Задача: Как сделать чтобы действие политики по блокировке рабочей станции при отсутствии активности не блокировалось по прошествии 5 минут, как сделано было по задаче от учредителей и применено ко всем сотрудникам офиса.
Просто тут наш "ИТ Директор" высказал, что мол отключите его от применения данной политики, т.е. ему не удобно что экран блокируется, он читает документацию к железу и данная блокировка жутко мешает.
Исходные данные:
Есть OU = Office Users – где содержатся все учетные записи домена, на эту OU применена политика GPO_Office_Users_Policy
Шаг №1: Когда произведена установка Windows 10 Pro (Version 10.0.18362.356) то дефолтная настройка включения заставки (Обязательно Windows система должна быть активирована иначе элемент меню "Параметры заставки" будет неактивен/затемнен) выглядит так:
Win – Параметры – Персонализация – Экран блокировки – Параметры заставки -
Шаг №2: Примененная политика по блокировке рабочий станций через GPO выполненная по заметке:
политика применилась ко мне:
Win — Параметры — Персонализация — Экран блокировки — Параметры заставки —
Шаг №3: Я из политики GPO_Office_Users_Policy вынес настройки по блокировки рабочей станции в отдельную под именем GPO_Screen_Block, затем создал две группы:
Группа GRP_USERS_SCREEN_BLOCK -> Пользователи для исключения блокировки экрана
Параметры политики GPO_ Screen_Block
OU= Office UsersSecurity Filtering: Authenticated Users
через правый клик по ней перехожу в меню Edit, GPO_ GPO_Screen_Block [SRV-DC01.POLYGON.LOCAL] Policy - User Configuration - Policies - Administrative Templates - Control Panel - Personalization
Enable screen saver: EnabledPassword protect the screen saver: EnabledScreen saver timeout: EnabledNumber of seconds to wait to enable the screen saver: Seconds: 60 sec * 5 = и указываем 300, то есть через 5 минут бездействия учетная запись на компьютера выйдет в режим ввода Ctrl + Alt +Del с последующей авторизацией.Force specific screen saver: EnabledScreen saver executable name: scrnsave.scr (можно и не активировать)
А во вкладке Delegation добавил группу GRP_USERS_SCREEN_BLOCK и запретил применение политики путем открытия расширенных настроек прав Advanced и отметкой галочкой Deny: Apply group policy
Но это еще не все, создаю еще одну групповую политику с именем GPO_Screen_Block_GRP, где ее параметры:
OU = Office UsersSecurity Filtering:GRP_USERS_SCREEN_BLOCK
WMI Filtering: отсутствует
через правый клик по ней перехожу в меню Edit, GPO_Screen_Block_GRP [SRV-DC01.POLYGON.LOCAL] и в ней настройки:
User Configuration – Policies – Administrative Templates – Control Panel – Personalization
Enable screen saver: Disabled
User Configuration – Policies – Administrative Templates – Control Panel – Personalization
Screen saver timeout: Disabled
User Configuration – Preferences – Windows Settings – Registry – New – Registry Item
Action: UpdateHive: HKEY_CURRENT_USERKey Path: Control Panel\DesktopValue name: ScreenSaveActiveValue type: REG_SZValue data: 0
User Configuration – Preferences – Windows Settings – Registry – New – Registry Item
Action: UpdateHive: HKEY_CURRENT_USERKey Path: Software\Policies\Microsoft\Windows\Control Panel\DesktopValue name: ScreenSaveActiveValue type: REG_SZValue data: 0
User Configuration – Preferences – Windows Settings – Registry – New – Registry Item
Action: UpdateHive: HKEY_CURRENT_USERKey Path: Software\Policies\Microsoft\Windows\Control Panel\DesktopValue name: ScreenSaveTimeOutValue type: REG_SZValue data: 0
После нажимаю Apply & OK
Шаг №4: И вот после этих действий компьютер "ИТ Директора" перезагружаем, и он авторизуется и настройки "Параметры заставки" становятся такими же как при установленной операционной системы Windows 10 из iso Образа или как у меня через сетевую установку посредством Fog Project.
Итого, задача по вынесению определенных учетных записей в исключающую применения политики блокировки рабочей станции через 5 минут бездействия решена. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.