User Configuration> Policies> Administrative Templates> Control Panel> Personalization
Ось типовий можливий приклад таких налаштувань:
Password protect the screen saver = Enable
Screen saver timeout = Enable (900 Seconds)
Force specific screen saver = scrnsave.scr
В даному прикладі включено обов'язковий запуск конкретного файлу екранної заставки (scrnsave.scr) при простої більше 15 хвилин з вимогою введення пароля користувача при спробі подальшого доступу до робочого столу.
В системі, де встановлено значення резервування параметри GPO, все встановити заставку для користувача стають недоступними для змін.
На практиці зустрічається ситуація, коли за комп'ютером працює змінний добовий персонал, якому постійно необхідно в режимі спостереження бачити робочий стіл комп'ютера. При цьому такий персонал може навіть мати кілька робочих столів комп'ютерів, за якими потрібен нагляд і не потрібно інтерактивну взаємодію з клієнтської ОС. Для такого роду користувачів потрібен дещо інший підхід з точки зору автоматичного блокування комп'ютерів при просте.
Для забезпечення установки енергозберігаючої заставки для змінного персоналу і для всіх інших користувачів ми можемо створити дві окремі групові політики - одна з обов'язковим спрацьовуванням заставки, інша - без нього. Але з використанням механізмів настройки реєстру за допомогою Group Policy Preferences (GPP) ми зможемо гнучко об'єднати ці настройки всередині однієї групової політики.
Для того, щоб задіяти механізми GPP для даного завдання, ми скористаємося параметрами реєстру, які змінюються стандартними Адміністративними шаблонами, зазначеними нами раніше. Порівняємо зазначені раніше параметри GPO з ключами реєстру які вони змінюють в клієнтській системі:
Політика: Password protect the screen saver
Кущ реєстру: HKEY_CURRENT_USER
Гілка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1
Політика: Screen saver timeout
Кущ реєстру: HKEY_CURRENT_USER
Гілка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900
Значення "900" означає кількість секунд від моменту початку бездіяльності до спрацьовування екранної заставки (15 хвилин простою)
Політика: Force specific screen saver
Кущ реєстру: HKEY_CURRENT_USER
Гілка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr
Експерименти з застосуванням цієї політики показали, що ключ реєстру ScreenSaveActive додається лише на системах Windows XP, а після відключення цієї політики, він з реєстру коректно не видаляється. Дослідним шляхом вдалося з'ясувати, що відсутність цього ключа не вносить ніяких змін, тому будемо розглядати його як рудиментарний елемент і виключимо з наших налаштувань GPP.
Отже, в груповій політиці, що діє на наших користувачів, переведемо три перерахованих параметра в стан Not configured (якщо вони раніше були налаштовані), а в розділі політики User Configuration> Preferences> Windows Settings> Registry створимо логічну групу, в якій будуть зберігатися наші настройки , наприклад ScreenSaver.
Усередині цієї групи створимо дві підгрупи налаштувань - Enabled і Disabled. в яких відповідно будуть зберігається настройки для включення і відключення форсованого застосування заставки. У нашому прикладі важливо, щоб параметри включення оброблялися перед параметрами відключення.
У групі Enabled створимо три правила для створення / оновлення раніше перерахованих ключів призначеного для користувача реєстру. Націлювання (Item-level targeting) для цієї групи використовувати не будемо, тобто ці параметри реєстру будуть застосовуватися для всіх користувачів.
У групі Disabled створимо три правила для видалення цих же ключів реєстру. Група Disabled матиме націлювання на спеціально створену доменну групу безпеки, в яку будуть включені всі користувачі, для яких потрібно відключити форсоване застосування заставки.
Таким чином, логіка обробки параметрів реєстру буде полягати в обов'язковому включенні заставки для всіх користувачів за винятком тих, хто включений в спеціальну групу безпеки. Тобто при включенні будь-якого користувача до цієї групи, з його користувальницького реєстру будуть видалятися ключі форсованої встановити заставку, і він самостійно зможе, наприклад, відключити її зовсім, так як в ОС діалогові елементи призначеного для користувача інтерфейсу стануть доступними.
Поділитися посиланням на цю запис:
Дякуємо! Це саме те, що нам потрібно!
Вибачте, що пишу тут, але я не знайшов більш підходящого місця.
Ситуація наступна: плануємо впроваджувати Radmin версії 3. Він зберігає групи доступу в одному єдиному ключі реєстру [HKEY_LOCAL_MACHINESOFTWAREWow6432NodeRadminv3.0ServerParametersNtUsers1] в бінарному вигляді. В об'єкті групової політики, в якому проводиться установка самого сервера Radmin, за допомогою GPP я додаю групу доменних адміністраторів на повний доступ. Але як бути з адміністраторами філій? Тобто на ОП, де містяться комп'ютери філії повинна застосовуватися політика додає до вже наявної групі доменних адміністраторів групи адміністраторів філії. Пробував через GPP створити ключик 1 з групою адміністраторів філії і з дією Update застосовувати. Але тоді видаляються права у доменних адміністраторів. Тобто значення ключа реєстру що не об'єднується, а замінюється адміністраторами філії.
Питання в наступному: чи можна як то засобами GPP додати в існуючий ключ реєстру певне значення, а не просто замінити його?
Ще раз прошу вибачення, що написав саме тут не по темі.
Сподіваюся на вашу допомогу!
Спробуйте налаштувати один і той же ключ реєстру з різними значеннями, наприклад один для комп'ютерів головного філії, а інший для комп'ютерів підлеглого філії і застосовувати ці значення з різним націлюванням, наприклад відштовхуючись від IP підмереж або від імені комп'ютера (якщо у вас існує якась регламентована система іменування).
PS: Eсли в заголовку сторінки блогу перейти на закладку About, - там вказано мій email.
Свої п'ять копійок. До мене політика була налаштована через адміністративні шаблони і додатково в GPP обнулення параметра ScreenSaveActive з націлюванням на групу. у користувачів доданих до цієї групи вимикалася заставка і цього було достатньо до появи windows 8.
Зробив як описано, але без редагування реєстру, якщо на клієнтському ПК (Win7 проф) відкритий сеанс RDP - то політика не спрацьовує. Як обійти це?
Після настройки даної політики напоролися на не дуже приємну ситуацію. У частини користувачів екран став блокуватися НЕ через 15 хвилин, а через 1, 2, у кого-то 5 хвилин. Після розбору встановили, що в гілці HOTKEY_Users лежать профілі користувачів і там присутня параметр ScreenSaveTimeout, значення якого відрізняється від того що в політиці. Так як це поодинокі випадки - висновок, настройки робилися локально. Шлях до параметру HKU // ControlPanel / Desktop. Раптом комусь стане в нагоді.
Поправлю шлях HKU // ControlPanel / Desktop
А що заважає налаштувати GPP на оновлення або видалення цього параметра?
Налаштування GPP ускладнюється тим, що сіди у всіх різні і шлях до параметра теж буде різним.
Можливо якось використовувати змінні, але я не знаю як))). У будь-якому випадку проблема одинична і зважилася видаленням параметра вручну, підключившись через віддалений реєстр.
Не зрозумів. А при чому тут SID-и. Хіба значення, про яке ти казав що воно заважає, не зберігається в HKEY_CURRENT_USER для того користувача, який увійшов в систему? Якщо так, то просто видали його тими ж засобами GPP і всього-то.
спасибі, Олександр Добринін, довго шукав)
Добридень!
зробив як в статті. в реєстрі всі прописується. В панелі управління-персоналізація настройки виставляються.
АЛЕ коли комп'ютер не використовується заставка не виникає.
які ще параметри впливають на появу заставки?
може бути настройки електроживлення в GPP? чи можна зробити 2 схеми електроживлення. 1 - гасити екран, 2 - не гасити екран для певної групи безпеки.
і тоді можна застосувати до групи комп'ютерів або користувачів. а не тільки тих, хто