Задача: От учредителей до моего руководителя IT-отдела спустилась задача, настроить блокировку рабочих станций если наблюдаемый простой составляет 1 минуту. Просто все сотрудники настолько расcлабились что, уходя на обед, по курить, домой оставляют не заблокированной рабочую станцию, также те, кто работает через RemoteApp и Remote Desktop Gateway. Ладно бы они использовали сочетание клавиш Win + L, но и это им лень, и они активно борются с любыми действиями. На вопрос, «почему Вы это не делаете?» — ответ «А зачем, да кому моя рабочая станция нужны, тут кроме нашего отдела никто не ходит». Это в корне не правильная позиция. К тому же начальник отдела, мой руководитель игнорировал, что нужно было ранее это включить. А тут приказ с самого верха.
Я решил построить групповую политику опираясь на свою ранее написанную заметку Блокировка рабочих станций в домене. И вот еще раз, когда собственная наработка и применяема ранее сыграла мне службу облегчения поставленной задачи. Я за свои наработки.
У меня домен строится на базе Windows Server 2012 R2 Std
У меня есть организационный контейнер Office в котором содержатся все учетные записи сотрудников вот на него и делается групповая политика применяема на пользователя, чтобы она применилась учетной записи нужно: либо выполнить перезагрузку (это по-простому), либо выполнить Logoff/Logon.
Шаг №1: Итак, настройки групповой политики:
GPO name: GPO_Office_Users_PolicyLocation: OU=Office UsersSecurity Filtering: Authenticated Users
через правый клик по ней перехожу в меню Edit, GPO_Office_Users_Policy [SRV-DC01.POLYGON.LOCAL] Policy - User Configuration - Policies - Administrative Templates - Control Panel - Personalization
Enable screen saver: EnabledPassword protect the screen saver: EnabledScreen saver timeout: EnabledNumber of seconds to wait to enable the screen saver: Seconds: 60 sec * 5 = и указываем 300, то есть через 5 минут бездействия учетная запись на компьютера выйдет в режим ввода Ctrl + Alt +Del с последующей авторизацией.Force specific screen saver: EnabledScreen saver executable name: scrnsave.scr (можно и не активировать)
Местонахождение файлов скринсейвера на Windows 10 Pro (которая сейчас у нас на всех офисных компьютерах) располагается по пути C:\Windows\System32
Шаг №2: Я на работе работаю за Windows 10 Pro x64 (моя доменная учетная запись также находится в OU= Office Users, т.к. я работаю с правами пользователя, а все административные действия выполняю уже от имени административной — это самое правильное при администрировании инфраструктуры), выполнив перезагрузку компьютера (давно надо было) политика применилась ко мне:
Win + X - Параметры - Персонализация - Экран блокировки - Параметры заставки —
и вот они настройки, что странно если у пользователя настроено использование RemoteApp, то ему при бездействии 5 минут будет предложено в той же самое сессии указать пароль на свою учетную запись, но как правило они его не знали, а пользовались лишь настроенным ярлыком. Теперь выдаем еще и пароли.
Шаг №3: А в политику через которую устанавливается ПО для рабочих станций домена добавляю настройку блокировку неактивности на 300 секунд на ПК (но это не обязательно, т.к. шагами выше я проделываю на учетные записи)
Установка и управление Google Chrome через GPOКак обновить GPO по установке Google Chrome на рабочие места
Добавляю
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
Interactive logon: Machine inactivity limit: EnableMachine will be locked after: 300 seconds
Итого, задача от учредителей выполнена, что изменения применились пользователю нужно либо перезагрузить компьютер, либо сделать Logoff&Logon, но как показывает практика им проще закрыть все программы на рабочей станции и перезагрузить компьютер. Либо можно скриптом на офисных ПК сделать gpupdate, нюанс, ведь политика на пользователя, значит скриптом отправить все компьютеры после окончания рабочего дня в перезагрузку.
На этом все, с уважением автор блога Олло Александр aka ekzorchik.