Заблокировать экран Windows 10 gpo

Обновлено: 21.11.2024

В этом руководстве вы узнаете, как включить экран блокировки Windows с помощью групповой политики. Кроме того, я покажу вам, как отключить (исключить) политику блокировки экрана для определенных пользователей и компьютеров.

Я расскажу о создании политики блокировки экрана после 15 минут бездействия. Вы можете изменить настройки тайм-аута на все, что соответствует вашим потребностям. Это руководство будет работать в операционных системах Windows 10, Server 2012 и более поздних версиях.

Экран блокировки — важная мера безопасности, когда пользователь отходит от рабочего стола и забывает заблокировать экран. Если это произойдет, другой сотрудник или неуполномоченное лицо может получить доступ к данным пользователя. Политика тайм-аута простоя экрана блокировки поможет предотвратить эту проблему безопасности.

Давайте проверим.

Важно! В большинстве статей указаны неправильные настройки объекта групповой политики для компьютеров с Windows 10. Если вы включите параметры экранной заставки в групповой политике, они не будут работать с Windows 10. Вам нужно будет использовать параметры объекта групповой политики, которые я привожу в этом руководстве, чтобы экран блокировки работал правильно.

Шаг 1. Определите местоположение объекта групповой политики

Политика экрана блокировки — это политика компьютера. Это означает, что любой, кто войдет в систему, применит политику экрана блокировки. Позже я покажу вам, как исключить определенные компьютеры из политики.

Лучше всего применить эту политику ко всем компьютерам, но всегда будут исключения. У меня были просьбы исключить компьютеры в конференц-залах, компьютеры, которые используются для круглосуточного мониторинга, и, конечно, всегда есть несколько пользователей, которые жалуются и хотят, чтобы это было отключено. Все эти запросы должны быть одобрены высшим руководством.

В зависимости от структуры вашего подразделения вы можете применить объект групповой политики к корню и позволить подчиненным подразделениям наследовать политику, или вы можете применить политику к определенным подразделениям.

В этом примере я хочу, чтобы политика применялась ко всем компьютерам, поэтому я собираюсь связать объект групповой политики с моей организационной единицей ADPRO Computers. Все дочерние подразделения наследуют политику. На шаге 4 я покажу вам, как исключить определенные компьютеры из политики.

Шаг 2. Создайте новый объект групповой политики для настроек экрана блокировки

Не добавляйте эти параметры в политику домена по умолчанию. Лучшей практикой групповой политики является не изменять политику домена по умолчанию, а вместо этого создать новую.

1) Откройте консоль управления групповыми политиками

2) Щелкните правой кнопкой мыши «Объекты групповой политики» и выберите «Создать».

Укажите имя нового объекта групповой политики. Вы можете назвать его как хотите.

Объект групповой политики создан, но теперь нам нужно установить параметры времени простоя.

Необходимо задать только один параметр групповой политики. Это «Интерактивный вход в систему: предел бездействия компьютера»

Выберите -> Конфигурация компьютера -> Параметры Windows -> Локальные политики -> Параметры безопасности

Измените значение на любое другое. Я установил 900 секунд, что составляет 15 минут.

Шаг 3. Примените объект групповой политики экрана блокировки и убедитесь, что он применен

Объект групповой политики создан, и параметры политики добавлены. Теперь вам просто нужно связать объект групповой политики с правильной организационной единицей.

Поскольку это политика компьютера, вы должны применить объект групповой политики к организационной единице, содержащей учетные записи компьютеров. Если вы примените объект групповой политики к организационной единице только с пользователями, экран блокировки не будет работать.

1) В консоли управления групповыми политиками щелкните правой кнопкой мыши подразделение и выберите «Связать существующий объект групповой политики:

2) Выберите объект групповой политики, созданный на шаге 2, и нажмите OK.

Теперь объект групповой политики связан.

Интервал обновления объекта групповой политики на компьютере составляет 90 минут. Поэтому имейте в виду, что может пройти до 90 минут, прежде чем эта политика будет применена ко всем компьютерам. Вы можете мгновенно обновить его, перезагрузив компьютер или выполнив команду gpupdate /force.

Выше приведен снимок экрана, показывающий объект групповой политики, связанный с моей организационной единицей ADPRO Computers. Все дочерние подразделения наследуют эту политику. Таким образом, к компьютеру в подразделениях бухгалтерии, отдела кадров и ИТ будет применен объект групповой политики блокировки экрана.

Как проверить применение объекта групповой политики экрана блокировки

Чтобы убедиться, что объект групповой политики применяется к компьютеру, вы можете использовать команду gpresult /r. Вам нужно будет открыть командную строку Windows от имени администратора, иначе она может не получить политики компьютера.

Вы можете видеть, что к этому компьютеру применяется объект групповой политики «Lock Screen ON».

Шаг 4. Как отключить (исключить) компьютеры из политики блокировки экрана

Допустим, вы применили экран блокировки ко всем компьютерам, но теперь вам нужно отключить его на определенных компьютерах.

Есть два варианта:

Вариант 1. Переместите компьютеры в новую организационную единицу и не связывайте объект групповой политики с этой организационной единицей. Это работает, и я использовал этот метод для нескольких клиентов.

Вариант 2. Создайте группу безопасности, добавьте компьютеры и запретите применение политики к этой группе. Это мой предпочтительный метод, так как я думаю, что он предотвращает перемещение компьютеров между подразделениями.

Я покажу вам вариант 2.

1) Создайте группу безопасности и добавьте компьютеры, на которых вы хотите отключить политику блокировки экрана. Очень важно дать группе описательное имя и использовать поле описания.

2) Перейдите в консоль управления групповыми политиками, выберите объект групповой политики, перейдите на вкладку делегирования и нажмите «Дополнительно».

3) В открытом окне настроек безопасности нажмите Добавить

4) Добавьте группу безопасности и нажмите "ОК".

5) Убедитесь, что для параметра "Чтение" установлено значение "Разрешить", а для параметра "Применить групповую политику" установлено значение "Запретить".

Это должно сработать. Компьютеры в вашей запрещенной группе необходимо будет перезагрузить.

При проверке компьютера с помощью команды gpresulr /r политика будет отображаться как запрещенная

Чтобы запретить доступ к дополнительным компьютерам, достаточно добавить их в группу безопасности. Я считаю этот метод более удобным, чем перемещение компьютеров в разные подразделения.

Обзор

Принудительная блокировка экрана на корпоративных компьютерах — очень распространенное требование. Любая компания, которая проходит аудит, всегда будет спрашивать, действует ли эта политика, независимо от того, является ли она хорошей. Получайте удовольствие от этих исключений, ха.

Рекомендуемый инструмент: анализатор разрешений для Active Directory

Этот БЕСПЛАТНЫЙ инструмент позволяет мгновенно просматривать разрешения пользователей и групп. Быстро проверяйте разрешения пользователей или групп для файлов, сетевых ресурсов и общих папок.

Анализ разрешений пользователей на основе членства отдельного пользователя или группы.

Экран блокировки Windows 10 — групповая политика экрана входа в Pro Home

Хотел бы принудительно использовать определенный экран входа в систему (экран отображается на странице выбора пользователя).
Мой сценарий основан на Win 10 Pro и Home с 95 % Pro (рабочая группа).

Групповая политика:
Конфигурация компьютера\Административные шаблоны\Панель управления\Персонализация\Принудительное использование определенного изображения экрана блокировки по умолчанию

Но обратите внимание, что эта политика действительна только для выпусков Enterprise и Education: Есть мысли применить то же самое в Win 10 Professional?

2 ответа

Хорошо, спасибо за подтверждение того, что это невозможно/поддерживается в версиях Pro.

Согласно моему тесту на Windows 10 Pro 1809, это не работает после изменения этой групповой политики. Поэтому я боюсь, что это работает только для предприятий и образовательных учреждений, как это описано. проверьте, не работает на Windows 10 pro.

Возможно, вы могли бы рассмотреть возможность использования Desktop WallPaper, как указано в отмеченном ответе в следующей теме:
Изменение фонового изображения блокировки/входа в Windows 10 через GPO

Кстати, групповая политика недоступна для Windows 10 Домашняя, поэтому мы могли протестировать и применить ее на Windows 10 Pro.

===========================================
Если ответ полезен, нажмите «Принять ответ» и проголосуйте за него.
Примечание: следуйте инструкциям в нашей документации, чтобы включить уведомления по электронной почте, если вы хотите получать соответствующее уведомление по электронной почте для этой темы.< /p>

Спасибо за ответ, я могу исключить Windows 10 Home и сосредоточиться только на PRO.У меня версия 1909 и более поздние, и я хочу изменить экран блокировки/входа, а не обои рабочего стола.

Да, я точно знаю твое желание. Но он недоступен в Windows 10 Профессиональная через официальную меру, доступен только для Корпоративной и Образовательной.

В этой статье мы покажем, как настроить автоматическую блокировку экрана (сеанса) на компьютерах или серверах домена с помощью групповой политики. Блокировка экрана компьютера при неактивности пользователя (бездействии) является важным элементом защиты информации. Пользователь может забыть заблокировать свой рабочий стол (сочетанием клавиш Win+L), когда ему необходимо ненадолго покинуть рабочее место. В этом случае любой другой сотрудник или клиент, находящийся поблизости, может получить доступ к его данным. Политика автоматической блокировки экрана исправит этот недостаток. Через некоторое время бездействия (бездействия) рабочий стол пользователя будет автоматически заблокирован, и пользователю потребуется повторно ввести пароль домена, чтобы вернуться в сеанс.

Давайте создадим и настроим групповую политику домена для управления параметрами блокировки экрана:

  1. Откройте консоль управления групповыми политиками ( gpmc.msc ), создайте новый объект групповой политики (LockScreenPolicy) и свяжите его с корнем домена (или с подразделением пользователей);
  2. Отредактируйте редактирование политики и перейдите в раздел Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация;
  3. В разделе GPO есть несколько параметров для управления экранной заставкой и блокировкой экрана:
    • Включить заставку
    • Защита паролем заставки — предлагает ввести пароль для разблокировки компьютера.
    • Тайм-аут заставки — устанавливает время в секундах, по истечении которого будет включена заставка и компьютер будет заблокирован, если пользователь неактивен.
    • Принудительно использовать конкретную заставку — вы можете указать файл заставки, который будет использоваться. Чаще всего это scrnsave.scr (с помощью GPO можно сделать заставку слайд-шоу)
    • Запретить смену заставки: запретить пользователям изменять настройки заставки.
  4. Включите все политики и установите время простоя компьютера в политике тайм-аута экранной заставки. Я ввел 300. Это означает, что сеансы пользователей будут автоматически заблокированы через 5 минут;
  5. Подождите, пока параметры групповой политики не будут обновлены на клиентах, или обновите их вручную с помощью команды: gpupdate /force . После применения объекта групповой политики параметры экранной заставки и блокировки экрана будут защищены от редактирования в интерфейсе Windows, а сеансы пользователей будут заблокированы через 5 минут бездействия (для диагностики применения объекта групповой политики можно использовать инструмент gpresult и инструмент статью по этой ссылке).
  6. В Windows Server 2012/Windows 8 или более поздней версии существует отдельная политика безопасности компьютера, которая устанавливает время бездействия компьютера, по истечении которого он блокируется. Политика называется Интерактивный вход в систему: ограничение бездействия компьютера, и вы можете найти ее в разделе «Конфигурация компьютера» -> «Параметры Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Параметры безопасности».

    В некоторых случаях может потребоваться настроить разные политики блокировки для разных групп пользователей. Например, экраны офисных работников должны блокироваться через 10 минут, а экраны производственных или операторов SCADA никогда не должны блокироваться. Для реализации такой стратегии можно использовать фильтрацию безопасности GPO (см. пример с ограничением доступа к USB-устройствам с помощью GPO) или таргетинг на уровне элементов в GPP. Давайте изучим последний более подробно.

    Вы можете настроить параметры блокировки компьютера с помощью реестра вместо объекта групповой политики и развернуть соответствующие параметры реестра на компьютерах пользователей с помощью объекта групповой политики. Следующие параметры реестра соответствуют описанным выше политикам. Они расположены в HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:

    • Защита скринсейвера паролем — это параметр REG_SZ с именем ScreenSaverIsSecure = 1
    • .
    • Тайм-аут экранной заставки — это параметр REG_SZ с именем ScreenSaveTimeout = 300
    • .
    • Принудительная экранная заставка — это параметр REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr

    Создайте группу безопасности домена ( grp_not-lock-prod ), для которой вы хотите отключить политику блокировки экрана и добавить в нее пользователей. Создайте описанные выше параметры реестра в соответствующем разделе GPO (Конфигурация пользователя -> Настройки -> Параметры Windows -> Реестр). С помощью таргетинга на уровне элементов установите для каждого параметра, что политика не должна применяться для конкретной группы безопасности (пользователь не является членом группы безопасности grp_not-lock-prod ).

    Вам также потребуется создать 4 дополнительных параметра реестра со значением REG_SZ 0, которые принудительно отключат блокировку экрана для группы grp_not-lock-prod (в противном случае ваш объект групповой политики не перезапишет ранее установленные значения реестра).

    Экран блокировки домена по умолчанию в управлении групповыми политиками

    Привет. У меня возникла проблема с настройкой экрана блокировки в моем домене. Я создал образ и поместил его на один из общих сетевых дисков, который называется \\server\folder\folder\image.jpg (это пример пути, но с тем же форматированием.

    Я также создал и настроил параметры для нового объекта в разделе Объекты групповой политики --> Создать. Затем Политики --> Административные шаблоны --> Панель управления --> Персонализация (см. ниже)

    В этой части я немного запутался. Я знаю, что мне нужно связать объект групповой политики где-то в домене, но я не уверен, где именно. Должен ли я связать его напрямую с нашим доменом под domain.local (опять же, пример см. Скриншот). Или он должен идти по направлениям, где находятся рабочие станции? Я пробовал оба и сделал gpupdate/force на своем компьютере и перезапустил, но экран блокировки не меняется. Нужно ли перезапускать весь сервер, чтобы он вступил в силу? Я ценю любую помощь.

    Попробуйте изменить название изображения

    4 ответа

    Поскольку групповая политика находится в разделе «Конфигурация компьютера», мы должны связать объект групповой политики с организационными единицами, содержащими рабочие станции или уровень домена.
    Если вы свяжете объект групповой политики с уровнем домена, все рабочие станции в домене будут примените политику.
    Если вы свяжете объект групповой политики с уровнем OU, политика будет применяться только к рабочим станциям в OU, на рабочие станции, не входящие в OU, политика не повлияет.

    При редактировании объекта групповой политики и определении пути к образу введите полный путь и имя файла, в котором хранится экран блокировки по умолчанию и изображение для входа в систему. Вы можете ввести локальный путь, например C:\windows\web\screen\lockscreen.jpg, или путь UNC, например \\Server\Share\Corp.jpg.

    Затем на клиенте запустите cmd от имени администратора и введите команду:

    Gpresult /h report.html подтвердите, была ли применена политика.

    Если политика была применена в gpresult, зайдите в реестр и убедитесь, что строковое значение указывает правильный путь, по которому находится пользовательский образ.
    Hive HKEY_LOCAL_MACHINE
    Путь к реестру\ Policies\Microsoft\Windows\Personalization
    Имя значения LockScreenImage
    Тип значения REG_SZ

    Добро пожаловать, поделитесь здесь, если у вас есть прогресс.
    С уважением,

    Хорошо, я выполнил ваши инструкции и связал объект групповой политики со всем доменом, но проблема осталась. В отчете GP я нигде не вижу, чтобы политика применялась. Я бы предположил, что это в разделе «Настройки» -> «Настройки Windows»? Или в разделе «Прикладные объекты групповой политики»? Его тоже нет.

    Однако, когда я проверяю указанный вами путь реестра, я вижу, что LockScreenImage отображает правильный путь. Но когда я блокирую компьютер, я все еще получаю экран блокировки Windows Spotlight. Есть еще мысли?

    Спасибо за предоставленный сценарий. Машины в моей организации работают под управлением Windows 10 Professional. К сожалению, я просто местный ИТ-специалист и у меня нет опыта кодирования, поэтому я, честно говоря, понятия не имею, как отредактировать этот код, чтобы он работал, или как мне его реализовать. Возможно, вы знаете, какие значения мне нужно заменить и какими, чтобы я мог заставить это работать?

    Загрузите сценарий Powershell и сохраните его в удобном для вас месте.

    Вам не нужно ничего менять в сценарии. Когда вы развертываете объект групповой политики сценария запуска, нам просто нужно поместить в него различные параметры, как показано ниже (4 типа), вы можете выбрать один из них в качестве требования:

    Создайте объект групповой политики, свяжите его с OU, содержащей компьютеры
    В разделе «Конфигурация компьютера» -> «Политики» -> «Параметры Windows» -> «Сценарии (запуск / завершение работы)». Дважды щелкните его.
    Под сценарием Powershell нажмите «Добавить»

    Просто проверяю, была ли предоставленная информация полезной.

    Если ответ помог вам, не забудьте отметить его как ответ.
    Если нет, ответьте и расскажите нам о текущей ситуации, чтобы оказать дальнейшую помощь

    Где взять ссылку на скрипт ps1, который вы показали на картинке? Вы можете опубликовать это здесь?

    Читайте также: