GPO - Energieeinstellungen und Screensaver
Guten Morgen zusammen,
ich verzweifele seit ein paar Tagen an einer Gruppenrichtlinie.
Ziel der Richtlinie soll es sein, dass weder der Bildschirm in den Standby wechselt, noch dass ein Screensaver greift oder eine neue Kennwort Authentifizierung nach 15 Minuten erfolgen muss.
Grund dafür ist, dass es sich hierbei um eine reine Sichtstation handelt.
Folgendes ist in der GPO konfiguriert:
Verknüpft ist die GPO auf die OU "Workstations" mit der Sicherheitsfilterung: G_GPO-Sichtstationen
Mitglied der o.g Gruppe sind die Computerkonten als auch die "Sammelbenutzer" der Clients.
Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Da nach 15 Minuten immer der Bildschirm dunkel wird und nach einer Mausbewegung das Anmeldekennwort abgefragt wird.
Hat jemand einen Tipp oder Hinweis für mich?
Beste Grüße
ich verzweifele seit ein paar Tagen an einer Gruppenrichtlinie.
Ziel der Richtlinie soll es sein, dass weder der Bildschirm in den Standby wechselt, noch dass ein Screensaver greift oder eine neue Kennwort Authentifizierung nach 15 Minuten erfolgen muss.
Grund dafür ist, dass es sich hierbei um eine reine Sichtstation handelt.
Folgendes ist in der GPO konfiguriert:
Verknüpft ist die GPO auf die OU "Workstations" mit der Sicherheitsfilterung: G_GPO-Sichtstationen
Mitglied der o.g Gruppe sind die Computerkonten als auch die "Sammelbenutzer" der Clients.
Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Da nach 15 Minuten immer der Bildschirm dunkel wird und nach einer Mausbewegung das Anmeldekennwort abgefragt wird.
Hat jemand einen Tipp oder Hinweis für mich?
Beste Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2692033721
Url: https://administrator.de/forum/gpo-energieeinstellungen-und-screensaver-2692033721.html
Ausgedruckt am: 22.12.2024 um 01:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
also Punkt 1: Wieso konfigurierst du irgendwas in der Benutzerkonfiguration, wenn es um eine Computerkonfiguration geht?
Punkt 2:
Gruß
Doskias
also Punkt 1: Wieso konfigurierst du irgendwas in der Benutzerkonfiguration, wenn es um eine Computerkonfiguration geht?
Punkt 2:
Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Das weißt du woher? GPResult? RSOP.msc? Warum postest du nur die Konfiguration, nicht aber dein Analyseergebnis?Da nach 15 Minuten immer der Bildschirm dunkel wird ....
Was du ja auch so konfiguriert hastund nach einer Mausbewegung das Anmeldekennwort abgefragt wird.
Was vermutlich an der Benutzereinstellung liegt, die bei dem angemeldeten User greift.Gruß
Doskias
Moin,
ich glaube wir müssen hier erstmal (leider wieder) bei den Grundlagen anfangen.
Zu Punkt 1:
Zu Punkt 2:
Das Ergebnis vom RSOP wo man sieht was als Computer und was als Benutzerkonfiguration im Bereich Energiesparplan angewendet wird.
Zu Punkt 3:
Ich vermute, du arbeitest an der falschen Stelle. Wieso kommt gleich.
zu Punkt 4:
Aber überschreibst du dir die Richtlinie wie in Punkt 3 vielleicht ohne es zu merken?
Meine Vermutung und das ist jetzt wirklich nur eine Vermutung, da ich mit nicht 100% sicher bin:
Wir haben hier einen Konflikt in dem die Benutzerrichtlinie die Computerrichtlinie überschreibt. Führen wir uns einmal kurz die Verarbeitungsreihenfolge bei der Anmeldung vor Augen:
1. Computer-GPO
2. Computer-Skript
3. Benutzer GPO
4. Benutzer-Skript
Punkt 2 und 4 spielen hier keine Rolle, aber die Reihenfolge der GPO ist interessant. Deine oben genannte GPO greift aufgrund der Zuordnung in Workstations nur bedingt, nämlich die Computerkonfiguration. Dann meldet sich der Benutzer an und seine Benutzerkonfiguration wird geladen und hier kommt nun der Punkt bei dem ich mir nicht 100% sicher bin. Wenn sich hier Computer und Benutzer widersprechen (Computer sagt Bildschirmschoner aus, Benutzer sagt Bildschirmschoner an), dann weiß ich nicht was dominiert. Von der Verarbeitungsreihenfolge her müsste der Benutzer dominieren, da dieser zuletzt ausgeführt wird. Von der Wertigkeit her würde ich aber die Computereinstellungen höher einschätzen und diese als dominant bezeichnen. Fakt bleibt jedoch auch, dass sich die GPOs im Hintergrund aktualisieren und daher im laufenden Betrieb aktualisieren. Wenn also jetzt zum Beispiel ein GPupdate /target:computer ausgeführt wird, wäre wiederum die Computerkonfiguration die zuletzt ausgeführte. UM dieses hin und her zu vermeiden empfiehlt es sich, die Einstellung entweder als Computer oder als Benutzer zu konfigurieren. Nicht aber wie du es vermutlich machst als beides, denn du wirst ja bestimmt auch bei den Usern eine Sperrzeit eingestellt haben.
So mein Lösungsvorschlag:
1. Vergiss die Konfiguration für den Computer und lege sie ausschließlich für Benutzer an. Das hat verschiedene Vorteile, zum Beispiel wird der Bildschirm gesperrt falls du dich mal als Admin anmeldest und dann gestört wirst und das abmelden vergisst.
2. Konfiguriere eine eigene GPO nur für diesen Benutzer. Diese sollte wie folgt aussehen:
3. Konfiguriere eine eigenen GPO nur für diese Workstation. Zum Beispiel so:
Zuordnung machst du dann über den Sicherheitsfilter und die Sache ist erledigt.
Mit nur diesen Einstellungen habe ich in unserer Domäne den Benutzer und die Rechner konfiguriert, auf denen das Monitoring den ganzen Tag laufen soll. Hier will ich natürlich auch nicht, dass ich regelmäßig die Maus bewegen muss oder der Bildschirm aus geht und es funktioniert.
Gruß
Doskias
ich glaube wir müssen hier erstmal (leider wieder) bei den Grundlagen anfangen.
Zu Punkt 1:
Verknüpft ist die GPO auf die OU "Workstations" mit der Sicherheitsfilterung: G_GPO-Sichtstationen
Ich gehe sehr stark davon aus, dass auf Grund deiner Namensgebung keine Benutzer in der Gruppe Workstations sind. Daraus folgt, dass jegliche Konfiguration, die die unter Benutzerkonfiguration vornimmst erstmal hinfällig ist. Es greift also an der Stelle "nur" die Computerkonfiguration.Zu Punkt 2:
Das Ergebnis vom RSOP wo man sieht was als Computer und was als Benutzerkonfiguration im Bereich Energiesparplan angewendet wird.
Zu Punkt 3:
Ich vermute, du arbeitest an der falschen Stelle. Wieso kommt gleich.
zu Punkt 4:
Aber überschreibst du dir die Richtlinie wie in Punkt 3 vielleicht ohne es zu merken?
Meine Vermutung und das ist jetzt wirklich nur eine Vermutung, da ich mit nicht 100% sicher bin:
Wir haben hier einen Konflikt in dem die Benutzerrichtlinie die Computerrichtlinie überschreibt. Führen wir uns einmal kurz die Verarbeitungsreihenfolge bei der Anmeldung vor Augen:
1. Computer-GPO
2. Computer-Skript
3. Benutzer GPO
4. Benutzer-Skript
Punkt 2 und 4 spielen hier keine Rolle, aber die Reihenfolge der GPO ist interessant. Deine oben genannte GPO greift aufgrund der Zuordnung in Workstations nur bedingt, nämlich die Computerkonfiguration. Dann meldet sich der Benutzer an und seine Benutzerkonfiguration wird geladen und hier kommt nun der Punkt bei dem ich mir nicht 100% sicher bin. Wenn sich hier Computer und Benutzer widersprechen (Computer sagt Bildschirmschoner aus, Benutzer sagt Bildschirmschoner an), dann weiß ich nicht was dominiert. Von der Verarbeitungsreihenfolge her müsste der Benutzer dominieren, da dieser zuletzt ausgeführt wird. Von der Wertigkeit her würde ich aber die Computereinstellungen höher einschätzen und diese als dominant bezeichnen. Fakt bleibt jedoch auch, dass sich die GPOs im Hintergrund aktualisieren und daher im laufenden Betrieb aktualisieren. Wenn also jetzt zum Beispiel ein GPupdate /target:computer ausgeführt wird, wäre wiederum die Computerkonfiguration die zuletzt ausgeführte. UM dieses hin und her zu vermeiden empfiehlt es sich, die Einstellung entweder als Computer oder als Benutzer zu konfigurieren. Nicht aber wie du es vermutlich machst als beides, denn du wirst ja bestimmt auch bei den Usern eine Sperrzeit eingestellt haben.
So mein Lösungsvorschlag:
1. Vergiss die Konfiguration für den Computer und lege sie ausschließlich für Benutzer an. Das hat verschiedene Vorteile, zum Beispiel wird der Bildschirm gesperrt falls du dich mal als Admin anmeldest und dann gestört wirst und das abmelden vergisst.
2. Konfiguriere eine eigene GPO nur für diesen Benutzer. Diese sollte wie folgt aussehen:
3. Konfiguriere eine eigenen GPO nur für diese Workstation. Zum Beispiel so:
Zuordnung machst du dann über den Sicherheitsfilter und die Sache ist erledigt.
Mit nur diesen Einstellungen habe ich in unserer Domäne den Benutzer und die Rechner konfiguriert, auf denen das Monitoring den ganzen Tag laufen soll. Hier will ich natürlich auch nicht, dass ich regelmäßig die Maus bewegen muss oder der Bildschirm aus geht und es funktioniert.
Gruß
Doskias