Задача: Как сделать чтобы действие политики по блокировке рабочей станции при отсутствии активности не блокировалось по прошествии 5 минут, как сделано было по задаче от учредителей и применено ко всем сотрудникам офиса.
Просто тут наш "ИТ Директор"
высказал, что мол отключите его от применения данной политики, т.е. ему не удобно что экран блокируется, он читает документацию к железу и данная блокировка жутко мешает.
Исходные данные:
Есть OU = Office Users
– где содержатся все учетные записи домена, на эту OU
применена политика GPO_Office_Users_Policy
Шаг №1:
Когда произведена установка Windows 10 Pro (Version 10.0.18362.356)
то дефолтная настройка включения заставки (Обязательно Windows
система должна быть активирована иначе элемент меню "Параметры заставки"
будет неактивен/затемнен) выглядит так:
Win – Параметры – Персонализация – Экран блокировки – Параметры заставки -
Шаг №2:
Примененная политика по блокировке рабочий станций через GPO
выполненная по заметке
:
политика применилась ко мне:
Win — Параметры — Персонализация — Экран блокировки — Параметры заставки —
Шаг №3:
Я из политики GPO_Office_Users_Policy
вынес настройки по блокировки рабочей станции в отдельную под именем GPO_Screen_Block
, затем создал две группы:
Группа GRP_USERS_SCREEN_BLOCK -> Пользователи для исключения блокировки экрана
Параметры политики GPO_ Screen_Block
OU= Office Users
Security Filtering: Authenticated Users
через правый клик по ней перехожу в меню Edit, GPO_ GPO_Screen_Block [SRV-DC01.POLYGON.LOCAL] Policy - User Configuration - Policies - Administrative Templates - Control Panel - Personalization
Enable screen saver: Enabled
Password protect the screen saver: Enabled
Screen saver timeout: Enabled
Number of seconds to wait to enable the screen saver: Seconds: 60 sec * 5 = и указываем 300, то есть через 5 минут бездействия учетная запись на компьютера выйдет в режим ввода Ctrl + Alt +Del с последующей авторизацией.
Force specific screen saver: Enabled
Screen saver executable name: scrnsave.scr (можно и не активировать)
А во вкладке Delegation
добавил группу GRP_USERS_SCREEN_BLOCK
и запретил применение политики путем открытия расширенных настроек прав Advanced
и отметкой галочкой Deny: Apply group policy
Но это еще не все, создаю еще одну групповую политику с именем GPO_Screen_Block_GRP
, где ее параметры:
OU = Office Users
Security Filtering:
GRP_USERS_SCREEN_BLOCK
WMI Filtering: отсутствует
через правый клик по ней перехожу в меню Edit, GPO_Screen_Block_GRP [SRV-DC01.POLYGON.LOCAL]
и в ней настройки:
User Configuration – Policies – Administrative Templates – Control Panel – Personalization
Enable screen saver: Disabled
User Configuration – Policies – Administrative Templates – Control Panel – Personalization
Screen saver timeout: Disabled
User Configuration – Preferences – Windows Settings – Registry – New – Registry Item
Action: Update
Hive: HKEY_CURRENT_USER
Key Path: Control Panel\Desktop
Value name: ScreenSaveActive
Value type: REG_SZ
Value data: 0
User Configuration – Preferences – Windows Settings – Registry – New – Registry Item
Action: Update
Hive: HKEY_CURRENT_USER
Key Path: Software\Policies\Microsoft\Windows\Control Panel\Desktop
Value name: ScreenSaveActive
Value type: REG_SZ
Value data: 0
User Configuration – Preferences – Windows Settings – Registry – New – Registry Item
Action: Update
Hive: HKEY_CURRENT_USER
Key Path: Software\Policies\Microsoft\Windows\Control Panel\Desktop
Value name: ScreenSaveTimeOut
Value type: REG_SZ
Value data: 0
После нажимаю Apply & OK
Шаг №4: И вот после этих действий компьютер "ИТ Директора"
перезагружаем, и он авторизуется и настройки "Параметры заставки"
становятся такими же как при установленной операционной системы Windows 10
из iso
Образа или как у меня через сетевую установку посредством Fog Project.
Итого, задача по вынесению определенных учетных записей в исключающую применения политики блокировки рабочей станции через 5
минут бездействия решена. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.