locked
Bildschirmschoner über GPOs RRS feed

  • Frage

  • Hallo,
    wir haben für unsere Windows 7 Clients folgende Richtlinien aktiviert:
    Bildschirmschoner aktivieren
    Kennwortschutz für den Bildschirmschoner verwenden
    Bestimmten Bildschirmschoner verwenden
    Die Einstellungen kommen auch auf den Clients an, nur der Bildschirmschoner wird nicht aktiviert. Ursache ist wohl die Wartezeit für den Bildschirmschoner. Da der Benutzer die Wartezeit frei wählen darf, wurde die entsprechende Richtlinie nicht gesetzt. Nun wird eine Wartezeit von 1 Minute angezeigt, wobei ich mich entsinnen kann, dass der Standard 15 Minuten sein sollten.
    Wird die Wartezeit nun manuell geändert, aktiviert sich der vorgegebene Bildschirmschoner nach der angegebenen Zeit. Man kann auch die wartezeit wieder auf 1 Minute stellen, der Bildschirmsconer aktiviert sich dann nach einer Minute, an der einen Minute liegt es scheinbar nicht.
    Wird auch die Richtlinie "Zeitlimit für Bildschirmschoner verwenden" aktiviert, so funktioniert alles so, wie es soll, nur der Benutzer kann dann halt die Wartezeit nicht mehr verändern.

    Ist dieses Verhalten so gewollt oder gibt es hierfür eine Lösung?

    Viele Grüße

    Kurt

    Dienstag, 20. Juli 2010 06:21

Antworten

  • Hi,

    Am 20.07.2010 11:53, schrieb Kurt Kroiss:

    Der Tag ist __, die Nacht ist dunkel... Wir aber leben in der
    Dämmerung!

    Das mag sein, aber das hat nichts mit GPOs zu tun.
    GPOs kennen keine Grauzone. GPOs sind Schwarz oder Weiss. Es gibt weder
    einen Wertebereich, noch eine präferierte Einstellung.
    GPOs schaffen Fakten. Sie sind aktiv oder nicht.

    Es gibt die Möglichkeit mehr als eine GPO zu definieren und sogar eine,
    in der Benutzer komplett ohne BS auskommen.
    Filtern per Sicherheitsgruppe, Reihenfolge beachten und gut ist.

    Es gibt Gründe, warum es bei uns hier anders ist, die ich allerdings
     nicht breittreten will.

    Selbst wenn du es dann tätest, du würdest keinen finden, der bei
    3maligem Nachdenken wirklich standhält. Die Diskussion habe ich
    zu oft geführt, am Ende sind die User nur zu faul, es fehlt die
    Rückendeckung aus der Chefetage und es ist ein rein politisches
    Problem. Es gibt keinen sinnvollen technischen Grund (für Benutzer)
    und aus Sicherheitssicht schon gar keinen.

    https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m04/m04002.html

    Die einzigen, die keine BS haben sind zB KassenPCs, Infoterminals,
    System mit "MultiUser" Anmeldungen, Produktionsmaschinen und ähnliche.
    Aber die kann man alle per GPO abfangen. Alle Normalsterblichen haben
    einen BS nach 10 oder 15 Minuten und der Chef erst recht.
     Die Argumente, die immer kommen sind langweilig.
    Powerpoint?
    Der BS ist im PowerPoint Präsentationsmodus sowieso ausgeschaltet.

    DVD im Hotel und unterwegs anschauen?
    .. im Vollbild kommt kein BS weder beim MS Mediaplayer noch VLC etc.

    Lästiges Tippen?
    Tippenlernen oder Fingerprintreader

    Ja, aber ...
    ... trotzdem, dann beweg halt die Maus beim Vortag sporadisc oder
    fahr mit dem Finger übers Touchpad.

    ... aber ich muss andauernd das PW erneut eingeben.
    Du solltest dir Gedanken machen, wie du arbeitest, wenn dein BS
    nach 15 Minuten INAKTIVITÄT dauernd anspringt, das würde ich dem
    Chef nicht erzählen.

    Unsere Benutzer [...] können aber die Wartezeit frei eingeben.

    also definieren sie 1200 Minuten und haben quasi gar keinen.
    Na, herzlichen Glückwunsch. Überdenke euer Konzept.

    Das Gebilde funktioniert einwandfrei unter windows XP, auch die
    Beschreibung von Windows 7 gibt nichts anderes her.

    Dann gehe zurück zu XP oder lebe damit, daß sich mit neuen Systemen
    auch neue Verhaltensweisen und Korrekturen von Fehlern ergeben.

    Ein BS ohne Zeitvorgabe als RICHTLINIE! macht einfach keinen Sinn.
    Ich muss ja nichts erzwingen/fordern/per Richtlinie fest in Stein
    meisseln, daß der User simpelst umgeht.
    Da muss man einfach mal sagen, daß XP da noch nicht mitgedacht hatte,
    wenn es trotzdem geklappt hat. Dieser Bug ist mit Win7 dann wohl
    behoben worden, wie du merkst.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 20. Juli 2010 10:30

Alle Antworten

  • Hi,

    Am 20.07.2010 08:21, schrieb Kurt Kroiss:

    Wird auch die Richtlinie "Zeitlimit für Bildschirmschoner verwenden"
     aktiviert, so funktioniert alles so, wie es soll,

    Dann kennst du die Lösung.

    Es gibt keinen einzigen Grund, warum ein Benutzer sich die Zeit des
    Bildschirmschoners aussuchen können darf. Denn dann brauchst du ihn
    erst garnicht per GPO verteilen. 120 Minuten machen als BS einfach
    keinen Sinn und spätestens 1200 Minuten sind sinnfrei, deswegen ist
    der BS auch nicht aktiviert, wenn er keine Zeit mitgegeben kriegt.

    Der Benutzer darf die Zeit nicht einstellen. Er kann es nicht.
    Er kann es weder technisch, noch vom Verstand, denn der ist
    ausgeschaltet, genau wie der Bildschirmschoner, den der Benutzer
    als "Drangsalierung" wahrnimmt.

    Also: Aktivieren, 10 oder 15 Minuten vorgeben, der BS darf meinetwegen
    selber gewählt werden, Kennnwortschutz drauf, fertig.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 20. Juli 2010 07:52
  • Der Tag ist ____, die Nacht ist dunkel...
    Wir aber leben in der Dämmerung!

    Es gibt Gründe, warum es bei uns hier anders ist, die ich allerdings nicht breittreten will.
    Unsere Benutzer haben einen Bildschirmschoner vorgegeben, müssen bei Reaktivierung ihr Passwort eingeben,
    können aber die Wartezeit frei eingeben. Sinnvoll oder nicht, es ist halt so.
    Das Gebilde funktioniert einwandfrei unter windows XP, auch die Beschreibung von Windows 7 gibt nichts anderes her.

    Mir hilft eine Lösung des Problems.

    Viele Grüße

    Kurt

    Dienstag, 20. Juli 2010 09:53
  • Hi,

    Am 20.07.2010 11:53, schrieb Kurt Kroiss:

    Der Tag ist __, die Nacht ist dunkel... Wir aber leben in der
    Dämmerung!

    Das mag sein, aber das hat nichts mit GPOs zu tun.
    GPOs kennen keine Grauzone. GPOs sind Schwarz oder Weiss. Es gibt weder
    einen Wertebereich, noch eine präferierte Einstellung.
    GPOs schaffen Fakten. Sie sind aktiv oder nicht.

    Es gibt die Möglichkeit mehr als eine GPO zu definieren und sogar eine,
    in der Benutzer komplett ohne BS auskommen.
    Filtern per Sicherheitsgruppe, Reihenfolge beachten und gut ist.

    Es gibt Gründe, warum es bei uns hier anders ist, die ich allerdings
     nicht breittreten will.

    Selbst wenn du es dann tätest, du würdest keinen finden, der bei
    3maligem Nachdenken wirklich standhält. Die Diskussion habe ich
    zu oft geführt, am Ende sind die User nur zu faul, es fehlt die
    Rückendeckung aus der Chefetage und es ist ein rein politisches
    Problem. Es gibt keinen sinnvollen technischen Grund (für Benutzer)
    und aus Sicherheitssicht schon gar keinen.

    https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m04/m04002.html

    Die einzigen, die keine BS haben sind zB KassenPCs, Infoterminals,
    System mit "MultiUser" Anmeldungen, Produktionsmaschinen und ähnliche.
    Aber die kann man alle per GPO abfangen. Alle Normalsterblichen haben
    einen BS nach 10 oder 15 Minuten und der Chef erst recht.
     Die Argumente, die immer kommen sind langweilig.
    Powerpoint?
    Der BS ist im PowerPoint Präsentationsmodus sowieso ausgeschaltet.

    DVD im Hotel und unterwegs anschauen?
    .. im Vollbild kommt kein BS weder beim MS Mediaplayer noch VLC etc.

    Lästiges Tippen?
    Tippenlernen oder Fingerprintreader

    Ja, aber ...
    ... trotzdem, dann beweg halt die Maus beim Vortag sporadisc oder
    fahr mit dem Finger übers Touchpad.

    ... aber ich muss andauernd das PW erneut eingeben.
    Du solltest dir Gedanken machen, wie du arbeitest, wenn dein BS
    nach 15 Minuten INAKTIVITÄT dauernd anspringt, das würde ich dem
    Chef nicht erzählen.

    Unsere Benutzer [...] können aber die Wartezeit frei eingeben.

    also definieren sie 1200 Minuten und haben quasi gar keinen.
    Na, herzlichen Glückwunsch. Überdenke euer Konzept.

    Das Gebilde funktioniert einwandfrei unter windows XP, auch die
    Beschreibung von Windows 7 gibt nichts anderes her.

    Dann gehe zurück zu XP oder lebe damit, daß sich mit neuen Systemen
    auch neue Verhaltensweisen und Korrekturen von Fehlern ergeben.

    Ein BS ohne Zeitvorgabe als RICHTLINIE! macht einfach keinen Sinn.
    Ich muss ja nichts erzwingen/fordern/per Richtlinie fest in Stein
    meisseln, daß der User simpelst umgeht.
    Da muss man einfach mal sagen, daß XP da noch nicht mitgedacht hatte,
    wenn es trotzdem geklappt hat. Dieser Bug ist mit Win7 dann wohl
    behoben worden, wie du merkst.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 20. Juli 2010 10:30