Блокировка рабочих станций через GPO в Windows Server 2012 R2 Std

Posted by

Задача: От учредителей до моего руководителя IT-отдела спустилась задача, настроить блокировку рабочих станций если наблюдаемый простой составляет 1 минуту. Просто все сотрудники настолько расcлабились что, уходя на обед, по курить, домой оставляют не заблокированной рабочую станцию, также те, кто работает через RemoteApp и Remote Desktop Gateway. Ладно бы они использовали сочетание клавиш Win + L, но и это им лень, и они активно борются с любыми действиями. На вопрос, «почему Вы это не делаете?» — ответ «А зачем, да кому моя рабочая станция нужны, тут кроме нашего отдела никто не ходит». Это в корне не правильная позиция. К тому же начальник отдела, мой руководитель игнорировал, что нужно было ранее это включить. А тут приказ с самого верха.

Я решил построить групповую политику опираясь на свою ранее написанную заметку Блокировка рабочих станций в домене. И вот еще раз, когда собственная наработка и применяема ранее сыграла мне службу облегчения поставленной задачи. Я за свои наработки.

У меня домен строится на базе Windows Server 2012 R2 Std

У меня есть организационный контейнер Office в котором содержатся все учетные записи сотрудников вот на него и делается групповая политика применяема на пользователя, чтобы она применилась учетной записи нужно: либо выполнить перезагрузку (это по-простому), либо выполнить Logoff/Logon.

Шаг №1: Итак, настройки групповой политики:

  • GPO name: GPO_Office_Users_Policy
  • Location: OU=Office Users
  • Security Filtering: Authenticated Users

через правый клик по ней перехожу в меню Edit, GPO_Office_Users_Policy [SRV-DC01.POLYGON.LOCAL] Policy - User Configuration - Policies - Administrative Templates - Control Panel - Personalization

  • Enable screen saver: Enabled
  • Password protect the screen saver: Enabled
  • Screen saver timeout: Enabled
  • Number of seconds to wait to enable the screen saver: Seconds: 60 sec * 5 = и указываем 300, то есть через 5 минут бездействия учетная запись на компьютера выйдет в режим ввода Ctrl + Alt +Del с последующей авторизацией.
  • Force specific screen saver: Enabled
  • Screen saver executable name: scrnsave.scr (можно и не активировать)

Местонахождение файлов скринсейвера на Windows 10 Pro (которая сейчас у нас на всех офисных компьютерах) располагается по пути C:\Windows\System32

Местонахождение файлов скринсейвера на Windows 10 Pro

Шаг №2: Я на работе работаю за Windows 10 Pro x64 (моя доменная учетная запись также находится в OU= Office Users, т.к. я работаю с правами пользователя, а все административные действия выполняю уже от имени административной — это самое правильное при администрировании инфраструктуры), выполнив перезагрузку компьютера (давно надо было) политика применилась ко мне:

Win + X - Параметры - Персонализация - Экран блокировки - Параметры заставки

Политика применена, блокировка экрана через 5 минут бездействия

и вот они настройки, что странно если у пользователя настроено использование RemoteApp, то ему при бездействии 5 минут будет предложено в той же самое сессии указать пароль на свою учетную запись, но как правило они его не знали, а пользовались лишь настроенным ярлыком. Теперь выдаем еще и пароли.

Шаг №3: А в политику через которую устанавливается ПО для рабочих станций домена добавляю настройку блокировку неактивности на 300 секунд на ПК (но это не обязательно, т.к. шагами выше я проделываю на учетные записи)

Добавляю

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options.

  • Interactive logon: Machine inactivity limit: Enable
  • Machine will be locked after: 300 seconds

Итого, задача от учредителей выполнена, что изменения применились пользователю нужно либо перезагрузить компьютер, либо сделать Logoff&Logon, но как показывает практика им проще закрыть все программы на рабочей станции и перезагрузить компьютер. Либо можно скриптом на офисных ПК сделать gpupdate, нюанс, ведь политика на пользователя, значит скриптом отправить все компьютеры после окончания рабочего дня в перезагрузку.

На этом все, с уважением автор блога Олло Александр aka ekzorchik.