настройка блокировки экрана windows 10 через gpo
Блокировка экрана компьютера при простое с помощью групповой политики
В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L ). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.
Создадим и настроим доменную политику управления параметрами блокировки экрана:
В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.
Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:
Настраиваем блокировку компьютера при простое через screen saver с помощью Group Policy Preferences
Эти параметры расположены в разделе групповой политики:
User Configuration > Policies > Administrative Templates > Control Panel > Personalization
Вот типичный возможный пример таких настроек:
Password protect the screen saver = Enable
Screen saver timeout = Enable ( 900 Seconds)
Force specific screen saver = scrnsave.scr
В данном примере включено обязательный запуск конкретного файла экранной заставки (scrnsave.scr) при простое более 15 минут с требованием ввода пароля пользователя при попытке последующего доступа к рабочему столу.
В системе, где применены данные параметры GPO, все настройки экранной заставки для пользователя становятся недоступными для изменений.
На практике встречается ситуация, когда за компьютером работает сменный суточный персонал, которому постоянно необходимо в режиме наблюдения видеть рабочий стол компьютера. При этом такой персонал может даже иметь несколько рабочих столов компьютеров, за которыми требуется наблюдение и не требуется интерактивное взаимодействие с клиентской ОС. Для такого рода пользователей нужен несколько иной подход с точки зрения автоматической блокировки компьютеров при простое.
Для того, чтобы задействовать механизмы GPP для данной задачи, мы воспользуемся параметрами реестра, которые изменяются стандартными Административными шаблонами, указанными нами ранее. Сопоставим указанные ранее параметры GPO с ключами реестра которые они изменяют в клиентской системе:
Политика: Password protect the screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1
Политика: Screen saver timeout
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900
Значение «900» означает количество секунд от момента начала бездействия до срабатывания экранной заставки (15 минут простоя)
Политика: Force specific screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr
Эксперименты с применением этой политики показали, что ключ реестра ScreenSaveActive добавляется лишь на системах Windows XP, а после отключения этой политики, он из реестра корректно не удаляется. Опытным путём удалось выяснить, что отсутствие этого ключа не вносит никаких изменений, поэтому будем рассматривать его как рудиментарный элемент и исключим из наших настроек GPP.
В группе Enabled создадим три правила для создания/обновления ранее перечисленных ключей пользовательского реестра. Нацеливание (Item-level targeting) для этой группы использовать не будем, то есть эти параметры реестра будут применяться для всех пользователей.
В группе Disabled создадим три правила для удаления этих же ключей реестра. Группа Disabled будет иметь нацеливание на специально созданную доменную группу безопасности, в которую будут включены все пользователи, для которых нужно отключить форсированное применение экранной заставки.
Таким образом, логика обработки параметров реестра будет заключаться в обязательном включении экранной заставки для всех пользователей за исключением тех, кто включён в специальную группу безопасности. То есть при включении какого-либо пользователя в данную группу, из его пользовательского реестра будут удаляться ключи форсированной настройки экранной заставки, и он самостоятельно сможет, например, отключить её вовсе, так как в ОС диалоговые элементы пользовательского интерфейса станут доступными.
Локальные групповые политики, востребованные при администрировании ОС Windows 10
Ранее в статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм добавления объектов групповой политики для редактирования параметров, которые будут применяться для определенных пользователей.
Содержание
Запрет доступа к редактору реестра и командной строке
Иногда бывает крайне рационально запрет неопытному пользователю доступ к редактору реестра и командной строке. Для этого можно настроить два параметра.
Рис.1 Окно консоли с добавленными оснастками объектов групповой политики
Рис.2 Редактирование параметров политик узла Система
Рис.3 Редактирование параметра политики Запретить использование командной строки
Если параметр политики Запретить использование командной строки включен и определенный пользователь откроет окно командной строки, будет выведено сообщение о том, что это действие запрещено.
Рис.4 Результат действия запрета при запуске командной строки
При запуске реестра после изменения локальной политики на экран будет выведено сообщение о запрете.
Рис.5 Результат действия запрета при запуске редактора реестра
Запрет определенных настроек узла Персонализация
С помощью узла Персонализация оснастки локальной групповой политики можно настроить для определенных пользователей запрет на изменение цветовой схемы, темы, фона рабочего стола. Можно запретить изменять заставку, стиль оформления окон и кнопок и многое другое. Все эти параметры доступны по следующему пути: Конфигурация пользователя > Административные шаблоны > Панель управления > Персонализация.
Рис.6 Редактирование параметров политик узла Персонализация
Рис.7 Редактирование параметра политики Запрет изменения фона рабочего стола
При активировании данной политики, при попытке изменить фон рабочего стола через настройки персонализации, данная опция будет не активна.
Рис.8 Результат действия запрета на изменение фона рабочего стола
Запрет доступа к различным элементам меню Пуск и настройки панели задач
При администрировании рабочих станций рационально для неопытных пользователей запретить изменять параметры панели задач и меню Пуск, удалить не используемые элементы Windows из меню Пуск. Все эти параметры доступны в узле локальной групповой политики Конфигурация пользователя > Административные шаблоны > Меню Пуск и панель задач.
Рис. 9 Редактирование параметров политик узла Меню «Пуск» и панель задач
Ниже представлен лишь не полный перечень политик, который доступен в Меню Пуск и панель задач в операционной системе Windows 10 Pro:
В данном примере будет рассмотрена политика Запретить изменение размера панели задач.
Рис.11 Редактирование параметра политики Запретить изменение размера панели задач
Рис.12 Открытие параметров панели задач
Рис.13 Результат действия запрета на редактирование размера панели задач
Скрытие определенных элементов панели управления
При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя определенные элементы панели управления. В статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм отображения только указанных элементов панели управления. В данном примере рассмотрен механизм скрытия определенных элементов из всего перечня апплетов панели управления. Для этого:
Рис.14 Редактирование параметра политики Скрыть указанные объекты панели управления
Рис.15 Редактирование параметра политики Скрыть указанные объекты панели управления
Рис.16 Список запрещенных элементов панели управления
Рис.17 Список элементов панели управления до изменения параметра локальной групповой политики
Рис.18 Список элементов панели управления после изменения параметра локальной групповой политики
Как сделать блокировку ПК по времени на windows 10?
Добрый день. Как сделать средствами GPO блокировку ПК через 15 минут?
В интернете нашёл инструкцию, по которой до Windows 10 все делали это через заставку:
Конфигурация пользователя — Политики — Административные шаблоны — Панель управления — Персонализация.
— «Включение заставки»
— «Запретить изменение заставки»
— «Защита заставки с помощью пароля»
— «Применение указанной заставки»
— «Тайм-аут экранной заставки»
Но вот в чём загвоздка, в windows 10 эти параметры считаются устаревшими. Об этом прямо говориться в административных шаблонах:
Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройки «Запрет отображения экрана блокировки» или «Запретить включение слайд-шоу с экрана блокировки».
Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройку «Запретить изменение изображения экрана блокировки и экрана входа в систему».
Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройку «Требовать пароль при выходе из спящего режима».
Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройку «Применить конкретное изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию» или «Запретить изменение изображения экрана блокировки и экрана входа в систему».
Примечание. Эта настройка устарела и не будет доступна в будущем. Используйте вместо нее настройку «Указать время ожидания для перехода в спящий режим».
Получается, что я должен настроить экран блокировки и спящий режим? Напрашивается логичное появление опции «отобразить экран блокировки через *** минут», но такого нет.
В общем помогите разобраться как правильно в Windows 10 настроить блокировку компьютера через указанное время.
Настройка блокировки экрана windows 10 через gpo
Используя групповые политики (GPO), можно не только изменять огромное количество настроек компьютеров в сети, управлять возможными действиями сотрудниками в домене, а также можно улучшить безопасность в сети. Включим с помощью GPO экранную заставку после 22 минут бездействия пользователя и выключим экран монитора после 45 минут бездействия пользователя.
Это значит, что если человек не будет производить никаких действий на компьютере, то через 22 минуты компьютер заблокируется (включится заставка). И для того, чтобы продолжить работу, надо будет ввести логин и пароль. Это необходимо, если например человек ушел куда-нибудь и забыл заблокировать компьютер. А выключение монитора, через 45 минут бездействия пользователя, поможет сократить количество электроэнергии, которое использует монитор. Время можно выбрать любое, но надо понимать, что слишком частое блокирование компьютера, например через 2 минуты бездействия, приведёт в конечном итоге к нервному стрессу того, кто работает за этим компьютером. Если же наоборот, блокировать вычислительную машину, например, через 12 часов, то это действие будет иметь мало смысла. Поэтому будет правильно выбрать разумное время блокировки. Тогда это не будет напрягать работающего, будет повышена общая безопасность. Также в масштабах нескольких сотен компьютеров, это будет ощутимая экономия электроэнергии, что выльется в экономию финансов и для природы тоже полезно.
Включаем с помощью групповых политик экранную заставку через 22 минуты.
1. Нажимаем «Пуск«, далее «Администрирование«.
2. В следующем окне выбираем «Управление групповой политикой«.
3. Лучше создать отдельную групповую политику, но можно править и дефолтную групповую политику. Рекомендуется документировать все изменения, произведенные в групповой политике. В открывшемся окне, раскрываем дерево домена и выбираем «Default Domain Poliсy«. Нажимаем на неё правой клавшией мыши, далее «Изменить«.
Отключение монитора через 45 минут после бездействия пользователя.
Дальше будем изменять поведение монитора. Задача сделать так, чтобы через 45 минут бездействия пользователя, управление электропитанием монитора должно выключаться.
11. Для незамедлительного применения групповых политик открываем командную строку и набираем: gpupdate /force. 
В результате этих несложных действий мы добиваемся необходимого нам поведения экранной заставки (включение заставки через 22 минуты бездействия пользователя) и электропитания монитора (выключится через 45 минут бездействия).
Посмотреть видео можно здесь: