我在一所学校工作,经常遇到的一个问题是,员工在工作站上保持登录状态,将敏感材料暴露给其他用户和潜在的学生。我应用 GP 通过屏幕保护程序锁定工作站,但随后又遇到了另一个问题 - 员工离开共享 PC,下一个想要使用该系统的人无法解锁它。
除了系统管理员之外,我还有其他技术助理人员,他们没有也不应该拥有域的完全管理员权限。有没有办法 (1) 将这些用户添加到管理员组,但以某种方式限制他们的其他管理权限,或者 (2) 以某种方式授予他们的用户帐户解锁工作站的权限。
您可以想象,技术助理人员目前通过硬重置 PC 解决了该问题 - 但这并不理想。
答案1
正如已经解释过的,您不需要域管理员来“解锁”计算机,用户只需要是本地管理员。
我认为最好的解决方案是自动注销闲置一段时间的用户。
编辑:
它不是一个简单的 GPO,需要有点杂乱修改 Windows 屏幕保护程序。您可以执行以下操作:
- 下载 Windows Server 2003 资源工具包工具
- 将 Winexit.scr 从资源包中复制到每个工作站的 %systemroot%\system32 目录中
- 使用以下设置创建用户 GPO: 替代文本http://img34.yfrog.com/img34/6015/mwsnap53020091124100617.jpg
- 对于屏幕保护程序可执行文件名称,请使用:winexit.scr
- 对于屏幕保护程序超时,指定在注销之前应如何记录空闲时间。以秒为单位。
答案2
只需将其他技术助理的域帐户添加到每台电脑上的本地管理员组即可。
但要小心解锁,因为它会强制注销登录的帐户,关闭所有文件,并可能丢失未保存的工作。用户教育确实是唯一的方法。
答案3
关于该主题的其他帖子似乎表明您需要第三方解决方案:解锁管理员看起来很有用,而且有免费试用版,尽管我从未尝试过。
答案4
我要么按照其他人的建议使用“解锁管理员”,要么执行以下操作:
- 创建一个工作站管理员Active Directory 组。
- 将您的技术人员添加到工作站管理员组。
- 将工作站管理员组添加到本地管理员工作站上的组。
当 PC 被锁定时,他们需要致电技术支持(或其他用户)来解锁。或者,按照上述方法安装一个作为服务运行的远程控制工具,让您的技术人员远程登录 PC 并解锁。