Исключение для Блокировки рабочих станций

Posted by

Задача: Как сделать чтобы действие политики по блокировке рабочей станции при отсутствии активности не блокировалось по прошествии 5 минут, как сделано было по задаче от учредителей и применено ко всем сотрудникам офиса.

Просто тут наш "ИТ Директор" высказал, что мол отключите его от применения данной политики, т.е. ему не удобно что экран блокируется, он читает документацию к железу и данная блокировка жутко мешает.

Исходные данные:

Есть OU = Office Users – где содержатся все учетные записи домена, на эту OU применена политика GPO_Office_Users_Policy

Шаг №1: Когда произведена установка Windows 10 Pro (Version 10.0.18362.356) то дефолтная настройка включения заставки (Обязательно Windows система должна быть активирована иначе элемент меню "Параметры заставки" будет неактивен/затемнен) выглядит так:

Win – Параметры – Персонализация – Экран блокировки – Параметры заставки -

Дефолтные значения параметров заставки

Шаг №2: Примененная политика по блокировке рабочий станций через GPO выполненная по заметке:

политика применилась ко мне:

Win — Параметры — Персонализация — Экран блокировки — Параметры заставки —

Примененная политика по блокировке рабочий станций через GPO

Шаг №3: Я из политики GPO_Office_Users_Policy вынес настройки по блокировки рабочей станции в отдельную под именем GPO_Screen_Block, затем создал две группы:

  • Группа GRP_USERS_SCREEN_BLOCK -> Пользователи для исключения блокировки экрана

Параметры политики GPO_ Screen_Block

  • OU= Office Users
  • Security Filtering: Authenticated Users

через правый клик по ней перехожу в меню Edit, GPO_ GPO_Screen_Block [SRV-DC01.POLYGON.LOCAL] Policy - User Configuration - Policies - Administrative Templates - Control Panel - Personalization

  • Enable screen saver: Enabled
  • Password protect the screen saver: Enabled
  • Screen saver timeout: Enabled
  • Number of seconds to wait to enable the screen saver: Seconds: 60 sec * 5 = и указываем 300, то есть через 5 минут бездействия учетная запись на компьютера выйдет в режим ввода Ctrl + Alt +Del с последующей авторизацией.
  • Force specific screen saver: Enabled
  • Screen saver executable name: scrnsave.scr (можно и не активировать)

А во вкладке Delegation добавил группу GRP_USERS_SCREEN_BLOCK и запретил применение политики путем открытия расширенных настроек прав Advanced и отметкой галочкой Deny: Apply group policy

Запрет применения политики GPO_Screen_Block для исключающих пользователей

Но это еще не все, создаю еще одну групповую политику с именем GPO_Screen_Block_GRP, где ее параметры:

  • OU = Office Users
  • Security Filtering:
    • GRP_USERS_SCREEN_BLOCK
  • WMI Filtering: отсутствует

через правый клик по ней перехожу в меню Edit, GPO_Screen_Block_GRP [SRV-DC01.POLYGON.LOCAL] и в ней настройки:

User Configuration – Policies – Administrative Templates – Control Panel – Personalization

  • Enable screen saver: Disabled

User Configuration – Policies – Administrative Templates – Control Panel – Personalization

  • Screen saver timeout: Disabled

User Configuration – Preferences – Windows Settings – Registry – New – Registry Item

  • Action: Update
  • Hive: HKEY_CURRENT_USER
  • Key Path: Control Panel\Desktop
  • Value name: ScreenSaveActive
  • Value type: REG_SZ
  • Value data: 0

User Configuration – Preferences – Windows Settings – Registry – New – Registry Item

  • Action: Update
  • Hive: HKEY_CURRENT_USER
  • Key Path: Software\Policies\Microsoft\Windows\Control Panel\Desktop
  • Value name: ScreenSaveActive
  • Value type: REG_SZ
  • Value data: 0

User Configuration – Preferences – Windows Settings – Registry – New – Registry Item

  • Action: Update
  • Hive: HKEY_CURRENT_USER
  • Key Path: Software\Policies\Microsoft\Windows\Control Panel\Desktop
  • Value name: ScreenSaveTimeOut
  • Value type: REG_SZ
  • Value data: 0

После нажимаю Apply & OK

Шаг №4: И вот после этих действий компьютер "ИТ Директора" перезагружаем, и он авторизуется и настройки "Параметры заставки" становятся такими же как при установленной операционной системы Windows 10 из iso Образа или как у меня через сетевую установку посредством Fog Project.

Блокировка экрана отключена для указанных сотрудников

Итого, задача по вынесению определенных учетных записей в исключающую применения политики блокировки рабочей станции через 5 минут бездействия решена. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.