Screensaver forceren middels Group Policy

      Reacties uitgeschakeld voor Screensaver forceren middels Group Policy

Screensaver forceren

In sommige gevallen is het noodzakelijk dat screensavers worden geforceerd i.v.m. de mogelijkheid dat iemand achter jouw computer gaat zitten en informatie te zien kan krijgen die niet voor hem/haar bedoeld is.
Sommige ISO normen (ISO27001/27002) schrijven dit voor als te nemen maatregel om data veilig te houden wanneer je niet achter je werkplek zit.
Dit kan vrij eenvoudig door een Group Policy (GPO) gedaan worden !

GPO inrichten

Op een server met de Group Policy Management tool gaan we een nieuwe policy maken.
Dit kan onder “Group Policy Objects”
gpo-object-aanmaken-1

Geef de nieuwe GPO een duidelijke naam en klik op OK
gpo-object-aanmaken-2

Vervolgens kunnen we de policy editen.
Als eerste gaan we in de GPO naar User Configuration –> Policies –> Administrative Templates –> Control Panel –> Personalization
Stel de geel gearceerde regels in.
De meeste hoef je alleen te enablen, maar 2 zoals de timeout en specific screensaver hebben extra settings nodig.
gpo-object-aanmaken-3

Dubbelklik op Screen saver timeout en stel het aantal seconden in waarna de screen saver actief moet worden:
Druk dan op OK.
gpo-object-aanmaken-5 

Daarna moeten we nog een specifieke screensaver instellen. In dit artikel stellen we de 3D Tekst screensaver in.
Dubbelklik op Force Specific screen saver:
Dit moet natuurlijk op enabled staan en bij de executable name stel je in : %systemroot%\System32\ssText3d.scr
Daarna klik je op OK.
gpo-object-aanmaken-4

Feitelijk hebben we nu al de screensaver ingesteld met de basis instellingen.
Maar je kunt natuurlijk ook je eigen tekst in de screensaver laten verschijnen i.p.v. de standaard tekst.
Daarvoor moeten we wat register settings gaan pushen.

Hiervoor gaan we naar een ander onderdeel in de GPO :
User configuration – Preferences – Windows Settings – Registry
gpo-object-aanmaken-6

Hier kunnen we register aanpassingen toevoegen :
gpo-object-aanmaken-7

Voeg een key toe “DisplayString” onder Software\Microsoft\Windows\CurrentVersion\Screensavers\ssText3d en als REG_SZ waarde de tekst die je wilt laten verschijnen.
Op dezelfde manier kun je bijvoorbeeld ook het lettertype en de rotatie stijl van de screensaver instellen. De RotationStyle is een REG_DWORD hexadecimale waarde welke hier op 3 (Schommelen) staat.

Zo, nu zijn we bijna klaar !
Het zou nog kunnen dat het nodig is om de User Group Policy Loopback processing mode te laten mergen met andere policies.

Je kunt eerst proberen of dit zonder deze instelling werkt, en anders kun je deze later nog aanpassen.
gpo-object-aanmaken-8

Nu is het moment gekomen dat we de GPO gaan linken aan een OU in de Active Directory.
Ik kan me voorstellen dat je niet wilt dat ook op de server(s) deze policy er doorgedrukt wordt, dus kies een OU waarin de werkstations staan waarop de screensaver geforceerd moet worden.
Klik hierop met de rechter muisknop en kies “Link an Existing GPO…” en kies dan de GPO voor de Screen saver.

Als dat geregeld is, kunnen we op een werkstation gaan testen.

Op een werkstation open je een commandprompt en typ daar dan gpupdate /force
Dit zal dan even duren…het werkstation zal de policies nu gaan updaten.
Als je ook wil testen of de policy op dat werkstation actief is, kun je nog het commando gpresult /R gebruiken.
Je krijgt dan een lijst met de toegewezen en uitgevoerde policies.
Wanneer het niet werkt, dan moet je gaan troubleshooten. Policies kunnen zoveel oorzaken van niet functioneren hebben, daartoe reikt dit artikel niet.
De meest voorkomende problemen zijn : DNS, rechten, replicatie

Als je policy wel werkt : Gefeliciteerd !
Je hebt nu een werkende geforceerde screensaver die door gebruikers niet uit te schakelen of aan te passen is.