Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

GPOを介して非アクティブになった後のWindowsロック画面を有効にする

この記事では、グループポリシーを使用して、ドメインコンピューターまたはサーバーで自動画面(セッション)ロックを構成する方法を示します。ユーザーが非アクティブ(アイドル)のときにコンピューター画面をロックすることは、重要な情報セキュリティ要素です。ユーザーはデスクトップをロックするのを忘れる可能性があります(キーボードショートカットWin + Lを使用) )彼が短時間職場を離れる必要があるとき。この場合、近くにいる他の従業員またはクライアントは自分のデータにアクセスできます。画面の自動ロックポリシーにより、この欠陥が修正されます。しばらく非アクティブ(アイドル)になると、ユーザーのデスクトップは自動的にロックされ、ユーザーはセッションに戻るためにドメインパスワードを再入力する必要があります。

画面ロックオプションを管理するためのドメイングループポリシーを作成して構成しましょう:

  1. グループポリシー管理コンソール(gpmc.msc)を開きます )、新しいGPOオブジェクトを作成します( LockScreenPolicy )そしてそれをドメインルート(またはユーザーOU)にリンクします。 GPOを介して非アクティブになった後のWindowsロック画面を有効にする
  2. ポリシー編集を編集し、ユーザー設定に移動します ->ポリシー ->管理用テンプレート ->コントロールパネル ->パーソナライズ;
  3. GPOセクションには、スクリーンセーバーと画面ロックの設定を管理するためのオプションがいくつかあります。
    • スクリーンセーバーを有効にする
    • スクリーンセーバーをパスワードで保護する —コンピュータのロックを解除するためのパスワードの入力を求めるプロンプトが表示されます
    • スクリーンセーバーのタイムアウト –スクリーンセーバーが有効になり、ユーザーが非アクティブの場合にコンピューターがロックされる時間を秒単位で設定します
    • 特定のスクリーンセーバーを強制する –使用するスクリーンセーバーファイルを指定できます。ほとんどの場合、それはscrnsave.scrです (GPOを使用してスライドショースクリーンセーバーを作成できます)
    • スクリーンセーバーの変更を防ぐ –ユーザーがスクリーンセーバーの設定を変更できないようにします
  4. すべてのポリシーを有効にし、スクリーンセーバータイムアウトでコンピューターのアイドル時間を設定します ポリシー。 300を入力しました。これは、ユーザーセッションが5分後に自動的にロックされることを意味します。 GPOを介して非アクティブになった後のWindowsロック画面を有効にする
  5. クライアントでグループポリシー設定が更新されるまで待つか、コマンドgpupdate /forceを使用して手動で更新します。 。 GPOが適用された後、スクリーンセーバーと画面ロックの設定はWindowsインターフェイスでの編集から保護され、ユーザーセッションは5分間非アクティブでロックされます(GPOがどのように適用されるかを診断するには、gpresultツールとこのリンクをたどる記事)。
Windows Server 2012 / Windows 8以降では、コンピューターがロックされるまでの非アクティブ時間を設定する別のコンピューターセキュリティポリシーがあります。このポリシーは、対話型ログオン:マシンの非アクティブ制限と呼ばれます。 これは、[コンピューターの構成]->[Windowsの設定]->[セキュリティの設定]->[ローカルポリシー]->[セキュリティオプション]にあります。 GPOを介して非アクティブになった後のWindowsロック画面を有効にする

場合によっては、ユーザーグループごとに異なるロックポリシーを構成する必要があります。たとえば、オフィスワーカーの画面は10分後にロックする必要があり、プロダクションまたはSCADAオペレーターの画面は決してロックしないでください。このような戦略を実装するには、GPOセキュリティフィルタリング(GPOを使用してUSBデバイスへのアクセスを制限する例を参照)またはGPPのアイテムレベルターゲティングを使用できます。後者について詳しく調べてみましょう。

GPOの代わりにレジストリを使用してコンピューターのロック設定を構成し、対応するレジストリ設定をGPOを介してユーザーのコンピューターに展開できます。次のレジストリパラメータは、上記のポリシーと一致します。これらは、 HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ Control Panel \ Desktopにあります。 :

  • スクリーンセーバーをパスワードで保護する ScreenSaverIsSecureという名前のREG_SZパラメータです。 =1
  • スクリーンセーバーのタイムアウト ScreenSaveTimeoutという名前のREG_SZパラメータです。 =300
  • 特定のスクリーンセーバーを強制する ScreenSaveActiveという名前のREG_SZパラメータです。 =1およびSCRNSAVE.EXE =scrnsave.scr

ドメインセキュリティグループを作成します(grp_not-lock-prod )画面ロックポリシーを無効にしてユーザーを追加する場合。対応するGPOセクション(ユーザー設定)で上記のレジストリパラメータを作成します ->設定 ->Windowsの設定 ->レジストリ )。 アイテムレベルのターゲティングの使用 、特定のセキュリティグループにポリシーを適用してはならないパラメータごとに設定します(ユーザーはセキュリティグループgrp_not-lock-prodのメンバーではありません )。

GPOを介して非アクティブになった後のWindowsロック画面を有効にする

また、値REG_SZ 0を使用して4つの追加のレジストリパラメータを作成する必要があります。 、グループgrp_not-lock-prodの画面ロックを強制的に無効にします(そうしないと、GPOは以前に設定されたレジストリ値を上書きしません)。


  1. Windows 10 のロック画面で Cortana を有効または無効にする

    Windows 10 ロックで Cortana を有効または無効にする画面: Cortana は、Windows 10 に組み込まれているクラウドベースのパーソナル アシスタントであり、すべてのデバイスで動作します。 Cortana を使用すると、リマインダーを設定したり、質問したり、曲やビデオを再生したりできます。要するに、ほとんどの作業を実行できます。何をいつ行うかを Cortana に命令するだけです。完全に機能する AI ではありませんが、それでも Windows 10 で Cortana を導入するのは良いことです。 注: ただし、機密性の高いタスクやアプリケーションの起動が必要

  2. Windows 11でロック画面を無効にする方法

    ロック画面は、コンピュータと、アクセスしようとする権限のない人物との間の防御の最前線として機能します。 Windows にはロック画面のカスタマイズ オプションが用意されているため、多くの人が自分のスタイルに合わせてカスタマイズしています。コンピューターを起動したり、スリープから復帰したりするたびにロック画面を表示したくない人はたくさんいます。この記事では、Windows 11 でロック画面を無効にする方法について説明します。引き続き読み進めてください! Windows 11 でロック画面を無効にする方法 ロック画面を直接無効にすることはできませんが、Windows レジストリまたはグ