Наша среда состоит из Active Directory 2003 года с долей клиентов XP и Windows 7 примерно на 50%. Наша политика безопасности гласит, что по умолчанию рабочий стол каждого пользователя должен блокироваться на 2 часа для заставки. Для избранных пользователей политика гласит, что их рабочие столы должны блокироваться через 15 минут после бездействия.
Мы применили двухчасовую политику, создав объект групповой политики и связав его с организационным подразделением. Это отлично работает для всех клиентов. При фильтрации безопасности объект групповой политики применяется ко всем прошедшим проверку пользователям.
Для 15-минутной блокировки заставки у нас есть тот же объект групповой политики и он привязан к домену, но на этот раз с помощью фильтрации безопасности мы применяем его только к определенной группе безопасности. Этот объект групповой политики работает неправильно.
В настоящее время мы не представляем, как реализовать или исправить 15-минутный GPO для блокировки заставки.
Порядок обработки групповой политики такой:
LSDOU = Локальный, Сайт, Домен, Организационная единица
Даже с фильтрацией безопасности параметр GPO в объекте GPO, привязанном к домену, переопределяется GPO, связанным в OU. Чтобы обойти это, вы можете связать 15-минутный GPO с OU с более низким порядком ссылок, или вы можете установить GPO на уровне домена как En Force.