相信有些大型公司的IT安全策略是非常严格的,比如让用户在一定时间后自动锁定仍觉得不安全,需要注销才可以,这里我们讨论在域环境下,如何实现。
本文讲述的是利用微软windows server 2003 resouce kits中的winexit.scr来实验,当然也可以利用第三方比如ActiveExit、Screensaver Operations等工具实现,批量应用的建议采用Screensaver Operations或winexit实现,前者可以到这里下载http://www.grimadmin.com/filemgmt_data/files/ssoperations_1.4_win32_64.zip,后者在http://download.microsoft.com/download/8/e/c/8ec3a7d8-05b4-440a-a71e-ca3ee25fe057/rktools.exe下载。
思路:
1、通过开机脚本将winscr.scr拷贝到c:\windows\system32目录下
2、赋予普通用户HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\control.ini键的权限。
3、组策略中启用屏幕保护策略
4、更新注册表键值,使其强制注销。
具体操作步骤如下:
1、下载windows server 2003 resources kits提取到到winexit.scr
2、新建组策略,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\control.ini赋予everyone设置数值和创建链接的权限。
3、设置开机脚本,将winexit.scr拷贝到客户端system32目录下
vbs脚本内容如下
Option Explicit
Dim objFSO, wshShell
Dim fileSrc, dest
Set objFSO = Wscript.CreateObject("Scripting.FileSystemObject")
Set wshShell = Wscript.CreateObject("WScript.Shell")
fileSrc="\\10.0.0.1\share\winexit\winexit.scr"
dest = "c:\windows\system32\"
objFSO.CopyFile fileSrc, dest, true
注意共享文件夹的权限设置
4、设置屏幕保护策略,如下图,将四个屏保策略启用。
5、设置选项 强制注销、消息提示、等待时间选项。
展开用户配置-首选项-注册表,新建项,如下图
1代表强制注销,0代表不强制注销
数值数据为注销提示文字,可以自由填写。
10代表提示计时10秒后即注销。
汇总如图所示。
对应下图
注:如果找不到相应选项,可以选择手动新建相关键,示例如下
6、客户端测试
等待设置好的时间后,出现以下画面,然后被强制注销掉。
注意:只有活动的会话才会自动注销,比如你登录第二个会话,第一个会话会自动断开,则如果不重新登录第一个会话,第一个会话永远不会自动注销。
本文出自 “Cloud Power” 博客,请务必保留此出处http://466283070.blog.51cto.com/4779530/1620093
原文地址:http://466283070.blog.51cto.com/4779530/1620093
