Блокировка экрана пользователя при простое является важной составляющей информационной безопасности в компании. Пользователи зачастую забывают самостоятельно блокировать систему, когда отходят от рабочего места. Чтобы исключить это, можно настроить блокировку экрана при простое с помощью GPO
Итак, как же это сделать?
1. Запускаем Group Policy Management console (gpmc.msc), создаем новый объект GPO (пусть его название - ScreenLockPolicy). Создать его можно либо в корне домена, либо в OU с пользователями(смотря где вы хотите применять GPO)
2. Нажав правой клавишей мыши на созданный объект, выбирем Edit, и выбираем User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация)
3. В этом разделе GPO есть несколько параметров:
- Enable screen saver — включить экранную заставку;
- Password protect the screen saver — требовать пароль для разблокировки компьютера;
- Screen saver timeout – через сколько секунд неактивности нужно заблокировать компьютер;
- Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать.
- Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.
Включаем все пункты. В пункте Screen saver timeout указываем необходимое время, пусть это будет 200 секунд.
4. Выполняем
gpupdate /force
и проверяем работу новой GPO.
В Windows Server 2012/Windows 8 и более поздних есть отдельная политика безопасности, в которой задается период неактивности системы, после которого она будет заблокирована. Политика называется setting Interactive logon: Machine inactivity limit и находится в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
В случае, если необходимо применить GPO только к части пользоватлеей, можно воспользоваться GPO Security Filtering.