мы можем создать две отдельные групповые политики – одна с обязательным срабатыванием экранной заставки, другая — без него. Но с использованием механизмов настройки реестра с помощью Group Policy Preferences (GPP) мы сможем гибко объединить эти настройки внутри одной групповой политики.

Для того, чтобы задействовать механизмы GPP для данной задачи, мы воспользуемся параметрами реестра, которые изменяются стандартными Административными шаблонами, указанными нами ранее. Сопоставим указанные ранее параметры GPO с ключами реестра которые они изменяют в клиентской системе:

Политика: Password protect the screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1

Политика: Screen saver timeout
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900

Значение «900» означает количество секунд от момента начала бездействия до срабатывания экранной заставки (15 минут простоя)

Политика: Force specific screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr

Эксперименты с применением этой политики показали, что ключ реестра ScreenSaveActive добавляется лишь на системах Windows XP, а после отключения этой политики, он из реестра корректно не удаляется. Опытным путём удалось выяснить, что отсутствие этого ключа не вносит никаких изменений, поэтому будем рассматривать его как рудиментарный элемент и исключим из наших настроек GPP.

Итак, в групповой политике, действующей на наших пользователей, переведём три перечисленных параметра в состояние Not configured (если они ранее были настроены), а в разделе политики User Configuration > Preferences > Windows Settings > Registry создадим логическую группу, в которой будут храниться наши настройки, например ScreenSaver.

Внутри этой группы создадим две подгруппы настроек — Enabled и Disabled, в которых соответственно будут хранится настройки для включения и отключения форсированного применения экранной заставки. В нашем примере важно, чтобы параметры включения обрабатывались перед параметрами отключения.

image

В группе Enabled создадим три правила для создания/обновления ранее перечисленных ключей пользовательского реестра. Нацеливание (Item-level targeting) для этой группы использовать не будем, то есть эти параметры реестра будут применяться для всех пользователей.

image

В группе Disabled создадим три правила для удаления этих же ключей реестра. Группа Disabled будет иметь нацеливание на специально созданную доменную группу безопасности, в которую будут включены все пользователи, для которых нужно отключить форсированное применение экранной заставки.

image

Таким образом, логика обработки параметров реестра будет заключаться в обязательном включении экранной заставки для всех пользователей за исключением тех, кто включён в специальную группу безопасности. То есть при включении какого-либо пользователя в данную группу, из его пользовательского реестра будут удаляться ключи форсированной настройки экранной заставки, и он самостоятельно сможет, например, отключить её вовсе, так как в ОС диалоговые элементы пользовательского интерфейса станут доступными.

image

Skip to content

GPO — блокировка экрана Windows после бездействия

Home/Windows/GPO — блокировка экрана Windows после бездействия

GPO — блокировка экрана Windows после бездействия

Этот учебник покажет вам, как создать GPO на сервере Windows, чтобы заблокировать экран компьютера Windows после 10 минут времени IDLE.

Контроллер домена работает под управлением Windows 2008 R2.

Доменные компьютеры работают под управлением Windows 7 и Windows 10.

Список оборудования:

В следующем разделе представлен список оборудования, используемого для создания этого руководства Windows.

Каждую часть оборудования, перечисленных выше, можно найти на веб-сайте Amazon.

Плейлист Windows:

На этой странице мы предлагаем быстрый доступ к списку видео, связанных с Windows.

Не забудьте подписаться на наш канал YouTube под названием FKIT.

Windows Связанные Учебник:

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.

Учебник — Создание GPO для блокировки компьютера Windows

Нажмите на меню «Пуск», найдите и откройте инструмент управления групповой политикой.

На экране управления групповой политикой найдите папку под названием Объекты групповой политики.

Нажмите кнопку «Объекты групповой политики» и выберите новый вариант.

Введите имя для новой политики.

В нашем примере, новый GPO был назван: LOCK WINDOWS SCREEN.

На экране управления групповой политикой расширьте папку под названием «Объекты групповой политики».

Нажмите правой кнопкой мыши на новый объект групповой политики и выберите опцию редактирования.

На экране редактора групповой политики вам будут представлены конфигурации пользователей и конфигурации компьютеров.

Мы изменим конфигурацию пользователя, чтобы автоматически заблокировать экран через 600 секунд времени IDLE.

Нам не нужно менять конфигурацию компьютера.

На экране редактора групповой политики расширьте папку конфигурации пользователя и найдите следующий элемент.

Доступ к папке под названием Персонализация.

Справа будут представлены элементы конфигурации, доступные для персонализации панели управления.

Дважды щелкните элемент конфигурации под названием Enable Screen Saver.

На экране элемента конфигурации необходимо выбрать опцию Enabled.

Двойное нажатие элемента конфигурации под названием Пароль защитите заставки экрана.

На экране элемента конфигурации необходимо выбрать опцию Enabled.

Дважды нажмите на элемент конфигурации под названием Экран заставки тайм-аут.

На экране элемента конфигурации необходимо выбрать опцию Enabled.

Установите время IDLE, которое вы хотите подождать, прежде чем заблокировать экран компьютера.

В нашем примере мы установили ограничение в 600 секунд.

Дважды щелкните элемент конфигурации под названием Сила конкретного заставки экрана.

На экране элемента конфигурации необходимо установить следующую конкретную заставку:

Эта команда немедленно заблокит экран компьютера вместо того, чтобы показывать заставку.

Вот краткое изложение нашей конфигурации:

Чтобы завершить создание групповой политики, необходимо закрыть окно редактора политики группы.

Только при закрытии окна групповой политики система сохранит конфигурацию.

Учебник — Применение GPO для блокировки компьютера Windows

Вы закончили создание требуют GPO для блокировки экрана windows компьютеров.

Но, вам все еще нужно включить пользу вашей новой политики группы.

На экране управления политикой Группы необходимо правильно нажать на желаемую Организационную группу и выбрать возможность связать существующий GPO.

В нашем примере мы собираемся связать групповую политику под названием LOCK WINDOWS SCREEN с корнем нашего домена под названием TECH. Местных.

После применения GPO вам нужно подождать 10 или 20 минут.

В течение этого времени GPO будет реплицироваться на другие контроллеры доменов, которые у вас могут быть.

После ожидания 20 минут, вы должны перезагрузить компьютер пользователя.

Во время загрузки компьютер получит и применит копию новой политики группы.

Чтобы протестировать конфигурацию, нужно войти на доменном компьютере и ничего не делать в течение 600 секунд.

Экран компьютера должен автоматически заблокировать себя через 600 секунд.

VirtualCoin CISSP, PMP, CCNP, MCSE, LPIC22020-12-23T03:38:05-03:00

Related Posts

Page load link

Join Our Newsletter 

Stay updated with the latest tutorials

close-link

This website uses cookies and third party services.

Ok

  • Remove From My Forums
  • Question

  • We are experiencing issues with the lock screen on Windows 10 computers not displaying correctly. We have 10-15 Windows 10 computers that are having the same issue. Our custom Windows 10 lock screen image deployed via Group Policy only works when no one
    is signed into the machine. After someone signs into the computer and then locks the computer or resumes from sleep the default lock screen appears. If we restart the PC or logoff the computer the correct lock screen is displayed. Has anyone seen this issue?

    OS: Windows 10 X64 Enterprise 1511

    Lock Screen Setting Group Policy Settings we have setup:

    Force A Default Lock Screen  = YES, Points to .JPG on Domain Controller

    Prevent Changing the Lock Screen Image = YES

    • Edited by

      Tuesday, March 1, 2016 4:26 AM
      edit

Answers

  • Hi,

    As you said, your configuration behavior should be exact, because all Windows 8 machines work fine.

    Therefore, please try update those Windows 10 computers to see result.

    I also did the test on my server and clients, in my environment, when I configured this GPO and forced update it, both Windows 10 and Windows 8 clients show the same lock screen, due to security policy, all lock screen are blue, even though
    reboot, lock screen will not change.

    Best regards,

    Teemo Tang


    Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    • Proposed as answer by
      Teemo TangMicrosoft contingent staff
      Thursday, March 31, 2016 9:07 AM
    • Marked as answer by
      MeipoXuMicrosoft contingent staff
      Sunday, April 3, 2016 6:15 AM

  • Remove From My Forums
  • Question

  • We are experiencing issues with the lock screen on Windows 10 computers not displaying correctly. We have 10-15 Windows 10 computers that are having the same issue. Our custom Windows 10 lock screen image deployed via Group Policy only works when no one
    is signed into the machine. After someone signs into the computer and then locks the computer or resumes from sleep the default lock screen appears. If we restart the PC or logoff the computer the correct lock screen is displayed. Has anyone seen this issue?

    OS: Windows 10 X64 Enterprise 1511

    Lock Screen Setting Group Policy Settings we have setup:

    Force A Default Lock Screen  = YES, Points to .JPG on Domain Controller

    Prevent Changing the Lock Screen Image = YES

    • Edited by

      Tuesday, March 1, 2016 4:26 AM
      edit

Answers

  • Hi,

    As you said, your configuration behavior should be exact, because all Windows 8 machines work fine.

    Therefore, please try update those Windows 10 computers to see result.

    I also did the test on my server and clients, in my environment, when I configured this GPO and forced update it, both Windows 10 and Windows 8 clients show the same lock screen, due to security policy, all lock screen are blue, even though
    reboot, lock screen will not change.

    Best regards,

    Teemo Tang


    Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    • Proposed as answer by
      Teemo TangMicrosoft contingent staff
      Thursday, March 31, 2016 9:07 AM
    • Marked as answer by
      MeipoXuMicrosoft contingent staff
      Sunday, April 3, 2016 6:15 AM

null

Блокировка экрана пользователя при простое является важной составляющей информационной безопасности в компании. Пользователи зачастую забывают самостоятельно блокировать систему, когда отходят от рабочего места. Чтобы исключить это, можно настроить блокировку экрана при простое с помощью GPO

Итак, как же это сделать?

1. Запускаем Group Policy Management console (gpmc.msc), создаем новый объект GPO (пусть его название — ScreenLockPolicy). Создать его можно либо  в корне домена, либо в OU с пользователями(смотря где вы хотите применять GPO) 

2. Нажав правой клавишей мыши на созданный объект, выбирем Edit, и выбираем User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация)

3. В этом разделе GPO есть несколько параметров:

  • Enable screen saver — включить экранную заставку;
  • Password protect the screen saver  — требовать пароль для разблокировки компьютера;
  • Screen saver timeout – через сколько секунд неактивности нужно заблокировать компьютер;
  • Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать.
  • Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.

Включаем все пункты. В пункте Screen saver timeout ​​​​​​​указываем необходимое время, пусть это будет 200 секунд.

4. Выполняем

gpupdate /force

и проверяем работу новой GPO.

В Windows Server 2012/Windows 8 и более поздних есть отдельная политика безопасности, в которой задается период неактивности системы, после которого она будет заблокирована. Политика называется setting Interactive logon: Machine inactivity limit и находится в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.

​​​​​​В случае, если необходимо применить GPO только к части пользоватлеей, можно воспользоваться GPO Security Filtering.

​​​​​​​

Like this post? Please share to your friends:
  • Временный рабочий стол windows 10 как убрать
  • Временный профиль пользователя windows 7 как убрать
  • Временный профиль windows 2012 как исправить
  • Временный профиль windows 10 что это
  • Временный профиль windows 10 как исправить реестр