С помощью групповых политик вы можете включить и настроить одинаковый скринсейвер (экранную заставку) на всех компьютерах в домене Active Directory. В этом примере мы будем использовать в качестве скринсейвера слайд-шоу с изображениями, которые содержат правила информационной безопасности для пользователей.
Ручная настройка параметров скринсейвера в Windows
Сначала нужно настроить параметры скринсейвера на эталонном компьютере. В дальнейшем мы экспортируем с него настройки скринсейвера и применим к другим компьютерам через GPO.
Мы подготовили несколько JPG файлов с изображениями, которые нужно показывать пользователям на экранной заставке. Перейдите в каталог C:\Users\Public\Pictures (файлы в Public профиле доступны всем пользователям), создайте папку ScreenSaver и скопируйте в нее ваши JPG файлы для заставки.
Откройте панель Settings -> Personalization -> Lock Screen (для быстрого перехода выполните команду
ms-settings:lockscreen
) и нажмите кнопку Screen Saver Settings
В качестве скринсейвера выберите Photos и нажмите кнопку Settings (чтобы быстро открыть настройки скринсейвера, выполните команду:
control desk.cpl,,@screensaver
). Здесь нужно указать путь к папке, в которой хранятся ваши изображения.
Настройки параметров этого скринсейвера хранятся в разделе реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows Photo Viewer\Slideshow\Screensaver. Путь к каталогу с изображениями указывается в зашифрованном виде (Base64) в параметре реестра EncryptedPIDL. Скопируйте значение параметра EncryptedPIDL (далее оно будет использоваться при создании политики скринсейвера).
Настройка групповой политики с параметрами экранной заставки
Скопируйте JPG файлы с изображениями в общий сетевой каталог, который доступен на чтение всем пользователям. Можно использовать каталог SYSVOL на контроллере домена для хранения файлов (в этом примере это
\\winitpro.loc\SYSVOL\winitpro.loc\scripts\ScreenSaver
). Проверьте, что у группы Authenticated User есть права на чтение в этой папки.
Теперь нужно настроить групповую политику, которая будет копировать файлы на компьютеры пользователей.
- Откройте консоль управления доменными групповыми политиками (gpmc.msc), создайте новую GPO и назначьте на OU с пользователями;
- Перейдите в раздел User Configuration -> Preferences -> Windows Settings -> Folders. Создайте параметр New -> Folder. Укажите значение
%Public%\Pictures\ScreenSaver(это параметр GPP создаст папку ScreenSaver в общем профиле);
- Теперь перейдите в раздел Files и создайте правило GPP, которое будет копировать все файлы из
\\winitpro.loc\SYSVOL\winitpro.loc\scripts\ScreenSaver\*в каталог%Public%\Pictures\ScreenSaver. Чтобы скопировать все файлы, нужно указать*в пути источника.
- Затем перейдите в раздел Registry и выберите New -> Registry item. Создайте параметр реестра:
Hive:
HKEY_CURRENT_USER
Key path:SOFTWARE\Microsoft\Windows Photo Viewer\Slideshow\Screensaver
Value name:EncryptedPIDL
Value type:REG_SZ
Value date: скопируйте значение параметра EncryptedPIDL с эталонного компьютера.
Перейдите на вкладку Common и включите опцию Remove the item when it is no longer applied.
- Затем перейдите в раздел User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization. Включите политику Force specific screen saver, укажите значение
PhotoScreensaver.scr(по умолчанию Photoscreensaver.scr использует в качестве источника изображений для слайдшоу каталог C:\Users\Public\Pictures\Sample Pictures).
- В параметре Screen Saver timeout нужно указать время простоя компьютера в секундах, после которого автоматически включается скринсейвер. Дополнительно можно включить опцию Password Protect Screen, чтобы автоматически заблокировать экран компьютера и защищать его паролем). Чтобы запретить пользователям менять настройки скринсейвера, включите Prevent changing screen saver.
Закройте консоль Group Policy Management и обновите политики на клиентах (
gpupdate /force
). Проверьте, что на всех компьютерах при простое включается единый корпоративный скринсейвер в виде слайдшоу из изображений.
Вывести настройки скринсейвера для текущего пользователя можно с поомщью PowerShell команды:
Get-Wmiobject win32_desktop | where name -match $env:USERNAME
ScreenSaverActive : True ScreenSaverSecure : False ScreenSaverTimeout : 60
Добрый день! Хорошая статья! Спасибо!
Но возник один нюанс, параметры заставки пользователь менять не может, но он может изменить путь к папке с изображениями. Возможно ли заблокировать данный параметр для изменения
Даже если он переназначит каталог с изображениями, через какое-то время, она все равне вернется на ту, которая задается через политику.
Либо, если уж очень хочется — заблокировать пользователю запись в ветку реестра HKEY_CURRENT_USER > Software > Microsoft > Windows Photo Viewer > Slideshow > Screensaver (но имхо это уже лишнее)
А можно вас попросить поделиться картинками с правилами ИБ которые вы используете ?
Поделиться, к сожалению, не могу — на слайдах содержится коммерческая инфа.
Могу текстом пару написать, но мне кажется все это легко ищется в интеренете:
1. Блокируйте компьютер, когда покидаете рабочее место (WIN+L)
2. Не сообщайте свой пароль кому бы то ни было и не помещайте его на видно месте на рабочем столе (особенно на монитор)
3. Не запускайте незнакомые файлы и подозрителный вложения
4. О случаях незаконного использования оборудования компании, коррупции сообщайте на горячую линию
и т.д.
Напоминает одну немецкую авто-компанию в VW group входящую 😉
Все совпадения случайны, а текст взят из головы 🙂 Копирайт.
у всех в итоге подключается сетевой диск, зачем это нужно, можно как то без этого скопировать?
Net use s: /delete
В конце скрипта можно отключать сетевой диск командой:
net use s: /deleteЛибо можно копировать файлы через групповые политики (Group Policy Preferences)
а зачем копировать?
разве нельзя в качестве пути для картинок указать сетевую папку?
Каждый раз грузить картинки из сетевой папки — не слишком разумно с точки зрения загрузки сети и файл сервера.
«Включите политику Force specific screen saver, в качестве значения укажите PhotoScreensaver.scr. (по умолчанию Photoscreensaver.scr использует в качестве источника изображений для слайдшоу каталог C:\Users\Public\Pictures\Sample Pictures)»
Так ведь ваши файлы согласно скрипту, лежат в другой папке…
Сринсейвер берет файлы из папки C:\Users\Public\Pictures\Sample Pictures по умолчанию. В нашем случае зашифрованный путь к локальной папке с картинками хранится в ветке реестра EncryptedPIDL .
Итого уже 4 места для напоминалок про инфобез: экран логина, десктоп, карусель десктопа и скринсейвер. Бди!)
День добрый.
сори за офтоп,
Подскажите как в СMD выполнять задания по требованию от имени пользователя ?%LogonDomain%\%LogonUser%
Например можно назн. задания для ПК:
SchTasks /RUN /S ИМЯПК /U contoso\admin /P пароль123456 /TN Screensaver
Но задание надо выполнить от заголенного пользователя И есть оно только у него в планировщике.
У contoso\admin скорее всего пусто,
SchTasks /RUN /S ИМЯПК /U %LogonDomain%\%LogonUser% /TN Screensaver
Так? )) Введите пароль для %LogonDomain%\%LogonUser%:
Вам похоже сюда https://winitpro.ru/index.php/2017/06/08/sozdanie-zadaniya-planirovshhika-s-pomoshhyu-powershell/
Либо можно создать задание через пользовательский раздел политик GPP.
Немного не то, задание уже есть/ через GPP или power shell.
Но это задание пользователя а не для локал. ПК.
И предположим надо выполнить его для всех активных пользователей, не дожидаясь расписания.
Для удалённого выполнения задания нужны логин и пароль админа.
Но тогда задания ищутся в Планировщике для ПК.
Если взять задание для пользователя и запустить команду из под админа:
C:\Windows\system32>SchTasks /RUN /S laptop-001 /U contoso\Admin /P passw0rd /TN CopyUserDOCuments
Ошибка. Учетные данные пользователя не разрешены на локальном компьютере.
Такая ошибка.
Задание должно выполнятся из под любого активного пользователя..
Не уверен, что это возможно без каких-то ухищрений. Либо пользователь сам должен запустить задание, либо админ (но он не можете просто так запустить его от пользователя). Тут что-то вроде SCCM нужно или что-то подобное.
а если в батнике просто прописать
xcopy \\srv1\Install\Img\*.* C:\Screen
Не подключая и не отключая сетевой диск?
Можно. Подключать сетевой диск не обязательно. У меня просто в рамках этого скрипта еще действия выполняются.
@echo off
set dir=c:\Screen
If Exist «%dir%» (GoTo COPY ) Else (md «%dir%»)
:COPY
robocopy \\ip_address_servera\папка с картинками\ «%dir%» /z /purge /COPY:DAT /XO /R:150 /W:5 /MT:128
END
Создаем батник с таким текстом, в планировщике время выполнения ставим — ежедневно.
Таким образом ежедневно будет запускаться скрипт robocopy который сверяет картинки в эталонной папке и в случае чего происходит синхронизация.
То есть если вы удалите файл в эталонной папке то он удалится и на всех компьютерах в папке c:\screen. Ну и если добавите файл в эталонную папку, то он добавится и в папку c:\screen на всех компах.
Очень удобно, если часто скрины меняются в организации.
Перейдите к ветке HKEY_CURRENT_USER -> Software -> Microsoft -> Windows Photo Viewer -> Slideshow -> Screensaver.
Не отображается такая ветка, когда в политике пытаешься выбрать.
Какая версия Windows на компьютере, где вы редактируете GPO?
Попробуйте подключиться к другому компьютеру с помощью мастера создания параметра реестра в GPO
На АД-
GPO:
(Конфигурация ПК > Настройки> Кофн. Винды> Реестр. —
новая GPO — с записью реестре :
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP
!!! Создаем раздел PersonalizationCSP (Personalization уже есть, в нем не работает)
В созданом разделе прописываем:
LockScreenImagePath: \\пусть к файлу заставки.jpg я выкинул все на шару на АД.
LockScreenImageStatus: (DWORD32) = 1
LockScreenImageUrl: \\пусть к файлу заставки.jpg я выкинул все на шару на АД.
Назначаем эту GPO на прошедших проверку + все ПК в домене.
Ничего другого мне не помогало.
Добрый день!
А есть ли разница использовать мастер реестра для импорта или можно также через предпочтения просто создать 3 нужных параметра (EncryptedPIDL, Shuffle, Speed) с соответствующими путями и значениями?
Разницы нет, вот тут описано как пользоваться обоими вариантами
https://winitpro.ru/index.php/2016/01/19/nastrojka-klyuchej-reestra-s-pomoshhyu-gruppovyx-politik/
Не отображается ветка WindowsPhotoViewer
Что мне делать?
Добрый день, подскажите данная политика подходит для настройки слайдшоу на экране блокировки? Задача поставить на экран блокировки коллекцию из нескольких картинок и запускать их как слайдшоу с интрвалом в минуту\40 сек примерно
Да, в статье как раз это описано.
Подскажите пожалуйста, а если у меня компьютер в домене и мне мешает эта заставка, я не хочу чтобы компьютер засыпал, но это видимо тоже поописано в групповом политике. Как мне от этого избавиться?
Можно как то настроить скринсейвер на пять минут бездействия без требования ввода пароля и дальнейшие блокировку компьютера при бездействии 30 минут? То есть включается застава через 5 минут и при простое от 5 до 30 минут можно разблокировать без ввода пароля, дальше уже требуется пароль ?
Политика на компьютеры Interactive logon: Machine inactivity limit блокирует если включается заставка.
Похоже так нельзя. В доке пишут, что если политика Interactive logon: Machine inactivity limit включена, то она вбудет блокировать сессию после включения заставки:
If the Interactive logon: Machine inactivity limit security policy setting is configured, the device locks not only when inactive time exceeds the inactivity limit, but also when the screensaver activates or when the display turns off because of power settings._https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/interactive-logon-machine-inactivity-limit
Добрый день, AD на 2019 сервере, клиентские компы на Win10, уже в который раз настраиваю у себя эту тему и не работает как описано выше. После срабатывания таймера, компьютер пользователя блокируется, черный экран секунд 10 и выходит на экран блокировки. Никакого слайдшоу из картинок в каталоге %Public%\Pictures\ScreenSaver. Где можно еще посмотреть?