GPOによるWindowsロックを無効にしますか?
いくつかのWindows Server 2012 R2マシンを使用してラボをセットアップしました。ラボにはActive Directoryドメイン(DFL:Windows Server 2012 R2、FFL:Windows Server 2012 R2)があり、これらのマシンはドメインに参加しています。
デフォルトでは、無人の場合、これらのWindowsマシンは自動的にロックされます。マシンを自動的にロックしたくない。これは独立したラボなので、マシンのロックを解除したままにしてもセキュリティ上の問題はありません。
いくつかの構成を設定するグループポリシーオブジェクトを作成しましたが、マシンはまだロックされています。 GPOがマシンに適用されていることを確認しました。
GPOは、次の設定を構成します。
- コンピューターの構成\ポリシー\ Windowsの設定\ローカルポリシー/セキュリティオプション\ Microsoftネットワークサーバー\ Microsoftネットワークサーバー:セッションを中断する前に必要なアイドル時間:0分
- ユーザーの構成\ポリシー\管理用テンプレート\コントロールパネル/カスタマイズ\スクリーンセーバーを有効にする:無効
- ユーザーの構成\ポリシー\管理用テンプレート\コントロールパネル/カスタマイズ\パスワードでスクリーンセーバーを保護:無効
- ユーザーの構成\ポリシー\管理用テンプレート\コントロールパネル/カスタマイズ\スクリーンサーファーのタイムアウト:0秒
- ユーザーの構成\ポリシー\管理用テンプレート\システム/電源管理\休止状態からの再開時にパスワードを要求/一時停止:無効
私は数時間の研究を行ったが、うまくいったことをまだ見つけていない。この動作を制御する別の設定はありますか?
編集:gpresult/vからの出力:
C:\Windows\system32>gpresult /v
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
c 2013 Microsoft Corporation. All rights reserved.
Created on 9/24/2014 at 9:44:02 AM
RSOP data for CONTOSO\user01 on SERVER01 : Logging Mode
----------------------------------------------------------------
OS Configuration: Member Server
OS Version: 6.3.9600
Site Name: Default-First-Site-Name
Roaming Profile: N/A
Local Profile: C:\Users\user01
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=SERVER01,OU=SPSSearch,OU=Projects,DC=CONTOSO,DC=NET
Last time Group Policy was applied: 9/24/2014 at 9:03:08 AM
Group Policy was applied from: DC01.CONTOSO.NET
Group Policy slow link threshold: 500 kbps
Domain Name: CONTOSO
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
Don't lock workstation
Password Policy
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
-------------------------------------------------------
BUILTIN\Administrators
Everyone
BUILTIN\Users
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
SERVER01$
Domain Computers
Authentication authority asserted identity
System Mandatory Level
Resultant Set Of Policies for Computer
---------------------------------------
Software Installations
----------------------
N/A
Startup Scripts
---------------
N/A
Shutdown Scripts
----------------
N/A
Account Policies
----------------
GPO: Password Policy
Policy: MaximumPasswordAge
Computer Setting: 4294967295
GPO: Password Policy
Policy: MinimumPasswordAge
Computer Setting: 30
GPO: Default Domain Policy
Policy: LockoutBadCount
Computer Setting: N/A
GPO: Password Policy
Policy: PasswordHistorySize
Computer Setting: N/A
GPO: Password Policy
Policy: MinimumPasswordLength
Computer Setting: N/A
Audit Policy
------------
N/A
User Rights
-----------
N/A
Security Options
----------------
GPO: Password Policy
Policy: PasswordComplexity
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: ClearTextPassword
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: ForceLogoffWhenHourExpire
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: RequireLogonToChangePassword
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: LSAAnonymousNameLookup
Computer Setting: Not Enabled
GPO: Don't lock workstation
Policy: @wsecedit.dll,-59042
ValueName: MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
Computer Setting: -1
GPO: Default Domain Policy
Policy: @wsecedit.dll,-59058
ValueName: MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash
Computer Setting: 1
N/A
Event Log Settings
------------------
N/A
Restricted Groups
-----------------
N/A
System Services
---------------
N/A
Registry Settings
-----------------
N/A
File System Settings
--------------------
N/A
Public Key Policies
-------------------
N/A
Administrative Templates
------------------------
N/A
USER SETTINGS
--------------
CN=SharePoint Setup Account,OU=SPSSearch,OU=Projects,DC=CONTOSO,DC=NET
Last time Group Policy was applied: 9/24/2014 at 9:03:39 AM
Group Policy was applied from: DC01.CONTOSO.NET
Group Policy slow link threshold: 500 kbps
Domain Name: CONTOSO
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
Don't lock workstation
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The user is a part of the following security groups
---------------------------------------------------
Domain Users
Everyone
BUILTIN\Administrators
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
CONSOLE LOGON
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
Authentication authority asserted identity
High Mandatory Level
The user has the following security privileges
----------------------------------------------
Bypass traverse checking
Manage auditing and security log
Back up files and directories
Restore files and directories
Change the system time
Shut down the system
Force shutdown from a remote system
Take ownership of files or other objects
Debug programs
Modify firmware environment values
Profile system performance
Profile single process
Increase scheduling priority
Load and unload device drivers
Create a pagefile
Adjust memory quotas for a process
Remove computer from docking station
Perform volume maintenance tasks
Impersonate a client after authentication
Create global objects
Change the time zone
Create symbolic links
Increase a process working set
Resultant Set Of Policies for User
-----------------------------------
Software Installations
----------------------
N/A
Logon Scripts
-------------
N/A
Logoff Scripts
--------------
N/A
Public Key Policies
-------------------
N/A
Administrative Templates
------------------------
GPO: Don't lock workstation
Folder Id: Software\Policies\Microsoft\Windows\System\Power\PromptPasswordOnResume
State: disabled
GPO: Don't lock workstation
Folder Id: Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaverIsSecure
Value: 48, 0, 0, 0
State: Enabled
GPO: Don't lock workstation
Folder Id: Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaveActive
Value: 48, 0, 0, 0
State: Enabled
GPO: Don't lock workstation
Folder Id: Software\Policies\Microsoft\Windows\Control Panel\Desktop\ScreenSaveTimeOut
Value: 48, 0, 0, 0
State: Enabled
Folder Redirection
------------------
N/A
Internet Explorer Browser User Interface
----------------------------------------
N/A
Internet Explorer Connection
----------------------------
N/A
Internet Explorer URLs
----------------------
N/A
Internet Explorer Security
--------------------------
N/A
Internet Explorer Programs
--------------------------
N/A
@joeqwertyによる電源管理設定の確認の提案で、次の設定で新しい電源プランを作成しました。
- ディスプレイ->ディスプレイをオフにした後->バッテリー使用(分):0
- ディスプレイ->ディスプレイをオフにした後->接続(分):0
これをアクティブな電源プランとして設定し、GPOを適用しました。 25分後、マシンは自動的にロックされなくなります。
これを作成するための完全な手順は次のとおりです。
- Group Policy Management Editorで、ターゲットGPOを編集します
- コンピューターの構成\環境設定\コントロールパネルの設定\電源オプションに移動します
- 右側のペインで、右クリックしてNew->Power Plan(少なくともWindows 7)
- [詳細設定]タブで、Createアクションを選択します
- 新しいプラン名を入力してください(例:「ロックしない」)
- 選択アクティブな電源プランとして設定
- 展開ディスプレイ->ディスプレイをオフにする
- バッテリ(分)をに変更します
- Plugged in(minutes)をに変更
- クリック適用、[〜#〜] ok [〜#〜]
- GPO=ターゲットマシンに適用します
問題はキオスクロックに関するものだったので、以前の計画を変更しましたが、それでも省電力を望んでいました。
@nucrashによる電源管理設定を確認するという提案で、次の設定で新しい電源プランを作成しました。
Additional Settings -> Require a Password -> On Battery: No
Additional Settings -> Require a Password -> Plugged in : No
これをアクティブな電源プランとして設定し、GPOを適用しました。マシンは自動的にロックされなくなりました。
これを作成するための完全な手順は次のとおりです。
In Group Policy Management Editor, edit the target GPO
Go to Computer Configuration\Preferences\Control Panel Settings\Power Options
In the right pane, right click and select New -> Power Plan (At least Windows 7)
In the Advanced settings tab, select the Create action
Enter a new plan name (e.g. "Don't lock")
Select Set as the active power plan
Expand Additional Settings -> Require a Password on wakeup
Change On battery to No
Change Plugged in to No
Click Apply, OK
Apply the GPO to the target machine(s)