В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш
Win+L
). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.
Создадим и настроим доменную политику управления параметрами блокировки экрана:
-
- Откройте консоль управления доменными политиками Group Policy Management console (
gpmc.msc
), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями); - Перейдите в режим редактирования политики и выберите секцию User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
- В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
- Enable screen saver — включить экранную заставку;
- Password protect the screen saver — требовать пароль для разблокировки компьютера;
- Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер;
- Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это
scrnsave.scr
(с помощью GPO можно сделать скринсейвер в виде слайдшоу); - Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.
- Откройте консоль управления доменными политиками Group Policy Management console (
- Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал
300
. Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут; - Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой (
gpupdate /force
). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).
Начиная с Windows Server 2012/Windows 8 есть отдельная политика безопасности компьютера, в которой задается период неактивности компьютера, после которого его нужно блокировать. Политика называется setting Interactive logon: Machine inactivity limit и находится в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.
Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsControl PanelDesktop:
- Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
- Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
- Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.
Создайте в домене группу пользователей (
SPB-not-lock-desktop
), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).
Также придется создать еще 4 параметра реестра со значениями REG_SZ 0, которые принудительно отключают блокировку экрана для группы SPB-not-lock-desktop (иначе, политики не будут перезатирать установленные ранее значения).
- Remove From My Forums
Настройка времени блокировки экрана в домене.
-
Общие обсуждения
-
Всем привет!
Напомните, пожалуйста, каким образом в домене у всех пользователей выставить время блокировки экрана на 30 минут вместо стандартных 15 через политики? Как называются эти политики и через какую оснастку это редактируется?
Спасибо!
Все ответы
-
Здравствуйте,
Как вариант в политике можно задать время:
Computer Config > Policies > Windows Settings > Security Settings > Local Policies > Security Options:
Interactive logon: Machine inactivity limitP.S. Применим для Windows 8/Windows Server 2012 и выше
Best Regards, Andrei …
Microsoft Certified Professional-
Изменено
SQxModerator
6 ноября 2015 г. 20:53
исправлено
-
Изменено
-
У меня в домене есть и Windows 7, для них отработает?
-
Там предлагают установить сразу несколько параметров, вы считаете стоит сделать так же? Мне казалось должен быть один пункт (аналог — Начинать с экрана входа в систему в Windows 8). Хотя могу ошибаться.
-
Здравствуйте,
Как вариант в политике можно задать время:
Computer Config > Policies > Windows Settings > Security Settings > Local Policies > Security Options:
Interactive logon: Machine inactivity limitP.S. Применим для Windows 8/Windows Server 2012 и выше
Best Regards, Andrei …
Microsoft Certified ProfessionalСпасибо, вот только я не пойму, политику применил, на компьютерах она отработала, однако экран блокируется минут через 15 все равно? Судя по всему раньше 30 минут (как мне нужно) отрабатывает другая функция по умолчанию,
где ее можно поправить? -
Уточните пожалуйста, на проблемных ПК случайно не указано в настройках заставки данный лимит?
Best Regards, Andrei …
Microsoft Certified Professional-
Изменено
SQxModerator
10 ноября 2015 г. 14:22
добавлено изображение
-
Изменено
-
Добрый день!
У всех (в т.ч. и у меня) в настройках экранной заставки вот такая картина:
15 минут изменились на 30 после применения групповой политики, но суть в том, что я могу свободно менять эти цифры руками (выбрав тип заставки), как мне заблокировать доступ к этим настройкам? И
вообще, должна ли стоять галочка «Начинать с экрана входа в систему»? -
И вообще, должна ли стоять галочка «Начинать с экрана входа в систему»?
Это нужно ставить только в случае, если после включения заставки хотите, чтобы требовал ввода логина и пароля в окне входа в систему при выходе из режима заставки, если это не требуется можете не устанавливать.
Best Regards, Andrei …
Microsoft Certified Professional -
И вообще, должна ли стоять галочка «Начинать с экрана входа в систему»?
Это нужно ставить только в случае, если после включения заставки хотите, чтобы требовал ввода логина и пароля в окне входа в систему при выходе из режима заставки, если это не требуется можете не устанавливать.
Best Regards, Andrei …
Microsoft Certified ProfessionalТак, ну моя задача на системах Windows 7 и 8, которые у меня в домене, сделать так, что бы монитор отключался через 10 минут, а экран блокировался через 30 (само собой со вводом пароля, а как еще заблокировать
экран?). По вашему совету выставил Inactive Limit 30 минут, оно применилось, но изменять его пользователи могут, как мне сделать так что бы не могли? Где это можно настроить, я не могу найти. И еще, вы
пишите что Inactive Limit параметр только для Windows 8, а Windows 7 настроить нужно другой параметр? -
Если я Вас правильно понимаю, Вам следует просмотреть нужные Вам параметры (например:
Prevent changing screen saver) в следующей ветки групповой политики:Local Group Policy > User Configuration > Administrative Templates > Control Panel > Personalization
В итоги можете получить следующее сообщение:
One or more of the settings on this page has been disabled by the system administrator
Best Regards, Andrei …
Microsoft Certified Professional-
Изменено
SQxModerator
11 ноября 2015 г. 11:52
добавлено
-
Изменено
-
Если я Вас правильно понимаю, Вам следует просмотреть нужные Вам параметры (например:
Prevent changing screen saver) в следующей ветки групповой политики:Local Group Policy > User Configuration > Administrative Templates > Control Panel > Personalization
В итоги можете получить следующее сообщение:
One or more of the settings on this page has been disabled by the system administrator
Best Regards, Andrei …
Microsoft Certified ProfessionalТак, попробовал, действительно параметры настройки заставки блокируются от изменений, но проблема в том, что несмотря на то, что время Inactive Session я выставил на 30 минут, экран блокируется вместе с гашением
экрана через 10 минут! Т.е. как только экран гаснет сразу же блокируется экран (и предлагает ввести пароль), хотя этого не было ни изначально ни в настройках экрана ни в груп полиси.
Запуск и вывод ПК из спящего режима сопровождается отображением экрана блокировки (Screen lock). Это окно, в котором пользователь видит некоторую информацию (время, погода, непрочитанные сообщения) еще до входа в ОС. Опция блокировки дисплея перешла в Windows 10 из предыдущих редакций системы. Отключение на работоспособность окон не влияет. Рассмотрим способы включения (отключения) времени блокировки экрана Windows 10.
Что это такое и для чего его используют?
Запуская ПК в работу, юзер видит окно экрана блокировки. Говоря простыми словами – это окно, отображающее определенную информацию из приложений.
Возможности, которыми наделен Screen lock:
- настройка обоев окна блокировки. Среди функций имеется автоматическая смена картинок – спокойные, ненавязчивые, привлекательные изображения, плавно чередующиеся на экране, поднимут настроение, и работа пойдет веселей;
- отображает погоду, время, сообщения из приложений. Что именно будет показано на дисплее, зависит от настроек;
- гарантирует первичную защиту ПК, ведь для того, чтобы войти в систему, понадобится ввести правильную комбинацию символов.
В любой редакции программ Windows 10 присутствует Screen lock, нужно лишь должным образом его настроить.
Как включить и выключить автоблокировку экрана
Разработчики корпорации Microsoft позаботились о тех пользователях, которые из-за загруженности или по забывчивости не включают блокировку дисплея, когда отходят от своего компьютера. Им лучше наладить автоблокировку. Ее включение происходит автоматически спустя определенный промежуток времени.
Установка режима автоблокировки в системном реестре
Алгоритм действий:
- Вставьте в строку запроса команду regedit, выполните ввод.
- Проследуйте по пути: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem=>
Вспомогательной клавишей мышки (правой) вызовите строку System, зайдите в накопитель данных «Создать», перейдите в «Параметр DWORD (32 бита) и задайте новый параметр Inactivity Timeout Secs.
- Открыв обновленный формат, задайте временной период (в секундах), по завершении которого, при условии бездействия, устройство заблокируется. После чего поставьте галочку напротив строки «Десятичная», кликните на клавишу «ОК».
После этого выйдите из системного реестра, перезапустите устройство.
Настройка автоблокировки в локальной политике безопасности
Что необходимо сделать:
- В строку для выполнения команд задайте secpol.msc, щелкните клавишу ввода команды.
- Войдите в раздел «Локальные политики», разверните «Параметры безопасности», перейдите в «Интерактивный вход в систему: предел простоя компьютера».
- В строке, информирующей о времени блокирования компьютера, задайте отрезок времени, через который, при бездействии, экран автоматически заблокируется.
Закройте окно, перезапустите устройство.
Выключение экрана блокировки
Некоторых юзеров раздражает, что вместо того, чтобы незамедлительно приступить к работе, приходится делать несколько лишних телодвижений, которые убирают Screen lock. К счастью, это окно можно удалить. Специалисты не советуют малоопытным пользователям вносить корректировки. Если пользователь не уверен в своих знаниях, лучше этого не делать, потому как компьютер может сломаться.
Порядок отключения блокировки дисплея посредством редактора групповой политики:
- Откройте окно «Выполнить» (наберите комбинацию Win + R). «Вбейте» код выполняемой операции – gpedit. msc. щелкните «ОК».
- Пройдите путь: Конфигурация компьютера=>Административные шаблоны=>Панель управления=>Персонализация.
- Кликните на строку настроек запрета отображения Screen lock.
- Установите галочку в графе «Выключить».
Перезагрузив устройство, пользователь сможет убедиться, что Screen lock отключен.
Как изменить время ожидания
Комбинация клавиш «Win + L» приводит к переходу в окно экрана блокировки. Когда пользователь не производит рабочие операции, спустя 60 с дисплей погаснет. Увеличить временной отрезок, изменить режим работы можно 2 способами.
Блокировка экрана в Электропитании
Как настроить:
- Войдите в список команд «Пуск». С помощью правой кнопки мыши вызовите «Выполнить». В открывшейся строке задайте команду control powercfg.cpl,1, нажмите ввод.
- Зайдя в раздел «Экран», отправляйтесь в пункт «Время ожидания до отключения экрана блокировки», откорректируйте период до автоблокировки.
Сохраните изменения, кликнув на «ОК».
Внесение изменений в консоли
Алгоритм действий:
- Чтобы отсрочить тайм аут Screen lock, откройте программу, управляющую устройством посредством текстовых команд. Например, набрав комбинацию клавиш «Win + X». Введите в поисковую строку cmd, задайте старт.
- Наберите текстовую команду
powercfg.exe /SETACVALUEINDEX SCHEME_CURRENT SUB_VIDEO VIDEOCONLOCK секунды.
В конце команды, вместо «секунды», задайте время до отключения дисплея.
Содержание
- Блокировка экрана компьютера при простое с помощью групповой политики
- Настройка блокировки экрана windows 10 через gpo
- Вопрос
- Ответы
- Все ответы
- Локальные групповые политики, востребованные при администрировании ОС Windows 10
- Содержание
- Запрет доступа к редактору реестра и командной строке
- Запрет определенных настроек узла Персонализация
- Запрет доступа к различным элементам меню Пуск и настройки панели задач
- Скрытие определенных элементов панели управления
- Настраиваем блокировку компьютера при простое через screen saver с помощью Group Policy Preferences
- Настройка блокировки экрана windows 10 через gpo
- Вопрос
- Ответы
- Все ответы
Блокировка экрана компьютера при простое с помощью групповой политики
В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L ). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.
Создадим и настроим доменную политику управления параметрами блокировки экрана:
В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.
Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsControl PanelDesktop:
Источник
Настройка блокировки экрана windows 10 через gpo
Вопрос
Ответы
Все ответы
Если возможно, расскажите подробнее о том, как вы развертывали политику?
Вы имеете в виду, что развертываете объект групповой политики для принудительного использования определенного изображения экрана блокировки по умолчанию и предотвращения изменения экрана блокировки и изображения входа в систему в разделе Конфигурация компьютера> Административные шаблоны> Панель управления> Персонализация, но объект групповой политики не работал?
Вы можете рассмотреть возможность использования сценария для изображения экрана блокировки по умолчанию на https://abcdeployment.wordpress.com/2017/04/20/how-to-set-custom-backgrounds-for-desktop-and-lockscreen-in-windows- 10-Creators-update-v1703-с-powershell /
Этот ответ содержит стороннюю ссылку. Мы предоставляем эту ссылку для удобства. Microsoft не может гарантировать достоверность любой информации и содержимого по этой ссылке.
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
Не подскажите от куду Вы это узнали?
У меня схожая ситуация, пытаюсь сменить изображение входа в систему (изображение при заблокированном ПК) через GPO но ничего не срабатывает. Изображения копируются, а применяться не применяются.
Система Windows 10 Pro 21H1 сборка 19043.1052
А это написано в описании самой политики.
Этот параметр позволяет принудительно назначать конкретное изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию, путем ввода пути (расположения) файла изображения. Для экрана блокировки и экрана входа в систему будет использоваться одно и то же изображение.
Этот параметр позволяет указывать изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию при отсутствии вошедших в систему пользователей, а также устанавливать определенное изображение в качестве изображения по умолчанию для всех пользователей (оно заменяет изображение, используемое по умолчанию для папки «Входящие»).
Чтобы воспользоваться этим параметром, введите полный путь и имя файла изображения экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию. Можно ввести локальный путь, например C:WindowsWebScreenimg104.jpg, или UNC-путь, например \ServerShareCorp.jpg.
Одновременно с этим можно задать параметр «Запретить изменение изображения экрана блокировки и экрана входа в систему», чтобы указанное изображение экрана блокировки и экрана входа в систему отображалось всегда.
Примечание. Этот параметр применяется только к SKU корпоративных, серверных выпусков и выпусков для образовательных учреждений.
Источник
Локальные групповые политики, востребованные при администрировании ОС Windows 10
Ранее в статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм добавления объектов групповой политики для редактирования параметров, которые будут применяться для определенных пользователей.
Содержание
Запрет доступа к редактору реестра и командной строке
Иногда бывает крайне рационально запрет неопытному пользователю доступ к редактору реестра и командной строке. Для этого можно настроить два параметра.
Рис.1 Окно консоли с добавленными оснастками объектов групповой политики
Рис.2 Редактирование параметров политик узла Система
Рис.3 Редактирование параметра политики Запретить использование командной строки
Если параметр политики Запретить использование командной строки включен и определенный пользователь откроет окно командной строки, будет выведено сообщение о том, что это действие запрещено.
Рис.4 Результат действия запрета при запуске командной строки
При запуске реестра после изменения локальной политики на экран будет выведено сообщение о запрете.
Рис.5 Результат действия запрета при запуске редактора реестра
Запрет определенных настроек узла Персонализация
С помощью узла Персонализация оснастки локальной групповой политики можно настроить для определенных пользователей запрет на изменение цветовой схемы, темы, фона рабочего стола. Можно запретить изменять заставку, стиль оформления окон и кнопок и многое другое. Все эти параметры доступны по следующему пути: Конфигурация пользователя > Административные шаблоны > Панель управления > Персонализация.
Рис.6 Редактирование параметров политик узла Персонализация
Рис.7 Редактирование параметра политики Запрет изменения фона рабочего стола
При активировании данной политики, при попытке изменить фон рабочего стола через настройки персонализации, данная опция будет не активна.
Рис.8 Результат действия запрета на изменение фона рабочего стола
Запрет доступа к различным элементам меню Пуск и настройки панели задач
При администрировании рабочих станций рационально для неопытных пользователей запретить изменять параметры панели задач и меню Пуск, удалить не используемые элементы Windows из меню Пуск. Все эти параметры доступны в узле локальной групповой политики Конфигурация пользователя > Административные шаблоны > Меню Пуск и панель задач.
Рис. 9 Редактирование параметров политик узла Меню «Пуск» и панель задач
Ниже представлен лишь не полный перечень политик, который доступен в Меню Пуск и панель задач в операционной системе Windows 10 Pro:
В данном примере будет рассмотрена политика Запретить изменение размера панели задач.
Рис.11 Редактирование параметра политики Запретить изменение размера панели задач
Рис.12 Открытие параметров панели задач
Рис.13 Результат действия запрета на редактирование размера панели задач
Скрытие определенных элементов панели управления
При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя определенные элементы панели управления. В статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм отображения только указанных элементов панели управления. В данном примере рассмотрен механизм скрытия определенных элементов из всего перечня апплетов панели управления. Для этого:
Рис.14 Редактирование параметра политики Скрыть указанные объекты панели управления
Рис.15 Редактирование параметра политики Скрыть указанные объекты панели управления
Рис.16 Список запрещенных элементов панели управления
Рис.17 Список элементов панели управления до изменения параметра локальной групповой политики
Рис.18 Список элементов панели управления после изменения параметра локальной групповой политики
Источник
Настраиваем блокировку компьютера при простое через screen saver с помощью Group Policy Preferences
Эти параметры расположены в разделе групповой политики:
User Configuration > Policies > Administrative Templates > Control Panel > Personalization
Вот типичный возможный пример таких настроек:
Password protect the screen saver = Enable
Screen saver timeout = Enable ( 900 Seconds)
Force specific screen saver = scrnsave.scr
В данном примере включено обязательный запуск конкретного файла экранной заставки (scrnsave.scr) при простое более 15 минут с требованием ввода пароля пользователя при попытке последующего доступа к рабочему столу.
В системе, где применены данные параметры GPO, все настройки экранной заставки для пользователя становятся недоступными для изменений.
На практике встречается ситуация, когда за компьютером работает сменный суточный персонал, которому постоянно необходимо в режиме наблюдения видеть рабочий стол компьютера. При этом такой персонал может даже иметь несколько рабочих столов компьютеров, за которыми требуется наблюдение и не требуется интерактивное взаимодействие с клиентской ОС. Для такого рода пользователей нужен несколько иной подход с точки зрения автоматической блокировки компьютеров при простое.
Для того, чтобы задействовать механизмы GPP для данной задачи, мы воспользуемся параметрами реестра, которые изменяются стандартными Административными шаблонами, указанными нами ранее. Сопоставим указанные ранее параметры GPO с ключами реестра которые они изменяют в клиентской системе:
Политика: Password protect the screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1
Политика: Screen saver timeout
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900
Значение «900» означает количество секунд от момента начала бездействия до срабатывания экранной заставки (15 минут простоя)
Политика: Force specific screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr
Эксперименты с применением этой политики показали, что ключ реестра ScreenSaveActive добавляется лишь на системах Windows XP, а после отключения этой политики, он из реестра корректно не удаляется. Опытным путём удалось выяснить, что отсутствие этого ключа не вносит никаких изменений, поэтому будем рассматривать его как рудиментарный элемент и исключим из наших настроек GPP.
В группе Enabled создадим три правила для создания/обновления ранее перечисленных ключей пользовательского реестра. Нацеливание (Item-level targeting) для этой группы использовать не будем, то есть эти параметры реестра будут применяться для всех пользователей.
В группе Disabled создадим три правила для удаления этих же ключей реестра. Группа Disabled будет иметь нацеливание на специально созданную доменную группу безопасности, в которую будут включены все пользователи, для которых нужно отключить форсированное применение экранной заставки.
Таким образом, логика обработки параметров реестра будет заключаться в обязательном включении экранной заставки для всех пользователей за исключением тех, кто включён в специальную группу безопасности. То есть при включении какого-либо пользователя в данную группу, из его пользовательского реестра будут удаляться ключи форсированной настройки экранной заставки, и он самостоятельно сможет, например, отключить её вовсе, так как в ОС диалоговые элементы пользовательского интерфейса станут доступными.
Источник
Настройка блокировки экрана windows 10 через gpo
Вопрос
Ответы
Все ответы
Если возможно, расскажите подробнее о том, как вы развертывали политику?
Вы имеете в виду, что развертываете объект групповой политики для принудительного использования определенного изображения экрана блокировки по умолчанию и предотвращения изменения экрана блокировки и изображения входа в систему в разделе Конфигурация компьютера> Административные шаблоны> Панель управления> Персонализация, но объект групповой политики не работал?
Вы можете рассмотреть возможность использования сценария для изображения экрана блокировки по умолчанию на https://abcdeployment.wordpress.com/2017/04/20/how-to-set-custom-backgrounds-for-desktop-and-lockscreen-in-windows- 10-Creators-update-v1703-с-powershell /
Этот ответ содержит стороннюю ссылку. Мы предоставляем эту ссылку для удобства. Microsoft не может гарантировать достоверность любой информации и содержимого по этой ссылке.
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
Не подскажите от куду Вы это узнали?
У меня схожая ситуация, пытаюсь сменить изображение входа в систему (изображение при заблокированном ПК) через GPO но ничего не срабатывает. Изображения копируются, а применяться не применяются.
Система Windows 10 Pro 21H1 сборка 19043.1052
А это написано в описании самой политики.
Этот параметр позволяет принудительно назначать конкретное изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию, путем ввода пути (расположения) файла изображения. Для экрана блокировки и экрана входа в систему будет использоваться одно и то же изображение.
Этот параметр позволяет указывать изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию при отсутствии вошедших в систему пользователей, а также устанавливать определенное изображение в качестве изображения по умолчанию для всех пользователей (оно заменяет изображение, используемое по умолчанию для папки «Входящие»).
Чтобы воспользоваться этим параметром, введите полный путь и имя файла изображения экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию. Можно ввести локальный путь, например C:WindowsWebScreenimg104.jpg, или UNC-путь, например \ServerShareCorp.jpg.
Одновременно с этим можно задать параметр «Запретить изменение изображения экрана блокировки и экрана входа в систему», чтобы указанное изображение экрана блокировки и экрана входа в систему отображалось всегда.
Примечание. Этот параметр применяется только к SKU корпоративных, серверных выпусков и выпусков для образовательных учреждений.
Источник
- Remove From My Forums
-
Question
-
We are experiencing issues with the lock screen on Windows 10 computers not displaying correctly. We have 10-15 Windows 10 computers that are having the same issue. Our custom Windows 10 lock screen image deployed via Group Policy only works when no one
is signed into the machine. After someone signs into the computer and then locks the computer or resumes from sleep the default lock screen appears. If we restart the PC or logoff the computer the correct lock screen is displayed. Has anyone seen this issue?OS: Windows 10 X64 Enterprise 1511
Lock Screen Setting Group Policy Settings we have setup:
Force A Default Lock Screen = YES, Points to .JPG on Domain Controller
Prevent Changing the Lock Screen Image = YES
-
Edited by
Tuesday, March 1, 2016 4:26 AM
edit
-
Edited by
Answers
-
Hi,
As you said, your configuration behavior should be exact, because all Windows 8 machines work fine.
Therefore, please try update those Windows 10 computers to see result.
I also did the test on my server and clients, in my environment, when I configured this GPO and forced update it, both Windows 10 and Windows 8 clients show the same lock screen, due to security policy, all lock screen are blue, even though
reboot, lock screen will not change.Best regards,
Teemo Tang
Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.
-
Proposed as answer by
Teemo TangMicrosoft contingent staff
Thursday, March 31, 2016 9:07 AM -
Marked as answer by
MeipoXuMicrosoft contingent staff
Sunday, April 3, 2016 6:15 AM
-
Proposed as answer by
- Remove From My Forums
-
Question
-
We are experiencing issues with the lock screen on Windows 10 computers not displaying correctly. We have 10-15 Windows 10 computers that are having the same issue. Our custom Windows 10 lock screen image deployed via Group Policy only works when no one
is signed into the machine. After someone signs into the computer and then locks the computer or resumes from sleep the default lock screen appears. If we restart the PC or logoff the computer the correct lock screen is displayed. Has anyone seen this issue?OS: Windows 10 X64 Enterprise 1511
Lock Screen Setting Group Policy Settings we have setup:
Force A Default Lock Screen = YES, Points to .JPG on Domain Controller
Prevent Changing the Lock Screen Image = YES
-
Edited by
Tuesday, March 1, 2016 4:26 AM
edit
-
Edited by
Answers
-
Hi,
As you said, your configuration behavior should be exact, because all Windows 8 machines work fine.
Therefore, please try update those Windows 10 computers to see result.
I also did the test on my server and clients, in my environment, when I configured this GPO and forced update it, both Windows 10 and Windows 8 clients show the same lock screen, due to security policy, all lock screen are blue, even though
reboot, lock screen will not change.Best regards,
Teemo Tang
Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.
-
Proposed as answer by
Teemo TangMicrosoft contingent staff
Thursday, March 31, 2016 9:07 AM -
Marked as answer by
MeipoXuMicrosoft contingent staff
Sunday, April 3, 2016 6:15 AM
-
Proposed as answer by
В большинстве организаций, применяющих в своей ИТ инфраструктуре локальные стандарты и регламенты информационной безопасности, уделяется отдельное внимание вопросу блокировки консолей рабочих станций пользователей при наступлении некоторого периода бездействия. Например, в качестве обязательного требования для большинства категорий пользователей может выставляться блокировка рабочего стола компьютера при отсутствии пользовательской активности более 15 минут. В управляемой среде Active Directory в доменных групповых политиках администраторам предоставляется ряд параметров, позволяющих централизованно настроить пользовательскую среду для форсированного применения механизма блокировки рабочего стола посредствам срабатывания программы — хранителя экрана (screen saver), или как её ещё называют, экранной заставки.
Эти параметры расположены в разделе групповой политики:
User Configuration > Policies > Administrative Templates > Control Panel > Personalization
Вот типичный возможный пример таких настроек:
Password protect the screen saver = Enable
Screen saver timeout = Enable (900 Seconds)
Force specific screen saver = scrnsave.scr
В данном примере включено обязательный запуск конкретного файла экранной заставки (scrnsave.scr) при простое более 15 минут с требованием ввода пароля пользователя при попытке последующего доступа к рабочему столу.
В системе, где применены данные параметры GPO, все настройки экранной заставки для пользователя становятся недоступными для изменений.
На практике встречается ситуация, когда за компьютером работает сменный суточный персонал, которому постоянно необходимо в режиме наблюдения видеть рабочий стол компьютера. При этом такой персонал может даже иметь несколько рабочих столов компьютеров, за которыми требуется наблюдение и не требуется интерактивное взаимодействие с клиентской ОС. Для такого рода пользователей нужен несколько иной подход с точки зрения автоматической блокировки компьютеров при простое.
Для обеспечения настроек экранной заставки для сменного персонала и для всех остальных пользователей мы можем создать две отдельные групповые политики – одна с обязательным срабатыванием экранной заставки, другая — без него. Но с использованием механизмов настройки реестра с помощью Group Policy Preferences (GPP) мы сможем гибко объединить эти настройки внутри одной групповой политики.
Для того, чтобы задействовать механизмы GPP для данной задачи, мы воспользуемся параметрами реестра, которые изменяются стандартными Административными шаблонами, указанными нами ранее. Сопоставим указанные ранее параметры GPO с ключами реестра которые они изменяют в клиентской системе:
Политика: Password protect the screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1
Политика: Screen saver timeout
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900
Значение «900» означает количество секунд от момента начала бездействия до срабатывания экранной заставки (15 минут простоя)
Политика: Force specific screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr
Эксперименты с применением этой политики показали, что ключ реестра ScreenSaveActive добавляется лишь на системах Windows XP, а после отключения этой политики, он из реестра корректно не удаляется. Опытным путём удалось выяснить, что отсутствие этого ключа не вносит никаких изменений, поэтому будем рассматривать его как рудиментарный элемент и исключим из наших настроек GPP.
Итак, в групповой политике, действующей на наших пользователей, переведём три перечисленных параметра в состояние Not configured (если они ранее были настроены), а в разделе политики User Configuration > Preferences > Windows Settings > Registry создадим логическую группу, в которой будут храниться наши настройки, например ScreenSaver.
Внутри этой группы создадим две подгруппы настроек — Enabled и Disabled, в которых соответственно будут хранится настройки для включения и отключения форсированного применения экранной заставки. В нашем примере важно, чтобы параметры включения обрабатывались перед параметрами отключения.
В группе Enabled создадим три правила для создания/обновления ранее перечисленных ключей пользовательского реестра. Нацеливание (Item-level targeting) для этой группы использовать не будем, то есть эти параметры реестра будут применяться для всех пользователей.
В группе Disabled создадим три правила для удаления этих же ключей реестра. Группа Disabled будет иметь нацеливание на специально созданную доменную группу безопасности, в которую будут включены все пользователи, для которых нужно отключить форсированное применение экранной заставки.
Таким образом, логика обработки параметров реестра будет заключаться в обязательном включении экранной заставки для всех пользователей за исключением тех, кто включён в специальную группу безопасности. То есть при включении какого-либо пользователя в данную группу, из его пользовательского реестра будут удаляться ключи форсированной настройки экранной заставки, и он самостоятельно сможет, например, отключить её вовсе, так как в ОС диалоговые элементы пользовательского интерфейса станут доступными.