Блокировка экрана пользователя при простое является важной составляющей информационной безопасности в компании. Пользователи зачастую забывают самостоятельно блокировать систему, когда отходят от рабочего места. Чтобы исключить это, можно настроить блокировку экрана при простое с помощью GPO

Итак, как же это сделать?

1. Запускаем Group Policy Management console (gpmc.msc), создаем новый объект GPO (пусть его название - ScreenLockPolicy). Создать его можно либо  в корне домена, либо в OU с пользователями(смотря где вы хотите применять GPO) 

2. Нажав правой клавишей мыши на созданный объект, выбирем Edit, и выбираем User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация)

3. В этом разделе GPO есть несколько параметров:

• Enable screen saver — включить экранную заставку;
• Password protect the screen saver  — требовать пароль для разблокировки компьютера;
• Screen saver timeout – через сколько секунд неактивности нужно заблокировать компьютер;
• Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать.
• Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.

Включаем все пункты. В пункте Screen saver timeout ​​​​​​​указываем необходимое время, пусть это будет 200 секунд.

4. Выполняем

gpupdate /force

и проверяем работу новой GPO.

В Windows Server 2012/Windows 8 и более поздних есть отдельная политика безопасности, в которой задается период неактивности системы, после которого она будет заблокирована. Политика называется setting Interactive logon: Machine inactivity limit и находится в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.

​​​​​​В случае, если необходимо применить GPO только к части пользоватлеей, можно воспользоваться GPO Security Filtering.

​​​​​​​