Pantalla de bloqueo de directiva de grupo: Guía de configuración

En esta guía, aprenderá cómo habilitar la pantalla de bloqueo de Windows usando la Política de grupo. Además, te mostraré cómo deshabilitar (deshabilitar) la política de bloqueo de pantalla para ciertos usuarios y ordenadores.

Hablaré sobre la creación de una política de bloqueo de pantalla después de 15 minutos de inactividad. Puede cambiar la configuración del tiempo de espera según sus necesidades. Esta guía funcionará en Windows 10, Server 2012 y superior.

La pantalla de bloqueo es una medida de seguridad importante si el usuario se aleja de su escritorio y se olvida de bloquear la pantalla. Si esto sucede, otro empleado o persona no autorizada puede acceder a los datos del usuario. Una política de tiempo de espera de inactividad de la pantalla de bloqueo ayudará a prevenir este problema de seguridad.

Vamos a revisar.

Importante: La mayoría de los artículos muestran una configuración de GPO incorrecta para ordenadores con Windows 10. Si habilita la configuración del protector de pantalla en la Política de grupo, no funcionará con Windows 10. Para que la pantalla de bloqueo funcione correctamente, deberá usar la configuración de GPO que proporciono en esta guía.

Índice

    Paso 1: Localice el GPO

    La política de bloqueo de pantalla es una política informática, lo que significa que cualquier persona que inicie sesión en el ordenador aplicará una política de bloqueo de pantalla. Más adelante le mostraré cómo excluir ciertas ordenadores de la política.

    Lo mejor es aplicar esta política a todos los equipos, pero siempre habrá excepciones. He recibido solicitudes para apagar los ordenadores de la sala de conferencias, los ordenadores que se usan para monitorear las 24 horas y, por supuesto, siempre hay algunos usuarios que se quejan y quieren que se apague. Todas estas solicitudes deben ser aprobadas por la alta dirección.

    Dependiendo de la estructura de su unidad, puede aplicar el GPO a la raíz y permitir que las unidades hereden la política o puede aplicar la política a unidades organizativas específicas.

    En este ejemplo, quiero que la política se aplique a todas los ordenadores, así que voy a asociar el GPO con mi unidad organizativa ADPRO Computers. Todas las subsidiarias de OU heredarán la póliza. En el paso 4, le mostraré cómo excluyo ciertas ordenadores de la política.

    Paso 2: cree un nuevo GPO para la configuración de la pantalla de bloqueo

    No agregue esta configuración a la política de dominio predeterminada. La mejor práctica de la directiva de grupo es no cambiar la directiva de dominio predeterminada, sino crear una nueva.

    1) Abra la Consola de administración de directivas de grupo

    2) Haga clic derecho en "Objetos de directiva de grupo" y haga clic en Nuevo

    Asigne un nombre al nuevo GPO. Puedes llamarlo como quieras.

    El GPO está configurado, pero ahora necesitamos establecer la configuración de tiempo de espera.

    Solo es necesario establecer una configuración de directiva de grupo. Esto es "Inicio de sesión interactivo: el límite de inactividad de la máquina"

    Vaya a -> Configuración del ordenador -> Configuración de Windows -> Políticas locales -> Configuración de seguridad

    Configure una política de grupo para bloquear la pantalla después de estar inactiva durante 15 minutos

    Cambia el valor a lo que quieras. Configuré 900 segundos, que son 15 minutos.

    Paso 3: aplique la pantalla de bloqueo de GPO y verifique su aplicación

    Configuración de directivas creadas y añadidas por GPO. Ahora solo necesita asociar el GPO con la unidad organizativa correcta.

    Como se trata de una política informática, debe aplicar el GPO a la unidad organizativa que contiene las cuentas informáticas. Si aplica GPO a OU con usuarios, la pantalla de bloqueo no funcionará.

    1) En la Consola de administración de directivas de grupo, haga clic con el botón derecho en la unidad organizativa y seleccione "Vincular GPO existente:

    Vincular GPO existente con y OU

    2) Seleccione el GPO que creó en el paso 2 y haga clic en Aceptar.

    GPO ahora está conectado.

    El intervalo de actualización de GPO en el ordenador es de 90 minutos. Así que tenga en cuenta que pueden pasar hasta 90 minutos antes de que esta política se aplique a todas los ordenadores. Puede actualizar esto instantáneamente reiniciando su ordenador o ejecutando el comando gpupdate / force.

    La anterior es una captura de pantalla que muestra el GPO asociado con mi unidad organizativa ADPRO Computers. Todas las subsidiarias de OU heredarán esta política. Por lo tanto, el ordenador en contabilidad, recursos humanos y TI OU obtendrá la aplicación de pantalla de bloqueo de GPO.

    Cómo verificar la aplicación de la pantalla de bloqueo de GPO

    Puede usar el comando gpresult / r para asegurarse de que el GPO se aplique a su ordenador. Deberá abrir el símbolo del sistema de Windows como administrador; de lo contrario, es posible que no se active la política del ordenador.

    Puede ver arriba que el GPO "Pantalla de bloqueo activada" se aplica a esta ordenador.

    Paso 4: Cómo deshabilitar (excluir) los ordenadores de la política de pantalla de bloqueo

    Digamos que tiene una pantalla de bloqueo aplicada a todas los ordenadores, pero ahora necesita deshabilitarla en ciertas ordenadores.

    Hay dos opciones:

    Opción 1: Mueva los ordenadores a la nueva unidad organizativa y no asocie el GPO con esa unidad organizativa. Esto funciona y he usado este método para varios clientes.

    Opcion 2: Cree un grupo de seguridad, agregue equipos y prohíba políticas de este grupo. Este es mi método preferido ya que creo que evita que los ordenadores se muevan entre unidades organizativas.

    Te muestro la opción 2.

    1) Cree un grupo de seguridad y agregue los ordenadores en las que desea desactivar la política de bloqueo de pantalla. Es muy importante darle al grupo un nombre descriptivo y usar el campo de descripción.

    2) Vaya a la Consola de administración de directivas de grupo, seleccione GPO y haga clic en la pestaña Delegación, y luego haga clic en Avanzado.

    3) Cuando se abra la ventana de configuración de seguridad, haga clic en Agregar

    4) Agregue un grupo de seguridad y haga clic en Aceptar

    5) Asegúrese de que "Permitir" esté configurado para lectura y "Prohibido" esté configurado para la Política de grupo "Aplicar".

    Tiene que hacer eso. Las ordenadores en su grupo de fallas deberán reiniciarse.

    Si prueba su ordenador con el comando gpresulr / r, la política se mostrará como denegada

    Asegúrese de que la política de bloqueo de pantalla esté deshabilitada con el comando gpresult

    Para prohibir cualquier ordenador adicional, todo lo que necesita hacer es agregarla al grupo de seguridad. Encuentro este método más conveniente que mover ordenadores a diferentes unidades organizativas.

    Resumen

    Asegurar una pantalla de bloqueo en los equipos de una empresa es un requisito muy común. A cualquier empresa que se someta a una auditoría siempre se le preguntará si esta política funciona, independientemente de si es una buena política. Disfruta de estas excepciones, ja.

    Artículos de interés

    Subir