banane31
Goto Top

GPO - Energieeinstellungen und Screensaver

Guten Morgen zusammen,

ich verzweifele seit ein paar Tagen an einer Gruppenrichtlinie.

Ziel der Richtlinie soll es sein, dass weder der Bildschirm in den Standby wechselt, noch dass ein Screensaver greift oder eine neue Kennwort Authentifizierung nach 15 Minuten erfolgen muss.

Grund dafür ist, dass es sich hierbei um eine reine Sichtstation handelt.


Folgendes ist in der GPO konfiguriert:

coputer-konfig01
coputer-konfig02
benutzerkonfigurations


Verknüpft ist die GPO auf die OU "Workstations" mit der Sicherheitsfilterung: G_GPO-Sichtstationen
Mitglied der o.g Gruppe sind die Computerkonten als auch die "Sammelbenutzer" der Clients.

Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Da nach 15 Minuten immer der Bildschirm dunkel wird und nach einer Mausbewegung das Anmeldekennwort abgefragt wird.

Hat jemand einen Tipp oder Hinweis für mich?

Beste Grüße

Content-ID: 2692033721

Url: https://administrator.de/contentid/2692033721

Ausgedruckt am: 21.11.2024 um 12:11 Uhr

Looser27
Looser27 05.05.2022 um 09:50:31 Uhr
Goto Top
Moin,

Hast Du die GPO in der Ausführung mal auf "erzwungen" gesetzt?

Evtl. greift eine andere Policy, die danach ausgeführt wird und überschreibt die Einstellungen wieder teilweise.

Gruß Looser
Doskias
Doskias 05.05.2022 um 10:16:08 Uhr
Goto Top
Moin,
also Punkt 1: Wieso konfigurierst du irgendwas in der Benutzerkonfiguration, wenn es um eine Computerkonfiguration geht?

Punkt 2:
Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Das weißt du woher? GPResult? RSOP.msc? Warum postest du nur die Konfiguration, nicht aber dein Analyseergebnis?

Da nach 15 Minuten immer der Bildschirm dunkel wird ....
Was du ja auch so konfiguriert hast

und nach einer Mausbewegung das Anmeldekennwort abgefragt wird.
Was vermutlich an der Benutzereinstellung liegt, die bei dem angemeldeten User greift.

Gruß
Doskias
banane31
banane31 05.05.2022 um 20:09:34 Uhr
Goto Top
Zitat von @Looser27:

Moin,

Hast Du die GPO in der Ausführung mal auf "erzwungen" gesetzt?

Evtl. greift eine andere Policy, die danach ausgeführt wird und überschreibt die Einstellungen wieder teilweise.

Gruß Looser

Moin,
also die GPO ist auf "Erzwungen" gesetzt. Leider ohne Erfolg.



Zitat von @Doskias:

Moin,
also Punkt 1: Wieso konfigurierst du irgendwas in der Benutzerkonfiguration, wenn es um eine Computerkonfiguration geht?

Punkt 2:
Die GPO wird auch korrekt vom Client gezogen, greift aber nicht zu 100%.
Das weißt du woher? GPResult? RSOP.msc? Warum postest du nur die Konfiguration, nicht aber dein Analyseergebnis?

Da nach 15 Minuten immer der Bildschirm dunkel wird ....
Was du ja auch so konfiguriert hast

und nach einer Mausbewegung das Anmeldekennwort abgefragt wird.
Was vermutlich an der Benutzereinstellung liegt, die bei dem angemeldeten User greift.

Gruß
Doskias

Punkt 1:
Es ist als Computer als auch Benutzerkonfiguration konfiguriert. Die GPO habe ich auch nur mit "Computer" und "User" Kontext getestet, ohne Erfolg.

Punkt 2:
Am Client via gpresult -r geprüft, ob die Richtlinie angewendet wird. - Das ist der Fall
Per Gruppenrichtlinien Konsole mit Abfrage des Computers inkl. dem passenden Benutzer.
Was genau möchtest du als Analyse Ergebnis aufgezeigt bekommen?


Punkt 3:
Die 15 Minuten Grenze. Schande über mein Haupt ich habe einen alten Screenshot hochgeladen. Wir haben zwischenzeitlich mal einen Timer auf 10 / 15 Minuten konfiguriert, um zu prüfen, ob die Zeit genau eingehalten wird.
Steht derzeit also auf "Deaktiviert"


Punkt 4:
Kennwort bei der Reaktivierung.
Dafür sollte doch der Punkt "Kennwort bei Reaktivierung anfordern" sein? - Dieser steht auf deaktiviert...

Danke für euren Input.
Gruß
Doskias
Doskias 06.05.2022 um 08:09:14 Uhr
Goto Top
Moin,

ich glaube wir müssen hier erstmal (leider wieder) bei den Grundlagen anfangen.

Zu Punkt 1:
Verknüpft ist die GPO auf die OU "Workstations" mit der Sicherheitsfilterung: G_GPO-Sichtstationen
Ich gehe sehr stark davon aus, dass auf Grund deiner Namensgebung keine Benutzer in der Gruppe Workstations sind. Daraus folgt, dass jegliche Konfiguration, die die unter Benutzerkonfiguration vornimmst erstmal hinfällig ist. Es greift also an der Stelle "nur" die Computerkonfiguration.

Zu Punkt 2:
Das Ergebnis vom RSOP wo man sieht was als Computer und was als Benutzerkonfiguration im Bereich Energiesparplan angewendet wird.

Zu Punkt 3:
Ich vermute, du arbeitest an der falschen Stelle. Wieso kommt gleich.

zu Punkt 4:
Aber überschreibst du dir die Richtlinie wie in Punkt 3 vielleicht ohne es zu merken?

Meine Vermutung und das ist jetzt wirklich nur eine Vermutung, da ich mit nicht 100% sicher bin:
Wir haben hier einen Konflikt in dem die Benutzerrichtlinie die Computerrichtlinie überschreibt. Führen wir uns einmal kurz die Verarbeitungsreihenfolge bei der Anmeldung vor Augen:
1. Computer-GPO
2. Computer-Skript
3. Benutzer GPO
4. Benutzer-Skript

Punkt 2 und 4 spielen hier keine Rolle, aber die Reihenfolge der GPO ist interessant. Deine oben genannte GPO greift aufgrund der Zuordnung in Workstations nur bedingt, nämlich die Computerkonfiguration. Dann meldet sich der Benutzer an und seine Benutzerkonfiguration wird geladen und hier kommt nun der Punkt bei dem ich mir nicht 100% sicher bin. Wenn sich hier Computer und Benutzer widersprechen (Computer sagt Bildschirmschoner aus, Benutzer sagt Bildschirmschoner an), dann weiß ich nicht was dominiert. Von der Verarbeitungsreihenfolge her müsste der Benutzer dominieren, da dieser zuletzt ausgeführt wird. Von der Wertigkeit her würde ich aber die Computereinstellungen höher einschätzen und diese als dominant bezeichnen. Fakt bleibt jedoch auch, dass sich die GPOs im Hintergrund aktualisieren und daher im laufenden Betrieb aktualisieren. Wenn also jetzt zum Beispiel ein GPupdate /target:computer ausgeführt wird, wäre wiederum die Computerkonfiguration die zuletzt ausgeführte. UM dieses hin und her zu vermeiden empfiehlt es sich, die Einstellung entweder als Computer oder als Benutzer zu konfigurieren. Nicht aber wie du es vermutlich machst als beides, denn du wirst ja bestimmt auch bei den Usern eine Sperrzeit eingestellt haben.

So mein Lösungsvorschlag:
1. Vergiss die Konfiguration für den Computer und lege sie ausschließlich für Benutzer an. Das hat verschiedene Vorteile, zum Beispiel wird der Bildschirm gesperrt falls du dich mal als Admin anmeldest und dann gestört wirst und das abmelden vergisst.

2. Konfiguriere eine eigene GPO nur für diesen Benutzer. Diese sollte wie folgt aussehen:
energie

3. Konfiguriere eine eigenen GPO nur für diese Workstation. Zum Beispiel so:
energie2

Zuordnung machst du dann über den Sicherheitsfilter und die Sache ist erledigt.
Mit nur diesen Einstellungen habe ich in unserer Domäne den Benutzer und die Rechner konfiguriert, auf denen das Monitoring den ganzen Tag laufen soll. Hier will ich natürlich auch nicht, dass ich regelmäßig die Maus bewegen muss oder der Bildschirm aus geht und es funktioniert.

Gruß
Doskias