Отключить блокировку Windows с GPO?
Я открыл лабораторию со многими машинами Windows Server 2012 R2. Лаборатория имеет домен Active Directory (DFL: Windows Server 2012 R2, FFL: Windows Server 2012 R2), и эти машины соединены с доменом.
По умолчанию, если оставлено необслуживаемый эти машины Windows автоматически заблокируют. Я не хочу, чтобы машины заблокировали автоматически. У меня нет проблем безопасности с наличием машин, остаются разблокированными, поскольку это - изолированная лаборатория.
Я создал объект групповой политики, который устанавливает много конфигураций, и машины все еще блокируют. Я проверил, что GPO был применен к машинам.
GPO настраивает следующие настройки:
- Компьютерная Сеть Configuration\Policies\Windows Settings\Local Policies/Security Options\Microsoft сетевой сервер Server\Microsoft: Количество времени простоя, требуемого прежде, чем приостановить сессию: 0 минут
- Пользовательская экранная заставка Configuration\Policies\Administrative Templates\Control Panel/Personalization\Enable: Отключенный
- Пользовательский Configuration\Policies\Administrative Templates\Control Panel/Personalization\Password защищает экранную заставку: Отключенный
- Пользовательский Configuration\Policies\Administrative Templates\Control Panel/Personalization\Screen saer тайм-аут: 0 секунд
- Пользовательский Configuration\Policies\Administrative Templates\System/Power Management\Prompt для пароля на резюме от в спящем режиме/приостанавливает: Отключенный
Я сделал несколько часов исследования, и я должен все же найти что-либо, что работало. Есть ли существует другая установка, которая управляет этим поведением?
Править: вывод от gpresult/v:
C:\Windows\system32>gpresult /v
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
c 2013 Microsoft Corporation. All rights reserved.
Created on 9/24/2014 at 9:44:02 AM
RSOP data for CONTOSO\user01 on SERVER01 : Logging Mode
----------------------------------------------------------------
OS Configuration: Member Server
OS Version: 6.3.9600
Site Name: Default-First-Site-Name
Roaming Profile: N/A
Local Profile: C:\Users\user01
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=SERVER01,OU=SPSSearch,OU=Projects,DC=CONTOSO,DC=NET
Last time Group Policy was applied: 9/24/2014 at 9:03:08 AM
Group Policy was applied from: DC01.CONTOSO.NET
Group Policy slow link threshold: 500 kbps
Domain Name: CONTOSO
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
Don't lock workstation
Password Policy
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
-------------------------------------------------------
BUILTIN\Administrators
Everyone
BUILTIN\Users
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
SERVER01$
Domain Computers
Authentication authority asserted identity
System Mandatory Level
Resultant Set Of Policies for Computer
---------------------------------------
Software Installations
----------------------
N/A
Startup Scripts
---------------
N/A
Shutdown Scripts
----------------
N/A
Account Policies
----------------
GPO: Password Policy
Policy: MaximumPasswordAge
Computer Setting: 4294967295
GPO: Password Policy
Policy: MinimumPasswordAge
Computer Setting: 30
GPO: Default Domain Policy
Policy: LockoutBadCount
Computer Setting: N/A
GPO: Password Policy
Policy: PasswordHistorySize
Computer Setting: N/A
GPO: Password Policy
Policy: MinimumPasswordLength
Computer Setting: N/A
Audit Policy
------------
N/A
User Rights
-----------
N/A
Security Options
----------------
GPO: Password Policy
Policy: PasswordComplexity
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: ClearTextPassword
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: ForceLogoffWhenHourExpire
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: RequireLogonToChangePassword
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: LSAAnonymousNameLookup
Computer Setting: Not Enabled
GPO: Don't lock workstation
Policy: @wsecedit.dll,-59042
ValueName: MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
Computer Setting: -1
GPO: Default Domain Policy
Policy: @wsecedit.dll,-59058
ValueName: MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash
Computer Setting: 1
N/A
Event Log Settings
------------------
N/A
Restricted Groups
-----------------
N/A
System Services
---------------
N/A
Registry Settings
-----------------
N/A
File System Settings
--------------------
N/A
Public Key Policies
-------------------
N/A
Administrative Templates
------------------------
N/A
USER SETTINGS
--------------
CN=SharePoint Setup Account,OU=SPSSearch,OU=Projects,DC=CONTOSO,DC=NET
Last time Group Policy was applied: 9/24/2014 at 9:03:39 AM
Group Policy was applied from: DC01.CONTOSO.NET
Group Policy slow link threshold: 500 kbps
Domain Name: CONTOSO
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
Don't lock workstation
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The user is a part of the following security groups
---------------------------------------------------
Domain Users
Everyone
BUILTIN\Administrators
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
CONSOLE LOGON
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
Authentication authority asserted identity
High Mandatory Level
The user has the following security privileges
----------------------------------------------
Bypass traverse checking
Manage auditing and security log
Back up files and directories
Restore files and directories
Change the system time
Shut down the system
Force shutdown from a remote system
Take ownership of files or other objects
Debug programs
Modify firmware environment values
Profile system performance
Profile single process
Increase scheduling priority
Load and unload device drivers
Create a pagefile
Adjust memory quotas for a process
Remove computer from docking station
Perform volume maintenance tasks
Impersonate a client after authentication
Create global objects
Change the time zone
Create symbolic links
Increase a process working set
Resultant Set Of Policies for User
-----------------------------------
Software Installations
----------------------
N/A
Logon Scripts
-------------
N/A
Logoff Scripts
--------------
N/A
Public Key Policies
-------------------
N/A
Administrative Templates
------------------------
GPO: Don't lock workstation
Folder Id: Software\Policies\Microsoft\Windows\System\Power\PromptPasswordOnResume
State: disabled
GPO: Don't lock workstation
Folder Id: Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaverIsSecure
Value: 48, 0, 0, 0
State: Enabled
GPO: Don't lock workstation
Folder Id: Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaveActive
Value: 48, 0, 0, 0
State: Enabled
GPO: Don't lock workstation
Folder Id: Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaveTimeOut
Value: 48, 0, 0, 0
State: Enabled
Folder Redirection
------------------
N/A
Internet Explorer Browser User Interface
----------------------------------------
N/A
Internet Explorer Connection
----------------------------
N/A
Internet Explorer URLs
----------------------
N/A
Internet Explorer Security
--------------------------
N/A
Internet Explorer Programs
--------------------------
N/A
2
задан shufler
24 September 2014 в 19:49
Ссылка
2 ответа
По предложению @joeqwerty проверить настройки управления питанием я создал новый план управления питанием со следующими настройками:
- Дисплей -> Отключить дисплей после -> От батареи (минут) : 0
- Дисплей -> Отключить дисплей после -> Подключено (минуты): 0
Я установил это как активную схему электропитания и применил GPO. Через 25 минут машины больше не блокируются автоматически.
Вот полные шаги для создания этого:
- В редакторе управления групповой политикой отредактируйте целевой объект групповой политики
- Перейдите к Конфигурация компьютера \ Предпочтения \ Параметры панели управления \ Параметры электропитания
- На правой панели щелкните правой кнопкой мыши и выберите Новый -> План управления питанием (как минимум Windows 7)
- В дополнительных настройках на вкладке выберите действие Создать
- Введите имя нового плана (например, «Не блокировать»)
- Выберите Установить как активный план управления питанием
- Разверните Дисплей -> Отключить отображение после
- Измените От батареи (минуты) на 0
- Измените Подключено (минуты) на ] 0
- Нажмите Применить , ОК
- Примените объект групповой политики к целевым машинам
6
Я изменил предыдущий план, так как проблема заключалась в блокировке KIOSK, но мне все еще хотелось экономить энергию.
По предложению @nucrash проверить настройки управления питанием я создал новый план управления питанием со следующими настройками:
Additional Settings -> Require a Password -> On Battery: No
Additional Settings -> Require a Password -> Plugged in : No
Я установил его как активный план управления питанием и применил объект групповой политики. Машины больше не блокируются автоматически.
Вот полные шаги для создания этого:
In Group Policy Management Editor, edit the target GPO
Go to Computer Configuration\Preferences\Control Panel Settings\Power Options
In the right pane, right click and select New -> Power Plan (At least Windows 7)
In the Advanced settings tab, select the Create action
Enter a new plan name (e.g. "Don't lock")
Select Set as the active power plan
Expand Additional Settings -> Require a Password on wakeup
Change On battery to No
Change Plugged in to No
Click Apply, OK
Apply the GPO to the target machine(s)
2