Меню

Экран блокировки windows 10 gpo

Изменить картинку экрана блокировки/входа средствами GPO на windows 10 1607

В домене все ПК на версии win10 1511

Настроена ГПО для единой картинки экрана блокировки. Все работает.

Конфигурация компьютера — Адм. шаблоны — Панель управления — Персонализация

Включены два параметра Применение спец. изображения экрана блокировки по умолчанию. Указан путь \\l.local\SYSVOL\l.local\ll2.jpg

Запрет изменения изображения экрана блокировки — Включен

Идет процедура обновления всех ПК с 1511 до 1607 и на версии 1607 на экране блокировки обычная виндовая заставка, НЕ корпоративная картинка
Нашел https://docs.microsoft.com/ru-ru/win. dows-spotlight
Вроде как все должно работать, но не работает
Скачал новые admx файлы, на контролер домена скопировал и создал новую политику. НЕ работает политика
В этой статье https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

пишут, про неправильную работу GPO после обновления 2016 года.

Выполнил предложенный ими скрипт, получил результат для политики по изменению картинки

Adding ‘Read’ permissions for ‘Authenticated Users’ to the GPO ‘Logo_win10’.
Set-GPPermissions : Такой объект на сервере отсутствует.
C:\Users\GNV\Desktop\AdjustGPOPermissions.ps1:77 знак:11
+ Set-GPPermissions -Guid $loopgpo.Id -TargetName $appliedgroup -TargetT .
+

+ CategoryInfo : NotSpecified: ([Set-GPPermission], DirectoryServicesCOMException
+ FullyQualifiedErrorId : System.DirectoryServices.DirectoryServicesCOMException,Microsoft.GroupPolicy.Commands.SetGPPermissio nsCommand

При этом в политике все норм (см. скриншот gpo1)
В домене есть один ноут с версией 1709 (Сборка 16299.19) — тоже не отрабатывает
Саму картинку привел к размеру 1920 на 1200 — НЕ помогло

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
© Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены.

Создано 10.11.2017 в 15:35:37

Конфигурация ОС: Рядовая рабочая станция
Версия ОС: 10.0.14393
Имя сайта: MAINSITE
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\GNV
Подключение по медленному каналу: Нет

Конфигурация компьютера
————————
CN=TEST,OU=test users,DC=ll,DC=local
Последнее применение групповой политики: 10.11.2017 в 14:55:54
Групповая политика была применена с: LL.ll.local
Порог медленного канала для групповой политики: 500 kbps
Имя домена: LL
Тип домена: Windows 2008 или более поздняя версия

Примененные объекты групповой политики
—————————————
Fhoto_reg
Logo_w10
Default Domain Policy
Firewall Group Policy
Account Group Policy
WSUS for clients
Outlook
script
windows_10
Audit Succses/Failure

Следующие политики GPO не были применены, так как они отфильтрованы
———————————————————————
Local Group Policy
Фильтрация: Не применяется (пусто)

Компьютер является членом следующих групп безопасности
——————————————————
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
Данная организация
TEST$
Domain Computers
Подтвержденное центром проверки подлинности удостоверение
Обязательный уровень системы

Тестовые ПК в OU, на которую применяется политика, перемещены
Картинки экрана блокировки расположены в C:\Users\[Имя_Вашей_Учетной_Записи]\AppData\Local\Packages\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\LocalState\Assets

но файлы странные, не jpeg. Может мне картинку в какой то определенный формат перевести?
Может кто помочь в этой проблеме

Источник статьи: http://answers.microsoft.com/ru-ru/windows/forum/windows_10-desktop/%D0%B8%D0%B7%D0%BC%D0%B5%D0%BD%D0%B8%D1%82%D1%8C/4271ddae-4059-489f-b42b-7a67c424a9e8

Блокировка экрана компьютера при простое с помощью групповой политики

В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L ). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.

Создадим и настроим доменную политику управления параметрами блокировки экрана:

    1. Откройте консоль управления доменными политиками Group Policy Management console ( gpmc.msc ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями);
    2. Перейдите в режим редактирования политики и выберите секцию User Configuration ->Policies ->Administrative Templates ->Control Panel ->Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
    3. В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
      • Enable screen saver — включить экранную заставку;
      • Password protect the screen saver — требовать пароль для разблокировки компьютера;
      • Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер;
      • Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это scrnsave.scr (с помощью GPO можно сделать скринсейвер в виде слайдшоу);
      • Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.
  • Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал 300 . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут;
  • Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой ( gpupdate /force ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:

  • Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
  • Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
  • Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

Источник статьи: http://winitpro.ru/index.php/2020/09/10/blokirovka-ekrana-pri-neaktivnosti-gpo/

Настраиваем блокировку компьютера при простое через screen saver с помощью Group Policy Preferences

В большинстве организаций, применяющих в своей ИТ инфраструктуре локальные стандарты и регламенты информационной безопасности, уделяется отдельное внимание вопросу блокировки консолей рабочих станций пользователей при наступлении некоторого периода бездействия. Например, в качестве обязательного требования для большинства категорий пользователей может выставляться блокировка рабочего стола компьютера при отсутствии пользовательской активности более 15 минут. В управляемой среде Active Directory в доменных групповых политиках администраторам предоставляется ряд параметров, позволяющих централизованно настроить пользовательскую среду для форсированного применения механизма блокировки рабочего стола посредствам срабатывания программы — хранителя экрана (screen saver), или как её ещё называют, экранной заставки. Эти параметры расположены в разделе групповой политики:

User Configuration > Policies > Administrative Templates > Control Panel > Personalization

Вот типичный возможный пример таких настроек:

Password protect the screen saver = Enable
Screen saver timeout = Enable ( 900 Seconds)
Force specific screen saver = scrnsave.scr

В данном примере включено обязательный запуск конкретного файла экранной заставки (scrnsave.scr) при простое более 15 минут с требованием ввода пароля пользователя при попытке последующего доступа к рабочему столу.

В системе, где применены данные параметры GPO, все настройки экранной заставки для пользователя становятся недоступными для изменений.

На практике встречается ситуация, когда за компьютером работает сменный суточный персонал, которому постоянно необходимо в режиме наблюдения видеть рабочий стол компьютера. При этом такой персонал может даже иметь несколько рабочих столов компьютеров, за которыми требуется наблюдение и не требуется интерактивное взаимодействие с клиентской ОС. Для такого рода пользователей нужен несколько иной подход с точки зрения автоматической блокировки компьютеров при простое.

Для обеспечения настроек экранной заставки для сменного персонала и для всех остальных пользователей мы можем создать две отдельные групповые политики – одна с обязательным срабатыванием экранной заставки, другая — без него. Но с использованием механизмов настройки реестра с помощью Group Policy Preferences (GPP) мы сможем гибко объединить эти настройки внутри одной групповой политики.

Для того, чтобы задействовать механизмы GPP для данной задачи, мы воспользуемся параметрами реестра, которые изменяются стандартными Административными шаблонами, указанными нами ранее. Сопоставим указанные ранее параметры GPO с ключами реестра которые они изменяют в клиентской системе:

Политика: Password protect the screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1

Политика: Screen saver timeout
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900

Значение «900» означает количество секунд от момента начала бездействия до срабатывания экранной заставки (15 минут простоя)

Политика: Force specific screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr

Эксперименты с применением этой политики показали, что ключ реестра ScreenSaveActive добавляется лишь на системах Windows XP, а после отключения этой политики, он из реестра корректно не удаляется. Опытным путём удалось выяснить, что отсутствие этого ключа не вносит никаких изменений, поэтому будем рассматривать его как рудиментарный элемент и исключим из наших настроек GPP.

Итак, в групповой политике, действующей на наших пользователей, переведём три перечисленных параметра в состояние Not configured (если они ранее были настроены), а в разделе политики User Configuration > Preferences > Windows Settings > Registry создадим логическую группу, в которой будут храниться наши настройки, например ScreenSaver .

Внутри этой группы создадим две подгруппы настроек — Enabled и Disabled , в которых соответственно будут хранится настройки для включения и отключения форсированного применения экранной заставки. В нашем примере важно, чтобы параметры включения обрабатывались перед параметрами отключения.

В группе Enabled создадим три правила для создания/обновления ранее перечисленных ключей пользовательского реестра. Нацеливание (Item-level targeting) для этой группы использовать не будем, то есть эти параметры реестра будут применяться для всех пользователей.

В группе Disabled создадим три правила для удаления этих же ключей реестра. Группа Disabled будет иметь нацеливание на специально созданную доменную группу безопасности, в которую будут включены все пользователи, для которых нужно отключить форсированное применение экранной заставки.

Таким образом, логика обработки параметров реестра будет заключаться в обязательном включении экранной заставки для всех пользователей за исключением тех, кто включён в специальную группу безопасности. То есть при включении какого-либо пользователя в данную группу, из его пользовательского реестра будут удаляться ключи форсированной настройки экранной заставки, и он самостоятельно сможет, например, отключить её вовсе, так как в ОС диалоговые элементы пользовательского интерфейса станут доступными.

Источник статьи: http://blog.it-kb.ru/2011/10/15/computer-block-lock-out-via-screen-saver-timeout-and-password-protect-with-gpp-group-policy-preferences/


Adblock
detector