Блокировка рабочих станций в домене

Posted by

Задача: Посредством GPO настроить блокировку рабочих станций

Порой сотрудники на рабочем месте вообще относятся ко всему лишь бы как и их не волнует что в тот момент когда они отошли покурить, на обед их рабочее место — это в частности касается шоурума, опенспейса и других легко доступных мест может стать источником как для них самих проблем, так и для компании в частности.

Что я имею ввиду? — Вы оставили рабочее место своего компьютера в том виде за которым работали, Ваша почта, документы, страницы интернета, программа . А в это время над Вами решили пошутить или со злым умыслом сели и напакостничали или даже уволокли важную информацию. Отмазка в стиле я тут не причем и я отходил уже не будет работать на Вас.

К тому же отдел системного администрирования должен/обязан настроить работы вверенной ему сети на полную безопасность от информативного взлома.

Ладно, а что же сделать? Сегодняшней целью будет настройка блокировки экрана системы, по прошествии определенного времени, к примеру 2 минут экран системы будет заблокирован и потребуется нажать сочетание клавиш: Ctrl + Alt + Delete и авторизоваться.

Авторизуюсь на домен контроллере (Windows Std) с правами учетной записью вхожей в группу Domain Admins и создаю Group Policy Object (или сокращенно GPO). Запускаю оснастку:

Win + X → Control Panel — Administrative Tools — Group Policy Management: Create a GPO in this domain, and Link it here…

  • Name: GPO_Lock
  • Source Starter GPO: (none)

Политика будет нацелена на Authenticated Users

Открываю созданную политику и наполняю ее настройками по воплощению данной заметки в практическое использование:

User Configuration — Policies — Administrative Templates — Control Panel — Personalization

  • Настройка Screen saver timeout → Enabled: Seconds = 2 * 60 = 120

Т.е. в случае 2 минут бездействия за рабочим местом экран рабочего стола заблокируется и потребуется от пользователя нажать Ctrl + Alt + Del и авторизоваться.

  • Настройка Enable screen saver → Enabled
  • Настройка Password protect the screen saver → Enabled

На заметку: Если хотите то может указать скринсейвер, где в качестве имени нужно использовать именование файла (*.scr) из директории: %systemroot%\system32\ или %systemroot%\winsxs\

После любой понравившийся файл скринсейвера нужно поместить в каталог который доступен всем пользователям домена.

  • Настройка Force specific screen saver → Enabled: Screen saver executable name = Mystify.scr

Теперь когда политика завершена. Проверяем, как она отработается.

Для этого авторизуюсь на любом доменном компьютере (к примеру на Windows 7 X64) под доменной учетной записью (к примеру alektest@polygon.local). Далее: Клавиша WindowsПанель управления — Персонализация — щелкаю по иконке «Заставка» и вижу свои настройки пришедшие на этого пользователя от групповой политики GPO_Lock

Блокировка через 2 минуты если за системой не работают

Теперь рабочая станция и учетная запись в случае некоторого бездействия (не нажимаются клавиши на клавиатуре, не дергается мышь, отошли) блокирует работу до ввода сочетания клавиш и ввода логина и пароля в систему.

Итого поставленная задача выполнена полностью. На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.