Usando o GPO para bloquear estações de trabalho do Windows 7, mas não está funcionando para mim

1

Nosso controlador de domínio é o Windows Server 2008 R2 e nossas estações de trabalho em nossa empresa são o Windows 7. Estou tentando configurar um GPO que bloqueia automaticamente as estações de trabalho após um tempo predeterminado (sem proteção de tela, apenas bloqueie-as). Eu encontrei todos os tipos de informações na web e neste site sobre como fazê-lo e parece bastante simples. No entanto, quando eu crio o GPO e o aplico e teste, ele não está funcionando. Aqui está o que eu fiz:

Eu faço as alterações na política de domínio padrão em:

Configuração do usuário > Políticas > Modelos Administrativos > Painel de controle > Personalização

  1. no GPO ativei o protetor de tela

  2. no GPO, ativei o tempo limite (configurei para 60 segundos)

  3. no GPO eu habilitei o Screensaver Forçado Específico e configurei o protetor de tela para:

    %windir%\system32\rundll32.exe user32.dll,LockWorkStation
    

    (também testou isso na linha de comando e bloqueia a estação de trabalho)

  4. no GPO, ativei o recurso Proteção por senha do protetor de tela.

Eu fui a uma estação de trabalho e fiz um gpupdate /force para atualizar a política e esperei os 60 segundos --- sem dados. A tela não bloqueou. A mesma coisa depois de reiniciar o computador e depois de atualizar a política (e reinicializar) em um computador diferente. O GPO é feito no nível de política de domínio padrão, portanto, sei que não deve haver problemas de permissão ou problemas de substituição de diretiva. Todo computador recebe essa política de domínio padrão.

Qualquer ajuda para resolver este problema seria apreciada. Eu classifiquei as perguntas sobre Serverfault e as soluções, mas elas não pareciam me ajudar. Eu não sei porque isso não está funcionando. Parece que deveria ser.

obrigado

    
por djb387 17.02.2017 / 20:27

1 resposta

1

Não encha tudo com o pensamento da Diretiva de Domínio Padrão (DDP) que lhe dá poderes especiais. Você só deve configurar o GPO de Diretiva de Domínio Padrão para gerenciar as configurações padrão de Diretivas de Conta, Diretiva de Senha, Diretiva de Bloqueio de Conta e Diretiva de Kerberos. (ref link especialmente o título "Processando GPOs: precedência") Se você cometer um erro ao editar o DDP, estará em um mundo de dor. É muito melhor ter outras configurações em suas próprias políticas para que você possa desvinculá-las quando tiver um erro.

As políticas são aplicadas com a seguinte ordem / precedência:

1) Local machine
2) Site (AD Sites)
3) Domain policy
4) OU

link

Remova as configurações de tela do DDP. Se você tiver outras políticas em vigor que também atribuam uma proteção de tela, será necessário remover as configurações de tela dessas políticas. Porque, se qualquer uma dessas políticas estiver vinculada abaixo da raiz do domínio, elas terão uma ordem de precedência maior e essas configurações vencerão. Por fim, crie uma nova política com configurações de tela e vincule-a à raiz do domínio. Use GPRESULT para ver quais políticas estão sendo aplicadas e / ou RSOP para ver de quais políticas as configurações de proteção de tela estão sendo entregues. Além disso, lembre-se de que essas são configurações baseadas em USER, portanto, até que alguém faça logon, sua política não será usada e a política de máquina local ainda vencerá.

    
por 17.02.2017 / 22:54