4
GPO - Energieeinstellungen und Screensaver
Guten Morgen zusammen,
ich verzweifele seit ein paar Tagen an einer Gruppenrichtlinie.
Ziel der Richtlinie soll es sein, dass weder der Bildschirm in den Standby wechselt, noch dass ein Screensaver greift oder eine neue Kennwort Authentifizierung nach 15 Minuten erfolgen muss.
Grund dafür ist, dass es sich hierbei um eine reine Sichtstation handelt.
Folgendes ist in der GPO konfiguriert:
Verknüpft ist die GPO auf die OU "Workstations" mit der Sicherheitsfilterung: G_GPO-Sichtstationen
Mitglied der o.g Gruppe sind die Computerkonten als auch die "Sammelbenutzer" der Clients.
Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Da nach 15 Minuten immer der Bildschirm dunkel wird und nach einer Mausbewegung das Anmeldekennwort abgefragt wird.
Hat jemand einen Tipp oder Hinweis für mich?
Beste Grüße
ich verzweifele seit ein paar Tagen an einer Gruppenrichtlinie.
Ziel der Richtlinie soll es sein, dass weder der Bildschirm in den Standby wechselt, noch dass ein Screensaver greift oder eine neue Kennwort Authentifizierung nach 15 Minuten erfolgen muss.
Grund dafür ist, dass es sich hierbei um eine reine Sichtstation handelt.
Folgendes ist in der GPO konfiguriert:
Verknüpft ist die GPO auf die OU "Workstations" mit der Sicherheitsfilterung: G_GPO-Sichtstationen
Mitglied der o.g Gruppe sind die Computerkonten als auch die "Sammelbenutzer" der Clients.
Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Da nach 15 Minuten immer der Bildschirm dunkel wird und nach einer Mausbewegung das Anmeldekennwort abgefragt wird.
Hat jemand einen Tipp oder Hinweis für mich?
Beste Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 2692033721
Url: https://administrator.de/contentid/2692033721
Printed on: August 31, 2024 at 22:08 o'clock
4 Comments
Latest comment
Moin,
Hast Du die GPO in der Ausführung mal auf "erzwungen" gesetzt?
Evtl. greift eine andere Policy, die danach ausgeführt wird und überschreibt die Einstellungen wieder teilweise.
Gruß Looser
Hast Du die GPO in der Ausführung mal auf "erzwungen" gesetzt?
Evtl. greift eine andere Policy, die danach ausgeführt wird und überschreibt die Einstellungen wieder teilweise.
Gruß Looser
Moin,
also Punkt 1: Wieso konfigurierst du irgendwas in der Benutzerkonfiguration, wenn es um eine Computerkonfiguration geht?
Punkt 2:
Gruß
Doskias
also Punkt 1: Wieso konfigurierst du irgendwas in der Benutzerkonfiguration, wenn es um eine Computerkonfiguration geht?
Punkt 2:
Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Das weißt du woher? GPResult? RSOP.msc? Warum postest du nur die Konfiguration, nicht aber dein Analyseergebnis?Da nach 15 Minuten immer der Bildschirm dunkel wird ....
Was du ja auch so konfiguriert hastund nach einer Mausbewegung das Anmeldekennwort abgefragt wird.
Was vermutlich an der Benutzereinstellung liegt, die bei dem angemeldeten User greift.Gruß
Doskias
Zitat von @Looser27:
Moin,
Hast Du die GPO in der Ausführung mal auf "erzwungen" gesetzt?
Evtl. greift eine andere Policy, die danach ausgeführt wird und überschreibt die Einstellungen wieder teilweise.
Gruß Looser
Moin,
Hast Du die GPO in der Ausführung mal auf "erzwungen" gesetzt?
Evtl. greift eine andere Policy, die danach ausgeführt wird und überschreibt die Einstellungen wieder teilweise.
Gruß Looser
Moin,
also die GPO ist auf "Erzwungen" gesetzt. Leider ohne Erfolg.
Zitat von @Doskias:
Moin,
also Punkt 1: Wieso konfigurierst du irgendwas in der Benutzerkonfiguration, wenn es um eine Computerkonfiguration geht?
Punkt 2:
Gruß
Doskias
Moin,
also Punkt 1: Wieso konfigurierst du irgendwas in der Benutzerkonfiguration, wenn es um eine Computerkonfiguration geht?
Punkt 2:
Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Das weißt du woher? GPResult? RSOP.msc? Warum postest du nur die Konfiguration, nicht aber dein Analyseergebnis?Da nach 15 Minuten immer der Bildschirm dunkel wird ....
Was du ja auch so konfiguriert hastund nach einer Mausbewegung das Anmeldekennwort abgefragt wird.
Was vermutlich an der Benutzereinstellung liegt, die bei dem angemeldeten User greift.Gruß
Doskias
Punkt 1:
Es ist als Computer als auch Benutzerkonfiguration konfiguriert. Die GPO habe ich auch nur mit "Computer" und "User" Kontext getestet, ohne Erfolg.
Punkt 2:
Am Client via gpresult -r geprüft, ob die Richtlinie angewendet wird. - Das ist der Fall
Per Gruppenrichtlinien Konsole mit Abfrage des Computers inkl. dem passenden Benutzer.
Was genau möchtest du als Analyse Ergebnis aufgezeigt bekommen?
Punkt 3:
Die 15 Minuten Grenze. Schande über mein Haupt ich habe einen alten Screenshot hochgeladen. Wir haben zwischenzeitlich mal einen Timer auf 10 / 15 Minuten konfiguriert, um zu prüfen, ob die Zeit genau eingehalten wird.
Steht derzeit also auf "Deaktiviert"
Punkt 4:
Kennwort bei der Reaktivierung.
Dafür sollte doch der Punkt "Kennwort bei Reaktivierung anfordern" sein? - Dieser steht auf deaktiviert...
Danke für euren Input.
Gruß
Moin,
ich glaube wir müssen hier erstmal (leider wieder) bei den Grundlagen anfangen.
Zu Punkt 1:
Zu Punkt 2:
Das Ergebnis vom RSOP wo man sieht was als Computer und was als Benutzerkonfiguration im Bereich Energiesparplan angewendet wird.
Zu Punkt 3:
Ich vermute, du arbeitest an der falschen Stelle. Wieso kommt gleich.
zu Punkt 4:
Aber überschreibst du dir die Richtlinie wie in Punkt 3 vielleicht ohne es zu merken?
Meine Vermutung und das ist jetzt wirklich nur eine Vermutung, da ich mit nicht 100% sicher bin:
Wir haben hier einen Konflikt in dem die Benutzerrichtlinie die Computerrichtlinie überschreibt. Führen wir uns einmal kurz die Verarbeitungsreihenfolge bei der Anmeldung vor Augen:
1. Computer-GPO
2. Computer-Skript
3. Benutzer GPO
4. Benutzer-Skript
Punkt 2 und 4 spielen hier keine Rolle, aber die Reihenfolge der GPO ist interessant. Deine oben genannte GPO greift aufgrund der Zuordnung in Workstations nur bedingt, nämlich die Computerkonfiguration. Dann meldet sich der Benutzer an und seine Benutzerkonfiguration wird geladen und hier kommt nun der Punkt bei dem ich mir nicht 100% sicher bin. Wenn sich hier Computer und Benutzer widersprechen (Computer sagt Bildschirmschoner aus, Benutzer sagt Bildschirmschoner an), dann weiß ich nicht was dominiert. Von der Verarbeitungsreihenfolge her müsste der Benutzer dominieren, da dieser zuletzt ausgeführt wird. Von der Wertigkeit her würde ich aber die Computereinstellungen höher einschätzen und diese als dominant bezeichnen. Fakt bleibt jedoch auch, dass sich die GPOs im Hintergrund aktualisieren und daher im laufenden Betrieb aktualisieren. Wenn also jetzt zum Beispiel ein GPupdate /target:computer ausgeführt wird, wäre wiederum die Computerkonfiguration die zuletzt ausgeführte. UM dieses hin und her zu vermeiden empfiehlt es sich, die Einstellung entweder als Computer oder als Benutzer zu konfigurieren. Nicht aber wie du es vermutlich machst als beides, denn du wirst ja bestimmt auch bei den Usern eine Sperrzeit eingestellt haben.
So mein Lösungsvorschlag:
1. Vergiss die Konfiguration für den Computer und lege sie ausschließlich für Benutzer an. Das hat verschiedene Vorteile, zum Beispiel wird der Bildschirm gesperrt falls du dich mal als Admin anmeldest und dann gestört wirst und das abmelden vergisst.
2. Konfiguriere eine eigene GPO nur für diesen Benutzer. Diese sollte wie folgt aussehen:
3. Konfiguriere eine eigenen GPO nur für diese Workstation. Zum Beispiel so:
Zuordnung machst du dann über den Sicherheitsfilter und die Sache ist erledigt.
Mit nur diesen Einstellungen habe ich in unserer Domäne den Benutzer und die Rechner konfiguriert, auf denen das Monitoring den ganzen Tag laufen soll. Hier will ich natürlich auch nicht, dass ich regelmäßig die Maus bewegen muss oder der Bildschirm aus geht und es funktioniert.
Gruß
Doskias
ich glaube wir müssen hier erstmal (leider wieder) bei den Grundlagen anfangen.
Zu Punkt 1:
Verknüpft ist die GPO auf die OU "Workstations" mit der Sicherheitsfilterung: G_GPO-Sichtstationen
Ich gehe sehr stark davon aus, dass auf Grund deiner Namensgebung keine Benutzer in der Gruppe Workstations sind. Daraus folgt, dass jegliche Konfiguration, die die unter Benutzerkonfiguration vornimmst erstmal hinfällig ist. Es greift also an der Stelle "nur" die Computerkonfiguration.Zu Punkt 2:
Das Ergebnis vom RSOP wo man sieht was als Computer und was als Benutzerkonfiguration im Bereich Energiesparplan angewendet wird.
Zu Punkt 3:
Ich vermute, du arbeitest an der falschen Stelle. Wieso kommt gleich.
zu Punkt 4:
Aber überschreibst du dir die Richtlinie wie in Punkt 3 vielleicht ohne es zu merken?
Meine Vermutung und das ist jetzt wirklich nur eine Vermutung, da ich mit nicht 100% sicher bin:
Wir haben hier einen Konflikt in dem die Benutzerrichtlinie die Computerrichtlinie überschreibt. Führen wir uns einmal kurz die Verarbeitungsreihenfolge bei der Anmeldung vor Augen:
1. Computer-GPO
2. Computer-Skript
3. Benutzer GPO
4. Benutzer-Skript
Punkt 2 und 4 spielen hier keine Rolle, aber die Reihenfolge der GPO ist interessant. Deine oben genannte GPO greift aufgrund der Zuordnung in Workstations nur bedingt, nämlich die Computerkonfiguration. Dann meldet sich der Benutzer an und seine Benutzerkonfiguration wird geladen und hier kommt nun der Punkt bei dem ich mir nicht 100% sicher bin. Wenn sich hier Computer und Benutzer widersprechen (Computer sagt Bildschirmschoner aus, Benutzer sagt Bildschirmschoner an), dann weiß ich nicht was dominiert. Von der Verarbeitungsreihenfolge her müsste der Benutzer dominieren, da dieser zuletzt ausgeführt wird. Von der Wertigkeit her würde ich aber die Computereinstellungen höher einschätzen und diese als dominant bezeichnen. Fakt bleibt jedoch auch, dass sich die GPOs im Hintergrund aktualisieren und daher im laufenden Betrieb aktualisieren. Wenn also jetzt zum Beispiel ein GPupdate /target:computer ausgeführt wird, wäre wiederum die Computerkonfiguration die zuletzt ausgeführte. UM dieses hin und her zu vermeiden empfiehlt es sich, die Einstellung entweder als Computer oder als Benutzer zu konfigurieren. Nicht aber wie du es vermutlich machst als beides, denn du wirst ja bestimmt auch bei den Usern eine Sperrzeit eingestellt haben.
So mein Lösungsvorschlag:
1. Vergiss die Konfiguration für den Computer und lege sie ausschließlich für Benutzer an. Das hat verschiedene Vorteile, zum Beispiel wird der Bildschirm gesperrt falls du dich mal als Admin anmeldest und dann gestört wirst und das abmelden vergisst.
2. Konfiguriere eine eigene GPO nur für diesen Benutzer. Diese sollte wie folgt aussehen:
3. Konfiguriere eine eigenen GPO nur für diese Workstation. Zum Beispiel so:
Zuordnung machst du dann über den Sicherheitsfilter und die Sache ist erledigt.
Mit nur diesen Einstellungen habe ich in unserer Domäne den Benutzer und die Rechner konfiguriert, auf denen das Monitoring den ganzen Tag laufen soll. Hier will ich natürlich auch nicht, dass ich regelmäßig die Maus bewegen muss oder der Bildschirm aus geht und es funktioniert.
Gruß
Doskias
