Меню Рубрики

Установка заставки групповыми политиками

Установка фона (обоев) рабочего стола через групповые политики

Рассмотрим, как с помощью групповых политик можно установить одинаковый рисунок рабочего стола (обои) на всех компьютерах домена. Как правило, такое требование возникает в крупных организациях, требующих использовать на всех компьютерах одинаковый фон рабочего стола, выполненного в корпоративном стиле компании.

Нам понадобится, собственно файл с рисунком, который вы хотите использовать в качестве обоев. Это может быть файл формата bmp или jpg.

Файл с изображением можно предварительно скопировать на все компьютеры, но на мой взгляд проще, чтобы клиенты автоматически брали jpg файл из сетевого каталога. Для этого можно использовать файл-сервер, каталог SYSVOL на контроллерах домена или DFS каталог. Для нашей распределенной сети мы выбрали второй вариант, ведь так как содержимое SYSVOL автоматически реплицируется между всеми DC, это уменьшит WAN — трафик между филиалами при получении клиентами файла с рисунком.

Скопируйте файл с изображением на любом контроллер домена в каталог C:\Windows\SYSVOL\sysvol\winitpro.loc\scripts\Screen. UNC путь к файлу будет выглядеть так: \\winitpro.loc\SYSVOL\winitpro.loc\scripts\Screen\corp_wallpaper.jpg.

Проверьте, что у пользователей домена есть права на чтение этого файла (проверьте NTFS разрешения, предоставив право Read группе Domain Users или Authenticated Users).

Настройка групповых политик управления фоном рабочего стола

Затем откройте консоль управления доменными GPO (GPMC.msc). Создайте новую политику и назначьте ее на нужный OU с пользователями (в нашем примере мы хотим, чтобы политика применялась на все компьютеры и сервера домена, поэтому мы просто отредактируем политику Default Domain Policy). Перейдите в режим редактирования политики.

Перейдите в секцию секции User Configuration -> Policies -> Administrative Templates -> Desktop -> Desktop (Конфигурация пользователя -> Административные шаблоны -> Рабочий стол -> Рабочий стол).

Включите политику Enable Active Desktop (Включить Active Desktop).

Затем включите политику Desktop Wallpaper (Фоновые рисунки рабочего стола). В параметрах политики укажите UNC путь к файлу с рисунком и выберите стиль фонового рисунка (Wallpaper Style) — Fill (Заполнение).

Чтобы проверить работу политики на клиенте, выполните выход из системы (logoff) и зайдите в систему опять. На рабочем столе пользователя должны отобразиться заданные обои.

Если требуется запретить пользователям менять фоновый рисунок рабочего стола, включите политику Prevent Changing Desktop Background (Запрет изменения фона рабочего стола) в разделе User Configuration -> Administrative Templates -> Control Panel -> Personalization.

Если вы хотите более точно нацеливать политику с обоями на клиентов, вы можете использовать WMI Фильтры GPO, например, чтобы применить обои только к десктопам с Windows 10, используйте следующий WMI фильтр:

select * from Win32_OperatingSystem where Version like “10.%”

Настройка фона рабочего стола через реестр и GPO

Вы можете задать параметры и файл фонового рисунка рабочего стола через реестра. Путь к файлу обоев хранится в строковом (REG_SZ) параметре реестра Wallpaper в ветке HKEY_CURRENT_USER\Control Panel\Desktop\ или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System. В этом параметре нужно указать UNC путь к вашей картинке.

В этой же ветке реестра параметром WallpaperStyle (REG_SZ) задается положение изображения на рабочем столе. Для растягивания изображения используется значение 2.

Если вы хотите запретить пользователям менять фон рабочего стола, создайте в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop параметр «NoChangingWallPaper»=dword:00000001

Эти настройки реестра можно распространить на компьютеры пользователей через расширение GPO – Group Policy Preferences. Для этого перейдите в раздел User Configuration -> Preferences -> Windows Settings и создайте два параметра реестра с режимом Update.

С помощью Group Policy Preferences Item level Targeting вы можете более точно назначить политику обоев на клиентов. Например, в свойствах параметра реестра в политике на вкладке Common включите Item level Targeting, нажмите кнопку Targeting и с помощью простого мастера укажите, что данные настройки политики фонового рисунка должны применяться только к компьютерам с Windows 10 и пользователям из определённой группы безопасности AD.

Аналогичным образом вы можете сделать несколько разных файлов обоев для разных групп пользователей (или устройств). Добавив нужных пользователей в группы доступа вы можете задать различный фоновый рисунок рабочего стола для разных категорий сотрудников.

Дополнительно вы можете изменить картинку на экране входа в систему. Для этого можно использовать политику Force a specific default lock screen image в разделе GPO Computer Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization или через следующие параметры реестра:

  • HKLM\Software\Policies\Microsoft\Windows\Personalization — LockScreenImage — путь к jpg изображению на экране блокировки;
  • HKLM\Software\Policies\Microsoft\Windows\Personalization — LockScreenOverlaysDisabled = 1;
  • HKLM\Software\Policies\Microsoft\Windows\System — DisableLogonBackgroundImage = 0.
Читайте также:  Установка печки на кирпич

На Windows 10 не применяются обои рабочего стола через GPO

На компьютерах с Windows 10 политика обоев рабочего стола может применяться не с первого раза. Дело в том, что Windows 7 и Windows 10 по-разному используют кеш фонового рисунка рабочего стола. В Windows 7 при каждом входе пользователя в систему кэш фонового изображения обоев перегенеририуется автоматически.

В Windows 10, если путь к картинке не изменился, не происходит обновление кэша, соответственно пользователь будет видеть старую картинку, даже если вы обновили ее в каталоге на сервере.

Поэтому для Windows 10 можно добавить дополнительный логоф скрипт, который очищает кэш изображения при выходе пользователя из системы. Это может быть bat файл Clear_wallpaper_cache.bat с кодом:

del /F /S /Q %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper
del /F /S /Q %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Themes\CachedFiles\*.*

В результате фон рабочего стола у пользователей Windows 10 станет применяться нормально.

источник

Установка обоев через групповые политики

Есть у меня 2 терминальных сервера, одинаковых. Обоев на рабочем столе нет совсем. И вот, когда звонят пользователи и просят в чем то помочь — необходимо к ним подключиться, к их RDP сессии. И начинал сначала искать пользователя на одном терминальнике, и если не находил, но начинал искать на другом. В один прекрасный момент это надоело и я решил совместить приятное с полезным. Установив на терминальники всем пользователям обои на рабочий стол. И как раз на носу Новый Год, то выбор пал на белую и зеленую елки. Теперь проще различать, на каком сервере находится пользователь, просто спросив у него, какая картинка у него на рабочем столе. Это было краткое вступление, теперь давайте к делу!

Как установить обои на рабочий стол через GPO (групповые политики)

Работать будет с локальным редактором групповых политик, нам этого будет достаточно, но точно так же можно и через AD установить обои всем пользователям в вашей корпоративной сети.

Приступим, для начала запустим локальный редактор групповых политик, для этого нажмем сочетание «Win+R» и наберем там «gpedit.msc» и нажмем «Enter»

Перед нами откроется окно «Редактор локальной групповой политики«. Идем тут в «Конфигурация пользователя -> Административные шаблоны -> Рабочий стол» и находим тут «Фоновые рисунки рабочего стола»

Кликаем на нее двойным кликом мыши.

Далее переводим данный параметр в состояние «Включено»

Далее надо указать путь в параметрах, где лежит рисунок, который Вы хотите установить. У меня он лежит локально на том же терминальнике, можно его хранить где в сети в расшаренной папке. Вписываем путь вместе с названием изображения, Выбираем стиль, как оно будет выглядить (заместить, по центру, растянуть, заполнить). У меня стоит заполнение.

Все, нажимаем кнопку ОК.

После этого не забываем обновить политику.

Чтобы не перезагружать сервер, сделаем это принудительно. Для этого опять вызываем «Выполнить» через сочетание «Win+R» и пишем в нем «cmd»

В командной строке выполняем «gpupdate /force» и дожидаемся ее успешного завершения.

Заключение

Вот и все. При следующем входе в систему пользователь увидит у себя на рабочем столе картинку, которую Вы ему установили. Очень актуально и для нового года, можно поменять людям обои на новогодние, тем самым подняв им настроение. Либо установить единую корпоративную картинку/эмблему. Тут уже как ваша душа пожелает.

Вот такая елочка получилась у меня на одном из серверов. Люди довольны красивой картинкой, мне стало проще различать серваки.

источник

Настройка скринсейвера в виде слайдшоу с помощью GPO

У руководства возникла идея установить на всех ПК организации одинаковый скринсейвер (экранную заставку), представляющий собой слайд-шоу с изображениями. В качестве изображений планируется использование картинок, выполненных в корпоративном стиле компании, на которых указываются основные правила информационной безопасности, полезные советы для пользователей и другая справочная информация. В результате, у меня получилось решение распространения файлов с картинками и управления экранной заставкой с помощью возможностей GPO (групповых политик).

Читайте также:  Установка переднего фонаря на велосипед

Сразу отмечу, что в компании в качестве клиентских ОС используются все поддерживаемые версии Windows: Windows 7, Windows 8.1 и Windows 10, поэтому решение по управлению корпоративной заставкой должно быть универсальным и работать на любой версии ОС.

Первоначально рассматривался вариант по созданию собственного скринсейвера в формате *.scr, но такая методика требует дополнительного софта и не достаточно гибка и проста в управлении.

В ОС Windows, начиная с Windows 7 на экране блокировки в качестве скринсейвера можно отображать слайд шоу из изображений в указанной папке, но управлять этими настройками с помощью GPO нельзя. Пришлось искать обходное решение.

Общий сетевой каталог с изображениями для слайд шоу

В первую очередь на любом сервере сети создадим общий сетевой каталог, в котором будут храниться оригиналы файлов с изображениями для слайдшоу. Необходимо предоставить всем пользователям домена (группе Domain Users) права на чтение файлов в этой папке. К примеру, в нашем случае файлы хранятся по следующему UNС пути: \\srv1\Install\Img. Скопируем в нее файлы изображений.

Затем создадим файл со скриптом copy_screens.bat, который должен подключать данную сетевую папку на клиентах и копировать файлы с изображениями для скринсейвера на локальный диск каждого компьютера в папку C:\Screen. Код скрипта copy_screens.bat представлен ниже.

net use s: \\srv1\Install\Img
mkdir C:\Screen
del /Q C:\Screen\*.*
xcopy S:\*.* C:\Screen

Скопируйте скрипт в каталог SYSVOL на контроллере домена (C:\Windows\SYSVOL\sysvol\contoso.com\scripts). Затем с помощью редактора групповой политики создайте новую GPO или отредактируйте имеющуюся. С целью демонстрации, мы будем запускать задание копирования через разовое задание планировщика (если нужно обновить слайды, назначьте повторный запуск задания). Создадим с помощью GPO новое задание планировщика для всех ПК.

Перейдите в раздел User Configuration > Preferences > Control Panel Settings > Scheduled Tasks и создайте новое задание (New->Scheduled Task at Least Windows 7) со следующими параметрами:

Имя задания: CopyScreen

Действие: Update

Запускать задание из-под: %LogonDomain%\%LogonUser%

На вкладке Triggers, добавим новое условие New Trigger -> On a Schedule -> One Time

На вкладке Action – укажем, что нужно запускать скрипт: \\contoso.com\SYSVOL\contoso.com\scripts\copy_screens.bat

Сохраните изменения в задании и назначьте политику на OU с пользователями.

Настройка параметра скинсейвера на эталонном ПК

Теперь на эталонном компьютере нужно настроить сринсейвер, чтобы он брал изображения для слайдшоу из папки C:\Screen. Настройки соответствующих веток реестра этого компьютера в дальнейшем распространим на все ПК с помощью GPO.

В случае Windows 10 перейдите в следующий раздел настроек: Start -> Settings -> Personalization -> Lock Screen. Промотайте вниз и найдите Screen Saver Settings. В качестве скринсейвера выберите ‘Photos’ и нажмите кнопку Settings.

Укажите путь к папке C:\Screen, включите опцию Tick Shuffle Pictures и сохраните изменения.

Теперь нам нужно экспортировать ветку реестра HKEY_CURRENT_USER > Software > Microsoft > Windows Photo Viewer > Slideshow > Screensaver в reg файл и импортировать ее на контроллере домена (или другом компьютере, с которого выполняется редактирование GPO).

Сохраните reg файл и импортируйте его на компьютер, с которого вы редактируете GPO.

Групповая политика управления экранной заставкой

Откройте GPO и перейдите в ветку GPP: User Configuration -> Preferences -> Windows Settings -> Registry. Создайте новый параметр New > Registry Wizard > Next

Перейдите к ветке HKEY_CURRENT_USER -> Software -> Microsoft -> Windows Photo Viewer -> Slideshow -> Screensaver. Отметьте следующие ключи и нажмите Finish:

Затем перейдите в раздел GPO User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization. Включите политику Force specific screen saver, в качестве значения укажите PhotoScreensaver.scr. (по умолчанию Photoscreensaver.scr использует в качестве источника изображений для слайдшоу каталог C:\Users\Public\Pictures\Sample Pictures).

Совет. Кроме того можно включить следующие политики в разделе Personalization

  • Enable Screen Saver
  • Password Protect Screen – защита экрана блокировки паролем
  • ScreenSavertimeout – время простоя компьютера в секундах, после которого автоматически включается скринсейвер

На этом все, закройте консоль Group Policy Management и обновите политики на клиентах ( gpupdate /force ). На всех компьютерах, после указанного времени простоя должен включаться единый корпоративный скринсейвер в виде слайдшоу из изображений в папке c:\Screen.

источник

Настраиваем блокировку компьютера при простое через screen saver с помощью Group Policy Preferences

В большинстве организаций, применяющих в своей ИТ инфраструктуре локальные стандарты и регламенты информационной безопасности, уделяется отдельное внимание вопросу блокировки консолей рабочих станций пользователей при наступлении некоторого периода бездействия. Например, в качестве обязательного требования для большинства категорий пользователей может выставляться блокировка рабочего стола компьютера при отсутствии пользовательской активности более 15 минут. В управляемой среде Active Directory в доменных групповых политиках администраторам предоставляется ряд параметров, позволяющих централизованно настроить пользовательскую среду для форсированного применения механизма блокировки рабочего стола посредствам срабатывания программы — хранителя экрана (screen saver), или как её ещё называют, экранной заставки. Эти параметры расположены в разделе групповой политики:

Читайте также:  Установка дак на сузуки гранд витара

User Configuration > Policies > Administrative Templates > Control Panel > Personalization

Вот типичный возможный пример таких настроек:

Password protect the screen saver = Enable
Screen saver timeout = Enable ( 900 Seconds)
Force specific screen saver = scrnsave.scr

В данном примере включено обязательный запуск конкретного файла экранной заставки (scrnsave.scr) при простое более 15 минут с требованием ввода пароля пользователя при попытке последующего доступа к рабочему столу.

В системе, где применены данные параметры GPO, все настройки экранной заставки для пользователя становятся недоступными для изменений.

На практике встречается ситуация, когда за компьютером работает сменный суточный персонал, которому постоянно необходимо в режиме наблюдения видеть рабочий стол компьютера. При этом такой персонал может даже иметь несколько рабочих столов компьютеров, за которыми требуется наблюдение и не требуется интерактивное взаимодействие с клиентской ОС. Для такого рода пользователей нужен несколько иной подход с точки зрения автоматической блокировки компьютеров при простое.

Для обеспечения настроек экранной заставки для сменного персонала и для всех остальных пользователей мы можем создать две отдельные групповые политики – одна с обязательным срабатыванием экранной заставки, другая — без него. Но с использованием механизмов настройки реестра с помощью Group Policy Preferences (GPP) мы сможем гибко объединить эти настройки внутри одной групповой политики.

Для того, чтобы задействовать механизмы GPP для данной задачи, мы воспользуемся параметрами реестра, которые изменяются стандартными Административными шаблонами, указанными нами ранее. Сопоставим указанные ранее параметры GPO с ключами реестра которые они изменяют в клиентской системе:

Политика: Password protect the screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1

Политика: Screen saver timeout
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900

Значение «900» означает количество секунд от момента начала бездействия до срабатывания экранной заставки (15 минут простоя)

Политика: Force specific screen saver
Куст реестра: HKEY_CURRENT_USER
Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr

Эксперименты с применением этой политики показали, что ключ реестра ScreenSaveActive добавляется лишь на системах Windows XP, а после отключения этой политики, он из реестра корректно не удаляется. Опытным путём удалось выяснить, что отсутствие этого ключа не вносит никаких изменений, поэтому будем рассматривать его как рудиментарный элемент и исключим из наших настроек GPP.

Итак, в групповой политике, действующей на наших пользователей, переведём три перечисленных параметра в состояние Not configured (если они ранее были настроены), а в разделе политики User Configuration > Preferences > Windows Settings > Registry создадим логическую группу, в которой будут храниться наши настройки, например ScreenSaver .

Внутри этой группы создадим две подгруппы настроек — Enabled и Disabled , в которых соответственно будут хранится настройки для включения и отключения форсированного применения экранной заставки. В нашем примере важно, чтобы параметры включения обрабатывались перед параметрами отключения.

В группе Enabled создадим три правила для создания/обновления ранее перечисленных ключей пользовательского реестра. Нацеливание (Item-level targeting) для этой группы использовать не будем, то есть эти параметры реестра будут применяться для всех пользователей.

В группе Disabled создадим три правила для удаления этих же ключей реестра. Группа Disabled будет иметь нацеливание на специально созданную доменную группу безопасности, в которую будут включены все пользователи, для которых нужно отключить форсированное применение экранной заставки.

Таким образом, логика обработки параметров реестра будет заключаться в обязательном включении экранной заставки для всех пользователей за исключением тех, кто включён в специальную группу безопасности. То есть при включении какого-либо пользователя в данную группу, из его пользовательского реестра будут удаляться ключи форсированной настройки экранной заставки, и он самостоятельно сможет, например, отключить её вовсе, так как в ОС диалоговые элементы пользовательского интерфейса станут доступными.

источник