Задача: Посредством GPO настроить блокировку рабочих станций
Порой сотрудники на рабочем месте вообще относятся ко всему лишь бы как и их не волнует что в тот момент когда они отошли покурить, на обед их рабочее место — это в частности касается шоурума, опенспейса и других легко доступных мест может стать источником как для них самих проблем, так и для компании в частности.
Что я имею ввиду? – Вы оставили рабочее место своего компьютера в том виде за которым работали, Ваша почта, документы, страницы интернета, программа 1С. А в это время над Вами решили пошутить или со злым умыслом сели и напакостничали или даже уволокли важную информацию. Отмазка в стиле я тут не причем и я отходил уже не будет работать на Вас.
К тому же отдел системного администрирования должен/обязан настроить работы вверенной ему сети на полную безопасность от информативного взлома.
Ладно, а что же сделать? Сегодняшней целью будет настройка блокировки экрана системы, по прошествии определенного времени, к примеру 2 минут экран системы будет заблокирован и потребуется нажать сочетание клавиш: Ctrl + Alt + Delete и авторизоваться.
Авторизуюсь на домен контроллере (Windows Server 2012 R2 Std) с правами учетной записью вхожей в группу Domain Admins и создаю Group Policy Object (или сокращенно GPO). Запускаю оснастку:
Win + X → Control Panel — Administrative Tools — Group Policy Management: Create a GPO in this domain, and Link it here…
- Name: GPO_Lock
- Source Starter GPO: (none)
Политика будет нацелена на Authenticated Users
Открываю созданную политику и наполняю ее настройками по воплощению данной заметки в практическое использование:
User Configuration — Policies – Administrative Templates — Control Panel — Personalization
- Настройка Screen saver timeout → Enabled: Seconds = 2 * 60 = 120
Т.е. в случае 2 минут бездействия за рабочим местом экран рабочего стола заблокируется и потребуется от пользователя нажать Ctrl + Alt + Del и авторизоваться.
- Настройка Enable screen saver → Enabled
- Настройка Password protect the screen saver → Enabled
На заметку: Если хотите то может указать скринсейвер, где в качестве имени нужно использовать именование файла (*.scr) из директории: %systemroot%\system32\ или %systemroot%\winsxs\
После любой понравившийся файл скринсейвера нужно поместить в каталог который доступен всем пользователям домена.
- Настройка Force specific screen saver → Enabled: Screen saver executable name = Mystify.scr
Теперь когда политика завершена. Проверяем, как она отработается.
Для этого авторизуюсь на любом доменном компьютере (к примеру на Windows 7 X64) под доменной учетной записью (к примеру alektest@polygon.local). Далее: Клавиша Windows — Панель управления – Персонализация — щелкаю по иконке «Заставка» и вижу свои настройки пришедшие на этого пользователя от групповой политики GPO_Lock
Теперь рабочая станция и учетная запись в случае некоторого бездействия (не нажимаются клавиши на клавиатуре, не дергается мышь, отошли) блокирует работу до ввода сочетания клавиш и ввода логина и пароля в систему.
Итого поставленная задача выполнена полностью. На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.