Nosso ambiente consiste em um Active Directory 2003 com cerca de 50% de divisão em clientes XP e Windows 7. Nossa política de segurança afirma que, por padrão, a área de trabalho de todos deve bloquear em 2 horas para o protetor de tela. Para usuários selecionados, a política informa que os desktops devem bloquear a 15 minutos após a inatividade.
Aplicamos a política de duas horas criando um GPO e vinculando-o à OU organizacional. Isso funciona bem para todos os clientes. A filtragem de segurança tem o GPO aplicado a todos os usuários autenticados.
Para o bloqueio de proteção de tela de 15 minutos, temos o mesmo GPO e o vinculamos ao domínio, mas dessa vez, usando o Security Filtering, só o aplicamos a um determinado grupo de segurança. Este GPO não está funcionando corretamente.
No momento, estamos desenhando um espaço em branco sobre como implementar ou corrigir o GPO de 15 minutos para o bloqueio do protetor de tela.
A ordem de processamento da Política de Grupo é assim:
LSDOU = local, site, domínio, unidade organizacional
Mesmo com a Filtragem de segurança, a configuração de GPO no GPO vinculado ao domínio está sendo sobreposta pelo GPO vinculado à UO. Para contornar isso, você poderia vincular o GPO de 15 minutos à UO com uma ordem de link mais baixa ou definir o GPO no nível do domínio como Imposta.