इस लेख में हम दिखाएंगे कि समूह नीति का उपयोग करके डोमेन कंप्यूटर या सर्वर पर स्वचालित स्क्रीन (सत्र) लॉक को कैसे कॉन्फ़िगर किया जाए। उपयोगकर्ता के निष्क्रिय (निष्क्रिय) होने पर कंप्यूटर स्क्रीन को लॉक करना एक महत्वपूर्ण सूचना सुरक्षा तत्व है। उपयोगकर्ता अपने डेस्कटॉप को लॉक करना भूल सकता है (कीबोर्ड शॉर्टकट Win + L . के साथ ) जब उसे थोड़े समय के लिए कार्यस्थल छोड़ने की आवश्यकता हो। इस मामले में, कोई भी अन्य कर्मचारी या ग्राहक जो आस-पास है, उसके डेटा तक पहुंच सकता है। ऑटो-लॉक स्क्रीन नीति इस दोष को ठीक कर देगी। निष्क्रियता (निष्क्रिय) के कुछ समय के बाद, उपयोगकर्ता का डेस्कटॉप स्वचालित रूप से लॉक हो जाएगा, और उपयोगकर्ता को सत्र में वापस आने के लिए अपना डोमेन पासवर्ड फिर से दर्ज करना होगा।
आइए स्क्रीन लॉक विकल्पों को प्रबंधित करने के लिए एक डोमेन समूह नीति बनाएं और कॉन्फ़िगर करें:
- समूह नीति प्रबंधन कंसोल खोलें (
gpmc.msc), एक नया GPO ऑब्जेक्ट बनाएं (LockScreenPolicy ) और इसे डोमेन रूट (या उपयोगकर्ता OU) से लिंक करें;
- नीति संपादन संपादित करें और उपयोगकर्ता कॉन्फ़िगरेशन . पर जाएं -> नीतियां -> प्रशासनिक टेम्पलेट -> कंट्रोल पैनल -> मनमुताबिक बनाना;
- जीपीओ अनुभाग में स्क्रीन सेवर और स्क्रीन लॉक सेटिंग्स को प्रबंधित करने के लिए कुछ विकल्प हैं:
- स्क्रीन सेवर सक्षम करें
- पासवर्ड स्क्रीन सेवर को सुरक्षित रखता है — कंप्यूटर को अनलॉक करने के लिए पासवर्ड डालने का संकेत देता है
- स्क्रीन सेवर टाइमआउट - सेकंड में समय सेट करता है जब एक स्क्रीन सेवर सक्षम हो जाएगा और यदि कोई उपयोगकर्ता निष्क्रिय है तो कंप्यूटर लॉक हो जाएगा
- बलपूर्वक विशिष्ट स्क्रीन सेवर - आप उपयोग की जाने वाली स्क्रीन सेवर फ़ाइल निर्दिष्ट कर सकते हैं। सबसे अधिक बार यह होता है
scrnsave.scr(आप GPO का उपयोग करके एक स्लाइड शो स्क्रीन सेवर बना सकते हैं) - स्क्रीन सेवर बदलने से रोकें - उपयोगकर्ताओं को स्क्रीन सेवर सेटिंग बदलने से रोकता है
- सभी नीतियों को सक्षम करें और स्क्रीन सेवर टाइमआउट में कंप्यूटर के निष्क्रिय समय को सेट करें नीति। मैंने 300 दर्ज किया है। इसका मतलब है कि उपयोगकर्ता सत्र 5 मिनट के बाद स्वचालित रूप से लॉक हो जाएंगे;
- क्लाइंट पर समूह नीति सेटिंग अपडेट होने तक प्रतीक्षा करें या कमांड के साथ उन्हें मैन्युअल रूप से रीफ़्रेश करें:
gpupdate /force. जीपीओ लागू होने के बाद, स्क्रीन सेवर और स्क्रीन लॉक सेटिंग्स को विंडोज इंटरफेस में संपादन से सुरक्षित किया जाएगा, और उपयोगकर्ता सत्र 5 मिनट की निष्क्रियता में लॉक हो जाएंगे (जीपीओ कैसे लागू किया जाता है इसका निदान करने के लिए, आप gpresult टूल का उपयोग कर सकते हैं और इस लिंक का अनुसरण करने वाला लेख)।
कुछ मामलों में, आपको अलग-अलग उपयोगकर्ता समूहों के लिए अलग-अलग लॉक नीतियों को कॉन्फ़िगर करने की आवश्यकता हो सकती है। उदाहरण के लिए, कार्यालय के कर्मचारियों की स्क्रीन 10 मिनट के बाद बंद कर दी जानी चाहिए, और उत्पादन या SCADA ऑपरेटरों की स्क्रीन कभी भी बंद नहीं होनी चाहिए। ऐसी रणनीति को लागू करने के लिए, आप GPO सुरक्षा फ़िल्टरिंग का उपयोग कर सकते हैं (GPO का उपयोग करके USB उपकरणों तक पहुंच को प्रतिबंधित करने वाला उदाहरण देखें) या GPP में आइटम स्तर लक्ष्यीकरण का उपयोग कर सकते हैं। आइए बाद वाले का अधिक विस्तार से अध्ययन करें।
आप GPO के बजाय रजिस्ट्री का उपयोग करके कंप्यूटर लॉक सेटिंग्स को कॉन्फ़िगर कर सकते हैं, और संबंधित रजिस्ट्री सेटिंग्स को GPO के माध्यम से उपयोगकर्ताओं के कंप्यूटर पर तैनात कर सकते हैं। निम्नलिखित रजिस्ट्री पैरामीटर ऊपर चर्चा की गई नीतियों से मेल खाते हैं। वे HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop में स्थित हैं :
- पासवर्ड स्क्रीन सेवर को सुरक्षित रखता है ScreenSaverIsSecure . नाम का एक REG_SZ पैरामीटर है =1
- स्क्रीन सेवर टाइमआउट एक REG_SZ पैरामीटर है जिसका नाम ScreenSaveTimeout . है =300
- बलपूर्वक विशिष्ट स्क्रीन सेवर एक REG_SZ पैरामीटर है जिसका नाम ScreenSaveActive . है =1 और SCRNSAVE.EXE =scrnsave.scr
एक डोमेन सुरक्षा समूह बनाएं (grp_not-lock-prod ) जिसके लिए आप स्क्रीन लॉक नीति को अक्षम करना चाहते हैं और इसमें उपयोगकर्ताओं को जोड़ना चाहते हैं। संबंधित GPO अनुभाग में ऊपर वर्णित रजिस्ट्री पैरामीटर बनाएं (उपयोगकर्ता कॉन्फ़िगरेशन -> प्राथमिकताएं -> Windows सेटिंग -> रजिस्ट्री ) आइटम स्तर लक्ष्यीकरण का उपयोग करना , प्रत्येक पैरामीटर के लिए सेट करें कि नीति विशिष्ट सुरक्षा समूह के लिए लागू नहीं होनी चाहिए (उपयोगकर्ता सुरक्षा समूह का सदस्य नहीं है grp_not-lock-prod )
