Назад | Перейти на главную страницу

Использование GPO для блокировки рабочих станций Windows 7, но у меня не работает

Наш DC - это Windows server 2008 R2, а наши рабочие станции в нашей компании - это Windows 7. Я пытаюсь настроить GPO, который будет автоматически блокировать рабочие станции через заданное время (без заставки - просто заблокируйте их). Я нашел в Интернете и на этом сайте всевозможную информацию о том, как это сделать, и это кажется довольно простым. Однако когда я создаю объект групповой политики, применяю его и тестирую, он не работает. Вот что я сделал:

Я вношу изменения в политику домена по умолчанию по адресу:

Конфигурация пользователя> Политики> Административные шаблоны> Панель управления> Персонализация

  1. в GPO я включил заставку

  2. в GPO я включил тайм-аут (установите его на 60 секунд)

  3. в GPO я включил заставку Force Specific Screensaver и установил заставку на: 

    %windir%\system32\rundll32.exe user32.dll,LockWorkStation

    (также тестировал это в командной строке, и он блокирует рабочую станцию)

  4. в GPO я включил парольную защиту заставки.

Я подошел к рабочей станции и сделал gpupdate /force чтобы обновить политику и подождал 60 секунд --- без кубиков. Экран не блокировался. То же самое после перезагрузки компьютера и после обновления политики (и перезагрузки) на другом компьютере. GPO создается на уровне политики домена по умолчанию, поэтому я знаю, что не должно быть никаких проблем с разрешениями или проблем переопределения политики. Каждый компьютер получает эту политику домена по умолчанию.

Любая помощь в решении этой проблемы приветствуется. Я разобрал вопросы по Serverfault и решениям, но, похоже, они мне не помогли. Я не знаю, почему это не работает. Вроде так и должно быть.

Спасибо

Не впихивайте все в политику домена по умолчанию (DDP), думая, что это дает ей особые полномочия. Вам следует настроить GPO политики домена по умолчанию только для управления параметрами политик учетных записей по умолчанию, политикой паролей, политикой блокировки учетных записей и политикой Kerberos. (исх. https://technet.microsoft.com/en-us/library/hh875588(v=ws.11).aspx особенно заголовок «Обработка объектов групповой политики: приоритет»). Если вы допустили ошибку при редактировании DDP, вам будет очень больно. Намного лучше иметь другие настройки в их собственных политиках, чтобы вы могли отключить их, если у вас есть ошибка.

Политики применяются в следующем порядке / приоритете:

1) Local machine
2) Site (AD Sites)
3) Domain policy
4) OU

https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/15/group-policy-basics-part-2-understanding-which-gpos-to-apply/

Удалите настройки экрана из DDP. Если у вас есть другие политики, которые также назначают хранитель экрана, вам необходимо удалить настройки экрана из этих политик. Потому что, если какая-либо из этих политик связана под корнем домена, они имеют более высокий порядок приоритета, и эти параметры имеют преимущество. Наконец, создайте новую политику с настройками экрана и свяжите ее с корнем домена. Использовать GPRESULT чтобы увидеть, какие политики применяются, и / или RSOP чтобы увидеть, из каких политик поступают эффективные настройки хранителя экрана. Также имейте в виду, что это настройки на основе ПОЛЬЗОВАТЕЛЯ, поэтому, пока кто-то не войдет в систему, ваша политика не используется, а политика локального компьютера по-прежнему выигрывает.