freeker
Goto Top

Computer immer sperren außer Remoteanmeldung

Hallo liebe Kollegen,

Ich hoffe ich stelle meine Frage nicht zum 20sten mal, aber mit der Suche habe ich keine Lösung gefunden.

Dank der DSGVO haben wir seid geraumer Zeit eine GPO eingeführt, die den Bildschirmschoner nach 5 Min aktiviert und den PC sperrt.
Mir ist bekannt, dass es sowohl über eine User Richtlinie
Benutzerkonfiguration / Administrative Vorlagen / Systemsteuerung / Anpassung / ...
als auch über
Computerkonfiguration / Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Interaktive Anmeldung: Inaktivitätsgrenze.... auf Computerbasis funktioniert.

Leider haben wir das Problem, dass manche User mal lokal und mal remote auf Ihren PCs anmelden (Homeoffice). Wenn Sie sich Remote anmelden ist das Problem, dass sie zwei mal das Passwort eingeben müssen, also zum Entsperren vom Laptop und danach Remotedesktop (ihr PC). Ich kann aber auch nicht auf Computerebene diese PCs freigeben da diese User auch lokal arbeiten.
Gibt es eine Möglichkeit per GPO festzulegen, dass bei einer Remote Anmeldung keine Bildschirmsperre erfolgt?


Im Voraus vielen Dank!
MFG
Freeker

Content-ID: 5108107582

Url: https://administrator.de/forum/computer-immer-sperren-ausser-remoteanmeldung-5108107582.html

Ausgedruckt am: 23.12.2024 um 20:12 Uhr

wobit94
Lösung wobit94 07.09.2023 um 21:39:14 Uhr
Goto Top
Hallo Freeker,

deine Frage ist sehr nachvollziehbar, insbesondere in Zeiten des vermehrten Homeoffice. Um die Problematik, die du beschreibst, zu adressieren, könntest du eine Kombination aus WMI-Filter und GPO verwenden.

Das Konzept ist, dass du eine GPO nur dann anwendest, wenn die WMI-Abfrage bestätigt, dass es sich um eine lokale Anmeldung handelt und nicht um eine Remote-Anmeldung.

Hier ist eine grobe Vorgehensweise, wie du dies erreichen kannst:

Erstellen eines WMI-Filters in der GPMC (Group Policy Management Console):
Rechtsklick auf „WMI-Filter“ > Neu
Gib dem Filter einen passenden Namen, z.B. "Lokale Anmeldung"


Füge eine neue Abfrage hinzu:

SELECT * FROM Win32_ComputerSystem WHERE NOT (UserName LIKE "%\\%")  
Dieser WMI-Filter prüft, ob der angemeldete Benutzer ein Domänenbenutzer ist. Wenn er lokal ist, sollte der Name des Benutzers kein "\" enthalten.

Anwenden des WMI-Filters auf deine GPO:
Wähle die entsprechende GPO aus, die den Bildschirmschoner und die Sperrung regelt.
Im Reiter „Bereich“ kannst du den zuvor erstellten WMI-Filter auswählen.
Dies stellt sicher, dass die GPO nur auf Computer angewendet wird, die den Kriterien des Filters entsprechen, also in diesem Fall bei lokalen Anmeldungen.
Das war's! Mit dieser Methode wird die GPO nur angewendet, wenn der Benutzer lokal am Computer angemeldet ist. Bei einer Remote-Anmeldung wird die GPO dank des WMI-Filters nicht angewendet und die Benutzer müssen ihr Passwort nicht zweimal eingeben.

Eine Sache, die beachtet werden muss, ist, dass WMI-Filter bei jeder GPO-Verarbeitung ausgeführt werden. Daher ist es wichtig, sie so einfach wie möglich zu halten, um die Performance nicht zu beeinträchtigen.

Ich hoffe, das hilft dir bei deinem Problem weiter!

Beste Grüße!
Th0mKa
Th0mKa 07.09.2023 um 23:47:21 Uhr
Goto Top
Zitat von @wobit94:
Dies stellt sicher, dass die GPO nur auf Computer angewendet wird, die den Kriterien des Filters entsprechen, also in diesem Fall bei lokalen Anmeldungen.

Ich denke mit lokaler Anmeldung meint der TO das der Nutzer direkt vor dem PC sitzt, für die Anmeldung wird er wohl in beiden Fällen einen Domain User (also mit "\") benutzen.

/Thomas
DerWoWusste
Lösung DerWoWusste 08.09.2023 um 06:10:47 Uhr
Goto Top
Schau dir bitte Group policy preferences ("GPP") item level targeting an. Darin gibt es den gesuchten Filter vorgefertigt. Zur Umsetzung einfach den der GPO entsprechenden Registrykey raussuchen und per GPP verteilen, Filter setzen, fertig. Machen wir so.
freeker
freeker 08.09.2023 um 13:22:00 Uhr
Goto Top
Vielen Dank für die Lösungsansätze.

Ja, bei den Anmeldungen handelt es sich immer um Domänenanmeldungen. Mit Lokal meinte ich, dass der Kollege direkt an seinem Rechner sitzt.

Ich habe mir beide Wege mal angesehen. Nächste Woche versuche ich nochmal mein Glück!

Danke und ein schönes Wochenende!
MFG freeker