我在一所学校工作,一个不断出现的问题是工作人员在工作站上login,并将其敏感材料暴露给其他用户和潜在的学生。 我申请GP通过屏幕保护程序来locking工作站,但是接下来我还有一个问题 – 员工离开共享的PC,下一个想要使用系统的人不能解锁它。
除了系统pipe理员之外,我还有其他的技术助理员工,他们不应该对域名拥有完全的pipe理员权限。 有办法(1)将这些用户添加到pipe理员组,但以某种方式限制他们从其他pipe理权限或(2)以某种方式给他们的用户帐户的权限解锁工作站。
你可以想像的问题现在由技术助理人员通过硬重置PC来纠正 – 不是理想的。
如上所述,您不需要域pipe理员来“解锁”计算机,只需要用户是本地pipe理员。
我想这里最好的解决scheme是自动注销闲置一段时间的用户。
编辑:
这不是一个简单的GPO,并需要修改Windows屏幕保护程序的一些kludge 。 这是你做的:
– 用于屏幕保护程序可执行文件名称:winexit.scr
– 屏幕保护程序超时指定在注销之前如何logging空闲时间。 这是在几秒钟内。
将您的其他技术助理的域帐户添加到每台PC上的本地pipe理员组应该是所有必需的。
但是,要小心解锁,因为它会强制login帐户注销,closures所有文件,并可能失去未保存的工作。 用户教育是唯一的方法。
这个主题上的其他线程似乎表明,您将需要第三方解决scheme: 解锁pipe理员看起来很有用,并有一个免费试用,但我从来没有尝试过。
这里有几个人提到了可以通过GPO应用的“空闲超时”设置。 为了澄清,login到工作站的用户没有“空闲超时”设置,我知道。 正在讨论的设置仅与terminal服务会话相关。
如果我离开基地,是否有人友好地指向适用的GPO或用户帐户设置? 谢谢。
像其他人所build议的那样,我要么使用解锁pipe理员,要么执行以下操作:
当PC被locking时,他们需要致电技术支持(或其他用户)来解锁它。 或者,上面安装一个作为服务运行的远程控制工具,让技术人员远程login到PC并解锁。
您可以使用GPO(使用受限制的组或login脚本和“NET LOCALGROUP”命令)将域用户/组添加到域计算机上的本地pipe理员组。
