Windows lock screen gpo — Ваш верный помощник с OS Windows

Общепринятые практики информационной безопасности требуют обязательной блокировки экрана компьютера при неактивности пользователя. Пользователь Windows может самостоятельно заблокировать экран компьютера (сочетанием клавиш Win+L). Но лучше внедрить групповую политику, которая обеспечит автоматическую блокировку экрана при бездействии на всех компьютерах домена.

Содержание:

Включить блокировка компьютера при неактивности с помощью групповой политики
Групповая политика с настройками скринсейвера для блокировки экрана пользователя

Включить блокировка компьютера при неактивности с помощью групповой политики

На уровне безопасности компьютера можно включить политику, которая требует от любого пользователя повторно выполнить аутентификацию (ввести пароль) после заданного периода неактивности.

1. Откройте консоль управления доменными политиками Group Policy Management console (
  gpmc.msc
  ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с компьютерами на которых вы хотите применить политику блокировки);
  
  Картинка с сайта: winitpro.ru
2. Перейдите в раздел Computer Configuration -> Policies-> Windows Settings -> Security Settings -> Local Policies -> Security Options;
3. В параметре Interactive logon: Machine inactivity limit задайте через сколько секунд неактивности нужно заблокировать компьютер. Например, чтобы блокировать компьютер через 5 минут, задайте здесь 300;
  
  Картинка с сайта: winitpro.ru
4. Для применения новых настроек групповых политик нужно перезагрузить компьютеры. Теперь ваши компьютеры будут автоматически блокироваться после неактивности, отключения дисплея (задается в настройках электропитания, или при запуске скринсейвера).

Эта GPO изменяет значение параметра реестра InactivityTimeoutSecs в ветке HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System. Если значение этого параметра – 0, значит рабочий стол компьютера не будет блокироваться.

С помощью GPO Security Filtering вы можете задать список компьютеров, на которые не применяется политика блокировки экрана.

Создайте в AD группу безопасности NoLockComputers и добавьте в нее учетные записи компьютеров, которые не должны блокироваться;
В консоли GPMC выберите вашу политику, перейдите на вкладку Delegation и нажмите кнопку Advanced;
Добавьте группу безопасности, которую вы создали, и задайте для нее Deny в поле Apply group policy;

Картинка с сайта: winitpro.ru
Теперь экраны компьютеров в этой группе не будет блокироваться автоматически.

Групповая политика с настройками скринсейвера для блокировки экрана пользователя

С помощью параметров скринсейвера Windows можно также внедрить политику автоматической блокировки экрана у пользователей. Такую политику можно применить на пользователей (а не на компьютеры).

Создайте GPO и назначьте ее на OU с учетными записями пользователей;
Отредактируйте политику и перейдите в User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:

Enable screen saver — включить экранную заставку;
Password protect the screen saver — требовать пароль для разблокировки компьютера;
Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер (чтобы автоматически блокировать экран через 5 минут, укажите здесь 300);
Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это
scrnsave.scr
( подробнее о настройке экранной заставки с помощью GPO);
Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.

Картинка с сайта: winitpro.ru

Дождитесь обновления настроек групповых политик на клиентах или обновите их вручную командой (
gpupdate /force
).
После этого настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя будет автоматически блокироваться после 5 минут неактивности и запускаться пустая экранная заставка. Настройки блокировки будут применяться как к консольным сессиям пользователей, так и к RDP сеансам на RDS серверах.

Чтобы разблокировать компьютер, пользователю нужно нажать Ctrl+Alt+End, щелкнуть по экрану или нажать любую клавишу (в зависимости от версии Windows) и ввести пароль.

Если вам нужно настроить разные параметры блокировки экрана для разные групп пользователей, можно использовать GPO Security Filtering (как указано выше), или внедрять параметры блокировки через реестр. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда

Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:

Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Вы можете с помощью GPO распространить нужные значения параметров реестра на разные группы пользователей.

Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

отключить блокировку экрана политикой для определенных пользователей

Также придется создать еще 4 параметра реестра со значениями REG_SZ 0, которые принудительно отключают блокировку экрана для группы SPB-not-lock-desktop (иначе, политики не будут перезатирать установленные ранее значения).

Источник

In this guide, you will learn how to use group policy to create a lock screen policy. In addition, I’ll show you how to disable (exclude) the lock screen policy from specific users and computers.

In this example, I’ll create a policy that locks the screen after 15 minutes of activity. You can change the timeout settings to whatever meets your needs. This guide will work on Windows 10, Windows 11, Server 2012, and later operating systems.

Table of Contents

How to Enable Lock Screen GPO
- Step 1. Determine GPO Location
- Step 2. Create a New GPO
- Step 3. Apply the Lock Screen GPO
How to Verify the Lock Screen GPO is Applied
How to Disable the Lock Screen for specific computers

How to Enable Lock Screen GPO

Step 1. Determine GPO Location

The lock screen policy is a computer policy, this means anyone who logs into the computer will get the lock screen policy applied. Later I will show you how to exclude specific computers from the policy.

It’s best to apply this policy to all computers but there will always be exceptions. I’ve had requests to exclude conference room computers, computers that are used for 24/7 monitoring, then of course there are always a few users that complain and want it disabled. These requests should all be approved by upper management.

Depending on your OU structure you could apply the GPO to the root and let the sub OUs inherit the policy or you could apply the policy to specific OUs.

In this example, I want the policy to apply to all computers so I’m going to link the GPO to my ADPRO Computers OU. All the sub-OUs will inherit the policy. In step 4, I’ll show you how I exclude specific computers from the policy.

Step 2: Create a New GPO

Do not add these settings to the default domain policy. It is group policy best practice to not modify the default domain policy and instead create a new one.

1. Open the group policy management console

2. Right Click “Group Policy Objects” and click new

Give the new GPO a name. For example, I named my GPO “Computer – Lock Screen”.

The GPO is created but now we need to set the idle timeout settings.

There is only one group policy setting that needs to be set. It is the “Interactive Logon: Machine inactivity limit”

Browse to -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options

Group Policy setting to lock screen after idle for 15 minutes

Change the value to whatever you want. I set mine to 900 seconds which is 15 minutes.

Step 3: Apply the Lock Screen GPO

The GPO is created and the policy settings have been enabled. Now you just need to link the GPO to the correct OU.

Since this is a computer policy you must apply the GPO to an OU that contains computer accounts. If you apply the GPO to an OU with users only the lock screen will not work.

1. In the group policy management console right-click an OU and select “Link an Existing GPO:

2. Select the GPO you created in step 2 and click OK.

The GPO is now linked.

The GPO refresh interval is 90 minutes on a computer. So keep in mind it could take up to 90 minutes before this policy gets applied to all computers. You can instantly refresh this by rebooting the computer or running the gpupdate /force command.

Above is a screenshot showing the GPO linked to my ADPRO Computers OU. All of the sub-OUs will inherit this policy. So computers in the Accounting, HR, and IT OU will get the lock screen GPO applied.

How to Verify the Lock Screen GPO is applied

To verify the GPO is applied to a computer you can use the gpresult /r command. You will need to open the Windows command prompt as administrator or it can fail to pull the computer policies.

You can see above the “Computer – Lock Screen” GPO is applied to this computer.

How to Disable the Lock Screen for Specific Computers

Let’s say you have the lock screen GPO applied to all computers but now you need to disable it on specific computers.

There are two options:

Option 1: Move the computers into a new OU and not link the GPO to this OU. This works and I’ve used this method for several clients.
Option 2: Create a security group, add the computers, and deny the policy from applying to this group. This is my preferred method as I think it prevents moving computers around between OUs.

I’m going to show you option 2.

1. Create a security group and add the computers that you want the lock screen policy disabled on. It’s very important to name the group with a descriptive name and use the description box.

2. Go into the group policy management console, select the GPO click the delegation tab then click Advanced.

3. With the security settings windows open click on Add

4. Add the security group and click ok

5. Make sure Read is set to “Allow” and Apply group policy is to “Deny”.

That should do it. The computers in your deny group will need to be rebooted.

When you check a computer with the gpresult /r command the policy will show as denied

Verify the lock screen policy is denied with the gpresult command

To deny any additional computers all you have to do is add them to the security group. I find this method more convenient than moving computers around to different OUs.

Download a free trial and create your own GPO reports.

Enforcing the lock screen on company computers is a very common requirement. Any company that gets audited will always get asked if this policy is in place, regardless it’s a good policy to have in place. Have fun with those exclusions.

Remove Local Admins Rights with Group Policy
Restrict Control Panel Access using Group Policy
Important Group Policy Settings for Security

Источник

Централизованная настройка экрана блокировки и плана электропитания операционных систем

Время на прочтение14 мин

Количество просмотров123K

Одна из возможностей, которой славится новейшая клиентская операционная система от Microsoft, – это возможность кастомизации фона экрана блокировки компьютера, чего так не хватало в предыдущих операционках, из-за чего пользователям приходилось изобретать различные твики и, в большинстве случаев, использовать сторонние программные продукты, которые, между прочим, могли даже принести вред самому рабочему месту пользователя. Думаю, многие помнят, что если вы не хотите использовать какое-либо стороннее программное обеспечение, то нужно было для решения такой задачи в той же Windows 7 вносить изменения в параметры реестра OEMBackground и UseOEMBackground, создавать картинки с определенными разрешениями экрана и определенными наименованиями и помещать их в папку C:\Windows\System32\oobe\info\backgrounds. Короче говоря, весьма утомительная процедура для какой-то мелочи, без которой, по большому счету, можно было бы и прожить.
Собственно, теперь в Windows 8 можно в разы проще изменять изображения экрана блокировки системы, и это может выполнить, грубо говоря, любой пользователь, включая тех, которые боятся даже подходить к компьютерам. То есть для этого на том же начальном экране нужно перейти по ссылке «Сменить аватар», а затем в группе «Экран блокировки» указывается требуемая картинка. Другими словами, 4 клика, не считая поиска самой картинки. Ну проще некуда. Но, опять же, даже здесь есть одно маленькое ограничение. По дефолту операционная система отображает экран блокировки только лишь 1 минуту, а затем экран гаснет, причем не имеет значения, работаете вы от батареи или от сети. И, к сожалению, по умолчанию просто невозможно найти каких-либо опций, снимающих данное ограничение.
Здесь, естественно, может возникнуть следующий вопрос: «А могу ли я как-то снять такое ограничение и добавить опцию в GUI?». Этим мы в данной статье и займемся. Но чтобы было все интереснее, сделаем все централизовано для каждого пользователя, то есть средствами групповой политики. Ну что же, приступим.
В связи с тем, что решение поставленной задачи будет выполняться средствами групповой политики, можно еще и сделать так, чтобы картинка устанавливалась для пользователя самостоятельно.
Итак, далее по программе:

Настройка картинки экрана блокировки;
Обнаружение параметра, отвечающего за время ожидания до отключения экрана блокировки;
Настройка такого параметра;
Тестирование получившихся результатов.

Начинать мы сейчас будем по порядку, а именно с

Настройки картинки экрана блокировки

Естественно, сейчас нас пользовательский интерфейс, то есть те четыре клика, о которых я сказал еще во введении, не сильно интересует, а это означает, что мы будем изменять само изображение средствами функциональных возможностей групповой политики.
В последних клиентских и серверных операционных системах от Microsoft, конечно же, появились новые параметры политики в административных шаблонах, используемые лишь для последних функциональных возможностей, и к одному из таких параметров относится параметр, отвечающий за применение настраиваемого изображения экрана блокировки. Что же для этого следует сделать? Сейчас для выполнения такого изменения выполним следующие действия:

В оснастке «Управление групповой политикой» нужно создать новый или выбрать существующий объект групповой политики, связать его с подразделением, в которое входят ваши целевые компьютеры, а затем открыть для него редактор управления групповыми политиками;
В отобразившейся оснастке следует перейти к узлу Конфигурация компьютера\Политики\Административные шаблоны\Панель управления\Персонализация (Computer Configuration\Policies\Administrative Templates\Control Panel\Personalization) и выбрать параметр политики «Применение специального изображения экрана блокировки по умолчанию» (Force a specific default lock screen image);
Теперь в отобразившемся диалоговом окне останется лишь установить переключатель на опцию «Включено», а далее уже в соответствующем текстовом поле нужно будет указать локальный или UNC-путь к требуемому изображению.
На этом этапе, ввиду того, что у каждого пользователя однозначно не будут располагаться одни и те же требуемые изображения в определенной папке, вы можете выбрать один из двух следующих вариантов:
- Можно указать UNC-путь для изображения, которое располагается, скажем, на выделенном файловом сервере, и пользовательские компьютеры будут его загружать при выполнении групповой политики;
- Можно средствами предпочтений групповой политики один раз скопировать конкретное изображение в библиотеку изображений пользователей, у которых установлена исключительно операционная система Windows 8, а в соответствующем текстовом поле уже использовать локальный путь к файлу.
Так как в статье будет еще рассмотрено много различных нюансов, остановимся на первом варианте с UNC-путем. Например, как видно на следующей иллюстрации, это будет путь \\SERVER02\Img\LockScrn\IM3.jpg:

Картинка с сайта: habr.com

Рис. 1. Диалоговое окно параметра политики, отвечающего за изображения экрана блокировки

В принципе, на этом данная фаза подходит к концу. То есть сразу после того, как пользовательский компьютер перезагрузится, у него на экране блокировки будет фигурировать новое изображение.

Поиск параметра, отвечающего за время ожидания до отключения экрана блокировки

В первую очередь, если вам не удалось обнаружить требуемый параметр политики среди доступных административных шаблонов, следует постараться найти подходящий параметр в системном реестре операционной системы, позволяющий изменить определенный компонент системы на компьютере. Каким образом это обычно делается? Естественно, для организации такой задачи следует проводить некоторый мониторинг реестра при изменении такого параметра. То есть берется, например, та же утилита Марка Руссиновича Process Monitor, настраивается фильтрация для вывода требуемых записей, например, в большинстве случаев это будут операции RegCreateKey и RegSetValue для определенного PID-а или имени процесса. В некоторых случаях, естественно, требуется следить за операциями, позволяющими удалять конкретные параметры из разделов реестра. После этого, естественно, среди выведенной информации нужно будет локализовать требуемые записи в реестре, еще раз протестировать эти же параметры, но уже в открытом редакторе реестра, и, собственно, сам твик уже будет практически готов. Останется только лишь каким-то способом распространить такой параметр на ваших пользователей или на их компьютеры. Распространенных способов, в принципе, не так уж и мало, а точнее три: путем создания reg-файла и его распространения средствами сценариев входа или автозапуска, путем написания своего собственного, скажем, кастомного административного шаблона, а также путем настройки элемента предпочтения реестра непосредственно из редактора управления групповыми политиками. Между прочим, в большинстве случаев целесообразно применять последние два способа.
Однако, в этом частном случае невозможно применить мониторинг реестра, так как искомый параметр попросту отсутствует в графическом интерфейсе. Остается только лишь искать такой параметр в редакторе реестра вручную. Поначалу может показаться, что такая задача из разряда «Миссия невыполнима», однако на деле все оказывается куда проще.
Смотрите, так как логичнее всего, если параметр, отвечающий за время ожидания до отключения экрана блокировки будет находиться в диалоге дополнительных параметров электропитания, изменяться будет параметр, который отвечает за компоненты панели управления. Этот параметр должен отображаться у любого пользователя на компьютере, следовательно, его нужно будет искать в корневом разделе HKEY_LOCAL_MACHINE. В принципе, это уже сужает круг поиска.
Смотрим дальше. В разделе HKLM также можно легко запутаться, так как там множество разделов, где мог бы «жить» наш параметр. Куда же нужно смотреть? Мы изменяем параметр из панели управления – значит, нам следует искать его в разделе SYSTEM. Далее, если немного начать исследовать содержимое системного реестра операционных систем Windows, то стает понятно, что большинство параметров панели управления находятся в разделе CurrentControlSet\Control.
Теперь из всего множества разделов реестра у нас осталось для поиска требуемого(ых) параметра всего до тысячи разделов. Но это все равно много, и никто не будет пересматривать каждый доступный раздел и параметр. Но тут все оказывается проще, чем может показаться на первый взгляд. Можно найти такой раздел, как Power, который, очевидно, отвечает именно за параметры электропитания. Ну а за сами параметры электропитания уже, как можно предположить, отвечает раздел PowerSettings. Таким образом, мы уже пришли к разделу, в котором находятся все возможные параметры электропитания операционных систем Windows. Осталось дело за малым – найти правильный раздел, а затем локализовать специальный параметр.
В разделе PowerSettings каждый дочерний раздел, представленный в буквенно-цифровом формате, отвечает за группу параметров диалогового окна дополнительных параметров электропитания. Другими словами, нам нужно попробовать найти правильный раздел. Каким образом это можно сделать? На самом деле, здесь тоже все очень просто. Для каждого дочернего раздела можно локализовать параметр, который называется Description. Опять же, если немного логически подумать, то параметр, отвечающий за затухание экрана должен быть в диалоговом окне в группе «Экран». Значит, локализовав раздел с описанием «Video and Display power management settings and configurations» можно предположить, что мы нашли нужный раздел. Это будет раздел 7516b95f-f776-4464-8c53-06167f40cc99.
Последнее, что осталось сделать – это найти раздел, отвечающий за требуемый параметр из раздела экрана. Благо, здесь осталось только лишь 10 дочерних разделов, и много времени эта процедура у нас не займет. Здесь у каждого раздела также есть параметры Description, где можно узнать, за что конкретно будет отвечать полученный параметр. Возьмем для примера первый раздел, то есть раздел 17aaa29b-8b43-4b94-aafe-35f64daaf1ee. При помощи описания раздела можно сразу понять, что этот раздел отвечает за параметр «Гасить экран после», так как описание «Specify how long your computer is inactive before your display dims» можно перевести как «Укажите, как долго у неактивного компьютера не будет гаситься экран». Здесь обратим внимание на то, что у этого раздела значением параметра Attributes является двойка. Можно сделать следующий вывод: каждый раздел, у которого значение параметра Attributes будет 0x00000002, отвечает за параметр, который будет отображен в GUI. Следовательно, нам нужно искать раздел, у которого значение этого параметра будет равняться единице.

Рис. 2. Требуемый раздел системного реестра
Это уже намного проще, так как таких разделов всего лишь 5. Получается, требуемый раздел – это раздел 8EC4B3A5-6868-48c2-BE75-4F3044BE88A7, так как у него значение атрибутов – 1, да и описание подходящее. Изменим значение параметра Attributes на 2 и проверим, изменилось ли что-то в GUI.
Как видно на следующей иллюстрации, в нашем диалоговом окне появился новый параметр, который называется «Время ожидания до отключения экрана блокировки консоли». То есть мы нашли искомый раздел, а также изменяемый параметр!

Рис. 3. Диалоговое окно дополнительных параметров электропитания с новым параметром
Получается, требуемый раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power\PowerSettings\7516b95f-f776-4464-8c53-06167f40cc99\8EC4B3A5-6868-48c2-BE75-4F3044BE88A7, а необходимый параметр – Attributes.
Помимо этого параметра нам также нужно будет предопределить его значения за конечного пользователя, так как не факт, что пользователи вообще будут заглядывать в настройки электропитания. Тут все также просто.
В разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power можно локализовать дочерний раздел, отвечающий за настройки параметров плана электропитания. Это раздел \User\PowerSchemes, в котором можно найти несколько нечитаемых разделов, каждый из которых отвечает за конкретный план электропитания.
Например, в данном примере мы будет работать с планом электропитания «Сбалансированный», за значения параметров которого отвечает дочерний раздел 381b4222-f694-41f0-9685-ff5bb260df2e.
Структура этого раздела следующая: в нем находятся дочерние разделы с настраиваемыми параметрами. Другими словами, если мы будем предопределять значения найденного параметра, то здесь должны быть разделы 7516b95f-f776-4464-8c53-06167f40cc99\8EC4B3A5-6868-48c2-BE75-4F3044BE88A7.
Какие именно параметры тут должны быть настроены? Если посмотреть на значения для опции «Гасить экран после», то здесь можно найти два параметра: ACSettingIndex и DCSettingIndex. Здесь в шестнадцатеричном формате должны указываться значения для работы параметра от батареи и от сети. За работу от батареи отвечает параметр DCSettingIndex, а от сети – ACSettingIndex.
Теперь точно мы нашли все, а это означает, что мы можем переходить к следующей фазе – к распространению параметра средствами функциональных возможностей групповой политики.

Распространение параметров средствами GPO

Распространение параметров средствами групповой политики в данном примере целесообразнее всего выполнять при помощи создания элементов предпочтений групповой политики. Чтобы не писать множество бесполезных предложений, без которых можно обойтись, пожалуй, сразу перейду к сути.
Для бОльшего удобства, изменять найденные параметры будем для всех пользователей – обладателей операционных систем Windows 8 во всей организации. Итак, чтобы распространить значения найденных параметров реестра на целевые компьютеры пользователей, выполним следующие действия:

Для начала следует в оснастке «Управление групповой политикой» создать новый объект групповой политики, например, «New Power Settings», и привязать его ко всему домену. После этого можно переходить к самому редактору управления групповыми политиками;
В отобразившейся оснастке следует развернуть узел Конфигурация компьютера, а затем перейти к узлу Настройка\Конфигурация Windows и выбрать узел «Реестр» (Computer Configuration\Preferences\Windows Settings\Registry).
Так как параметры реестра, отвечающие за дополнительные параметры электропитания можно отнести к одной конкретной категории, имеет смысл для таких создаваемых параметров создать отдельную коллекцию, используемую для группировки таких параметров. В принципе, целесообразно создавать такие коллекции в том случае, если один объект групповой политики будет включать в себя сразу множество параметров системного реестра. Для этого щелкните на узле «Реестр» правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать», а затем «Элемент семейства» (New > Collection Item). В дереве консоли будет создана папка с именем «Коллекция». Можно такую коллекцию переименовать, например, в «Power Settings», и затем нажать на клавишу Enter. Коллекция изображена на следующей иллюстрации:

Картинка с сайта: habr.com

Рис. 4. Элемент коллекции реестра предпочтений групповой политики
Теперь, чтобы, наконец-то создать элемент реестра, перейдите в созданную вами ранее коллекцию, нажмите на созданной вами папке правой кнопкой мыши и из контекстного меню последовательно выберите команды «Создать» и «Элемент реестра» (New > Registry Item);
Теперь, как видно на следующей иллюстрации, в отобразившемся диалоговом окне «Новые свойства реестра», на вкладке «Общие» (General), вы можете выбрать одно из четырех стандартных действий:
- Создать (Create) – создание нового параметра или раздела реестра;
- Заменить (Replace) – удаление с последующим созданием существующего параметра или раздела реестра со всеми вложенными параметрами и дочерними подразделами;
- Обновить (Update) – обновление определенных в элементе предпочтения параметров реестра без удаления последних;
- Удалить (Delete) – удаление указанного параметра или раздела реестра.
Картинка с сайта: habr.com

Рис. 5. Раскрывающийся список действий создаваемого элемента предпочтений групповой политики
Следует отметить, что по умолчанию выбрано действие «Обновить», которое лучше всего оставлять нетронутым в большинстве сценариев работы с текущим элементом предпочтения GPO.
После того, как вы выберете нужное действие, вам еще предстоит указать в новом элементе предпочтения раздел системного реестра, параметр, а также его значение.
В раскрывающемся списке «Куст:» (Hive) выберите куст реестра, в котором находится параметр, подлежащий изменению. Вы можете выбрать любой из пяти доступных и, полагаю, известных вам кустов системного реестра. Стоит обратить внимание на то, что, так как изначально элемент предпочтения создавался в разделе «Конфигурация компьютера», в раскрывающемся списке по умолчанию будет выбран раздел «HKEY_LOCAL_MACHINE» (в противном случае был бы выбран раздел HKEY_CURRENT_USER);
Текстовое поле «Путь реестра» (Key Path) позволяет вам указать раздел, содержащий требуемый параметр реестра. Следует помнить, что в данном текстовом поле вам не нужно указывать куст, а также не нужно указывать слеш перед родительским разделом, так как в противном случае раздел не будет найден. Например, в данном случае следует указать раздел SYSTEM\CurrentControlSet\Control\Power\PowerSettings\7516b95f-f776-4464-8c53-06167f40cc99\8EC4B3A5-6868-48c2-BE75-4F3044BE88A7.
В группе «Имя параметра» (Value name) вы можете указать параметр, который будет подлежать изменениям. В том случае, если вы изменяете параметр «По умолчанию» (@), установите флажок на одноименной опции. Так как в большинстве случаев не требуется менять параметр по умолчанию, вы можете самостоятельно ввести имя параметра в соответствующее текстовое поле. В нашем случае, параметр – Attributes.
К этому же параметру можно получить доступ, нажав на соответствующую кнопку, которая расположена около текстового поля пути раздела реестра. При помощи отобразившегося диалогового окна «Браузер элементов реестра» (Registry Item Browser) можно легко локализовать требуемый раздел, не вводя его вручную, причем при помощи него также можно выбрать требуемый параметр. Диалоговое окно браузера элементов можно увидеть ниже:

Картинка с сайта: habr.com

Рис. 6. Диалоговое окно «Браузер элементов реестра»
Вернемся к предыдущему диалоговому окну. Раскрывающийся список «Тип параметра» (Value type) позволяет вам выбрать необходимый тип параметра. Несмотря на то, что в общей сложности насчитывается 15 типов данных, в большинстве случаев используются только параметры типа REG_DWORD, REG_BINARY, а также REG_SZ. Здесь мы укажем значение DWORD;
Последнее текстовое поле доступное на этой вкладке, — поле «Значение» (Value data) – позволяет вам указать значения для выбранного параметра системного реестра. У нас будет значение 00000002.

Картинка с сайта: habr.com

Рис. 7. Диалоговое окно свойств создаваемого элемента предпочтения

Можно сохранять изменения. Сейчас осталось создать еще целых 2 параметра реестра. Приступим.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power\User\PowerSchemes\381b4222-f694-41f0-9685-ff5bb260df2e\7516b95f-f776-4464-8c53-06167f40cc99\8ec4b3a5-6868-48c2-be75-4f3044be88a7]

«DCSettingIndex»=dword:000004b0
«ACSettingIndex»=dword:00000258

Окно оснастки редактора управления групповыми политиками с созданными тремя элементами отображено на следующей иллюстрации:

Рис. 8. Оснастка GPME с созданными элементами предпочтений
Теперь, согласно условию, нам следует еще каждому элементу предпочтения указать, что он должен применяться только лишь для компьютеров с операционными системами Windows 8. Что для этого нужно сделать…
В диалоговом окне свойств каждого созданного ранее элемента предпочтений следует перейти ко вкладке «Общие параметры» (Common), где нужно установить флажок на опции «Нацеливание на уровень элемента» (Item-level targeting), а затем нажать на соответствующую кнопку. В диалоговом окне редактора нацеливания, из раскрывающегося списка «Создать элемент» (New Item) выберите элемент «Операционная система» (Operating system). Для этого элемента настроек совсем уж немного, а именно: выберите из раскрывающегося списка «Продукт» операционную систему «Windows 8», из раскрывающегося списка «Выпуск» укажите требуемую редакцию, например, «Enterprise», и все. У вас фильтрация уже настроена, и элемент предпочтений будет распространяться только лишь на компьютеры, у которых установлена операционная система Windows 8.
Диалоговое окно редактора нацеливания для обсуждаемого только что элемента предпочтения изображено ниже:

Рис. 8. Окно редактора нацеливания на уровень элемента

Тестирование получившихся результатов

Осталось самое важное – проверить, что мы смогли сделать для конечного пользователя за все это время. Другими словами, у нас с вами должна автоматически установиться картинка для экрана блокировки, должен появиться в диалоговом окне свойств дополнительных параметров электропитания новый параметр, а также для этого параметра должны измениться настройки, указанные по умолчанию. Значит, настало самое время все это дело проверить.
На клиентском компьютере при помощи команды gpupdate с параметрами /force и /boot обновим параметры политики и для уверенности перезагрузим сам компьютер. После перезагрузки на экране блокировки экрана должна уже красоваться новая картинка. Если что-то случилось не так, следует сперва проверить, применился ли параметр при помощи результирующей групповой политики, а также удостовериться в том, что в самом параметре политики были указаны правильные параметры. В противном случае, все должно быть настолько хорошо как можно заметить по следующей иллюстрации:

Рис. 9. Экран блокировки на целевом компьютере
Теперь по следующему моменту: у нас в диалоговом окне настройке электропитания, в категории параметров экрана, должен появиться новый параметр, причем для такого плана как «Сбалансированный» должны уже быть указаны предустановленные правильные, на наш взгляд, значения. Естественно, есть смысл проверить, так ли оно есть. Для начала можно попробовать открыть редактор реестра и в нем проверить 3 искомых параметра. Если с ними все в порядке, тогда практически можно ни о чем не беспокоиться. Но, все-таки необходимо перейти и к самому диалоговому окну параметров этого плана электропитания и проверить, все ли так хорошо, как нам хотелось бы. Как видно на следующей иллюстрации, действительно, параметры были правильно определены, и сейчас все красиво (так как скриншот создавался не на ноутбуке, значение параметра «от батареи» попросту отсутствует):

Рис. 10. Новые дополнительные параметры плана электропитания

Так вот…

О чем же вы узнали за время прочтения текущей статьи? В этой статье я рассказал о том, каким образом можно выполнить несколько операций, а именно: как можно централизованно установить пользовательское изображение на экран блокировки операционных систем Windows 8, как можно локализовать дополнительные параметры плана электропитания, которые изначально отсутствуют в пользовательском интерфейсе, а также о том, как же вы можете включить их и настроить сразу на множестве компьютеров непосредственно при использовании функциональных возможности групповой политики. Я надеюсь, что данная статья была для вас интересной и вы из нее вынесли для себя что-то полезное.
И, наконец, коллеги, у меня к вам есть небольшой вопрос: возникала ли у вас потребность в локализации каких-либо дополнительных параметров электропитания, и каким образом вы выполняете мониторинг и распространение параметров, которые можно найти в системном реестре, но которые отсутствуют в наборе стандартных административных шаблонов?

Источник

It’s a best practice to lock your computer when you step away from your desk, even if it’s just for a short time, by pressing Win + L. However, not everyone follows this practice, which can leave your computer unprotected.

To address this, you can create a Group policy object in active directory that will automatically lock your workstation after a specified period of inactivity, anywhere from 1 second to a maximum of 86,400 seconds (24 hours). Let’s see the steps on how to configure this.

Option 1: Create a Screen Saver GPO to Lock Computer Screen

We will be creating a GPO using screen saver settings available under User configuration node. Therefore, once this GPO is created, you can link it to an OU containing users. However, If you want to link this GPO to an OU containing computers, then you need to enable loopback processing mode and set it to merge in the same policy.

Login to a Domain controller and Open Server Manager.
Click on Tools and click on Group Policy Management [gpmc.msc].

Right-click on Group Policy Objects > Click on New.

Provide a Name of the GPO. For Example Workstation_AutoLock_Policy. Click on OK.

Right-click on Workstation_AutoLock_Policy and click on Edit.

Create a Group Policy Object

Navigate to User Configuration > Policies > Administrative Templates > Control Panel > Personalization and Enable below settings:
- Enable Screen Saver: Enabled
- Password Protect the screen saver: Enabled
- Screen Saver timeout: Enabled (Provide the timeout value in seconds. For Example: To activate the lock screen after 20 minutes of Idle time, provide a value of 1200).

Registry key on target computer for screen saver configuration settings: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop

Enable Screen Saver settings in GPO to lock computer screen

Please note that we have configured the settings in User Configuration node of the group policy. Therefore, you can simply link this GPO to an OU containing users and that will work fine. However, If you want to link this GPO to an OU containing workstations, then you will need to configure loopback processing mode in the same GPO and set it to Merge.

To configure loopback processing mode, Go to Computer Configuration > Policies > Administrative Templates > System > Group Policy > Configure user Group Policy loopback processing mode: Enabled, Mode: Merge.

We will be linking this GPO to Workstations OU. Right-click on the OU and then select Link an Existing GPO.

Select the Workstation_AutoLock_Policy and click on OK.

Workstation_AutoLock_Policy is now linked to the workstations OU.

Option 2: Interactive Logon GPO to Lock Computer Screen

There is another option to lock computer screen by using a group policy. This time we will be using a setting called Interactive logon: Machine inactivity limit which is available in the Computer configuration node. Therefore, once the GPO is created, you need to link it to an OU containing computers. A reboot of the target computers will be required to apply this policy.

Initial steps for creating a GPO will remain the same, we will use the same naming convention to create a GPO for demonstration purpose. You can refer to the above screenshots for guidance on creation of a GPO.

Login to a Domain controller and Open Server Manager.
Click on Tools and click on Group Policy Management (gpmc.msc).
Right-click on Group Policy Objects > Click on New.
Provide a Name of the GPO. For Example Workstation_AutoLock_Policy. Click on OK.
Right-click on Workstation_AutoLock_Policy and click on Edit.
Navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.
Configure the policy setting Interactive logon: Machine inactivity limit and provide the value of Idle time or Inactivity after which the machine will be locked. The value is in seconds, therefore for automatically locking the machine after 20 minutes, I have provided 1200 seconds.

Interactive logon: Machine inactivity limit

Link this GPO to an OU containing Computers and restart the target computers for applying this policy.

After this policy is applied, it will create a registry entry under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System named InactivityTimeoutSecs with the value configured in the GPO. If this registry entry is set to 0, system will not be locked out.

Note

Deny Lock Computer Screen Policy to Some Users

When you link the GPO to an OU, it will apply to all objects in that OU. For example, If you link the GPO to an OU containing users, then lock screen policy will apply to all users in that OU.

You can exclude certain users from this policy. The best way to do it is by creating an AD security group specifically for excluding users from this GPO (e.g. exclude_lock_screen_policy) and Deny permission in the GPO. Let’s check the steps:

Create a Global security group in AD called exclude_lock_screen_policy and add users or computers which you want to exclude from this policy.

It’s recommended to add computers into this group if the GPO is created using computer configuration node and linked to Workstations OU. Add users into this group, If you have created a GPO based on user configuration settings and linked to an OU containing users.

Select the GPO (e.g., Workstation_Autolock_Policy) > Delegation > Advanced.
Add the AD security group, select the group and set its permission to Deny. Click on OK to save (refer to below screenshot).

Deny Lock Computer Screen Policy to Some Users

End User Experience

To apply the GPO, a reboot of the target device is recommended. After successful implementation, users will see a lock screen when the idle time reaches as per the duration specified in the Screen Saver timeout setting or Machine inactivity limit value.

If you encounter any issues with the GPO, you can resolve it by opening a command prompt with administrator privileges and running the gpupdate /force command. You can also check if the group policy has been applied on the device by using resultant set of policy (rsop.msc).

Press Win + R keys to open the Run dialog box.
In the Run box, type rsop.msc and press Enter.
Navigate to the same folder as configured in the GPO to find the configured setting on the device.

Источник

If you are a small business or a company that is licensed for Window 10 Professional as opposed to Windows 10 Enterprise, there are some major differences in functionality. Particularly, enterprise functionality. In this post, we are going to talk about a simple Group Policy Object (GPO) to set the Windows 10 Lock Screen. There is an actual GPO to set the lock screen on your Windows 10 desktops (if you are licensed and running Windows 10 Enterprise as your desktop operating system). However, if you are running Windows 10 Professional, this policy will not work!

However, there is a way to configure Windows lock screen on Windows 10 Professional computers. This can be done by changing the proper registry keys.

Why would anyone want to change the Windows 10 lock screen via GPO anyway? Well, on occasion, your Marketing/HR teams might want to communicate specific events via a Windows 10 lock screen image. For example, they might want to remind associates to enroll for their benefits or maybe the company wants to display the company goals or perhaps it might be something as simple as display the company logo and colors. Whatever the reason, you can do this WITHOUT having Windows 10 Enterprise as your operating system.

Below are the instructions for setting and deleting the group policy that controls the lock screen.

Group Policy Name = Lock_Windows_Screen_Mktg
Configuration (User/Computer) = Computer

Steps to push Enable Lock Screen with new image

Copy the image to a central repository that everyone has READ permissions. Ideally, you’d like to use DFS to distribute the image to local servers throughout your organization. (i.e. \\server\images\lockscreen,jpg)
Create the GPO, name it whatever you want (i.e. Lock_Windows_Screen_Mktg). This will be a Computer GPO. In Computer Configuration, navigate to Preferences/Windows Settings/Registry
Configure the following 4 registry entries. Please note the Action for each registry:
LockScreenImagePatch: Action=Replace
LockScreenImageStatus: Action=Create
LockScreenImageUrl: Action=Replace
PersonalizationCSP: Action=Create