Como já explicamos, você não precisa de um administrador de domínio para 'desbloquear' um computador, o usuário só precisa ser um administrador local.
A melhor solução que eu acho aqui é desconectar automaticamente os usuários que estão ociosos por um determinado período.
EDITAR:
Não é um GPO simples e requer um pouco de kludge com a modificação do protetor de tela do Windows. Veja o que você faz:
- Faça o download do Windows Server 2003 Ferramentas do Kit de Recursos
- Copie o Winexit.scr fora do kit de recursos para o diretório% systemroot% \ system32 ativado cada estação de trabalho
- Crie um GPO de usuário com as seguintes configurações: texto alternativo http://img34.yfrog.com/img34/6015/mwsnap53020091124100617.jpg
- for screensaver executable name use:winexit.scr
- for screen saver time-out specify how log the idle time should be before logging out. This is in seconds.