我们的 DC 是 Windows Server 2008 R2,我们公司的工作站是 Windows 7。我正在尝试设置一个 GPO,它将在预定时间后自动锁定工作站(没有屏幕保护程序 - 只是锁定它们)。我在网上和这个网站上找到了各种关于如何做到这一点的信息 - 而且它看起来很简单。但是,当我创建 GPO 并应用它并进行测试时,它不起作用。这是我所做的:
我对默认域策略进行了以下更改:
用户配置 > 策略 > 管理模板 > 控制面板 > 个性化
在 GPO 中我启用了屏幕保护程序
在 GPO 中我启用了超时(将其设置为 60 秒)
在 GPO 中我启用了强制特定屏幕保护程序并将屏幕保护程序设置为:
%windir%\system32\rundll32.exe user32.dll,LockWorkStation(也在命令行上测试了这一点并且它确实锁定了工作站)
在 GPO 中我已启用密码保护屏幕保护程序。
我来到一个工作站,刷新了gpupdate /force策略,然后等了 60 秒——没有成功。屏幕没有锁定。重新启动计算机并在另一台计算机上刷新策略(并重新启动)后,情况也一样。GPO 是在默认域策略级别制定的,所以我知道不应该有任何权限问题或策略覆盖问题。每台计算机都获得此默认域策略。
任何帮助解决此问题的帮助都将不胜感激。我已经整理了有关 Serverfault 的问题和解决方案,但它们似乎对我没有帮助。我不知道为什么这不起作用。似乎应该如此。
谢谢
答案1
不要把所有东西都塞进默认域策略 (DDP),以为这样会赋予它特殊权力。您应该只配置默认域策略 GPO 来管理默认帐户策略设置、密码策略、帐户锁定策略和 Kerberos 策略。(参考https://technet.microsoft.com/en-us/library/hh875588(v=ws.11).aspx尤其是标题“处理 GPO:优先级”)如果您在编辑 DDP 时犯了错误,那么您将陷入困境。最好在自己的策略中包含其他设置,这样当您犯错时就可以取消链接。
策略按以下顺序/优先级应用:
1) Local machine
2) Site (AD Sites)
3) Domain policy
4) OU
从 DDP 中删除屏幕设置。如果您有其他策略也分配了屏幕保护程序,则需要从这些策略中删除屏幕设置。因为如果任何这些策略链接到域根目录下,则它们的优先级更高,并且这些设置将获胜。最后,制定一个包含屏幕设置的新策略并将其链接到域的根目录。用于GPRESULT查看正在应用哪些策略,和/或RSOP查看有效的屏幕保护程序设置是从哪些策略提供的。还请记住,这些是基于用户的设置,因此在有人登录之前,您的策略不会被使用,并且本地计算机策略仍然获胜。
