Bildschirmschoner - Situationsabhängig einrichten

10.06.2013 | Autor: Mark Heitbrink

Es gibt sicherlich 1000 Wege über den Bildschirmschoner zu stolpern. Die Diskussionen sind endlos, der Streit hört nicht auf und am Ende sind alle unzufrieden.

Jede Zeit, die man definiert ist FALSCH!

1 Minute kann zu lang sein, wenn ich den Raum verlasse. 30 Minuten können zu kurz sein, wenn es sich um eine inaktive/minierte RDP Sitzung handelt. In einer schönen Welt drück jeder beim verlassen des Arbeitsplatzes "Windows + L" und keiner braucht ihn.

In dieser Anleitung zeige ich meine "Bestmöglich" Konfiguration, die folgende Situationen und Bedingungen abfängt:

  • Der Benutzer darf die Einstellung nicht ändern, es muss eine POLICY sein, der Registrywert ist geschützt vor Manipulation
  • Es gibt eine Ausnahme, in der es generell keinen Bildschirmschoner gibt, z.B.: Nach Sicherheitsgruppe, für Gruppenkonten, Maschinenanmeldungen, Überwachungsmonitore, Kiosksysteme, Präsentationsmaschinen etc
  • Ein und derselbe Benutzer hat einen Bildschirmschoner, aber in einer RDP Sitzung wird dieser immer ausgeschaltet, es sei denn es ist ein Thinclient, der ja nur die Fullsession hat, die geschützt werden muss

Die Filter lassen sich beliebig erweitern.

Die Lösung:
Wir setzen dieselben Registrywerte, wie die Administrativen Vorlagen, aber mit der Group Policy Preference Registry. Wir können mit dem Item Level Targeting die Bedingungen abfangen und definieren, wie sie oben genannt sind.

Die GPP Registry wird bei jeder GP Übernahme angewendet. Wir können also bei jeder Sitzung den BS an oder aus schalten und das Resultat auch korrigieren, wenn der BS in einer Sitzung an-/ausgeschaltet wurde aber in der nächsten genau das Gegenteil benötigt wird.

Generelle Regel: 

  1. Der Bildschirmschoner wird jedesmal angeschaltet unabhängig von jeder anderen Definition. Diese Einstellung wird nicht gefiltert. 
  2. Der Bildschirmschoner wird ausgeschaltet, wenn ...

Regel 1 - benötigte Registrywerte, die per GPP gesetzt werden müssen:

 

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop]
"ScreenSaveTimeOut"="600"
"ScreenSaverIsSecure"="1"
"ScreenSaveActive"="1"

 

Optional

 

"SCRNSAVE.EXE"="PfadundNamezurSCRDatei"

Die Sammlung "Bildschirmschoner an" steht an erster Stelle in dem Registrypunkt, denn sie muss zuerst verarbeitet werden.

Regel 2 - abschalten des Bildschirmschoners, benötigter Registrywert:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop] "ScreenSaveActive"="0"

ILT Filter - Sicherheitsgruppe

ILT Filter - Computername

ILT Filter - RDS Sitzung