Я работаю в школе, и постоянная проблема состоит в том, что сотрудники оставляют себя авторизованными на рабочих станциях и оставляют свои конфиденциальные материалы открытыми для других пользователей и, возможно, студентов. Я применил GP, чтобы заблокировать рабочие станции с помощью экранной заставки, но затем у меня возникла другая проблема - сотрудники оставляют общие компьютеры, и следующий человек, который хочет использовать систему, не может его разблокировать.
В дополнение к системным администраторам у меня есть другие технические ассистенты, которые не имеют и не должны иметь полных прав администратора в домене. Есть ли способ (1) добавить этих пользователей в группу администраторов, но каким-то образом ограничить их доступ к другим административным привилегиям или (2) каким-то образом предоставить их учетным записям пользователей разрешение на разблокировку рабочих станций.
Проблема, как вы понимаете, в настоящее время решает технический персонал путем полной перезагрузки ПК - не идеально.
Как уже объяснялось, вам не нужен администратор домена для «разблокировки» компьютера, пользователю требуется только быть локальным администратором.
На мой взгляд, лучшим решением здесь является автоматический выход из системы пользователей, которые бездействуют в течение определенного периода.
РЕДАКТИРОВАТЬ:
Это не простой объект групповой политики и требует немного путаницы с изменением заставки Windows. Вот что вы делаете:
- для имени исполняемого файла заставки используйте: winexit.scr
- для тайм-аута хранителя экрана укажите, в каком журнале должно быть время простоя перед выходом из системы. Это за секунды.
Добавление учетных записей домена для других ваших технических помощников в локальную группу администраторов на каждом ПК должно быть всем, что требуется.
Остерегайтесь разблокировки, так как это заставит вошедшую в систему учетную запись выйти из системы, закрыть все свои файлы и потенциально потерять несохраненную работу. Обучение пользователей - действительно единственный способ.
Другие темы по этой теме, похоже, указывают на то, что вам понадобится стороннее решение: Разблокировать администратора выглядит полезным и имеет бесплатную пробную версию, хотя я никогда не пробовал.
Несколько человек упомянули здесь параметр «тайм-аут простоя», который можно применить через GPO. Чтобы прояснить, нет никакой настройки «тайм-аута простоя» для пользователей, вошедших на рабочие станции, о которых я знаю. Параметр, на который делается ссылка, относится только к сеансам служб терминалов.
Если я за пределами базы, не мог бы кто-нибудь указать мне на применимые параметры GPO или учетной записи? Спасибо.
Я бы либо выбрал Unlock Administrator, как предлагали другие, либо сделал следующее:
Когда компьютер заблокирован, им нужно будет позвонить в службу поддержки (или другому пользователю), чтобы разблокировать его. В качестве альтернативы, выполните описанное выше, установите средство удаленного управления, которое работает как услуга, и попросите ваших технических специалистов удаленно войти на компьютер и разблокировать его.
Вы можете использовать GPO (используя группы с ограниченным доступом или сценарий запуска и команду «NET LOCALGROUP»), чтобы добавить пользователя / группу домена в локальную группу администраторов на компьютерах домена.
