相信有些大型公司的IT安全策略是非常严格的,比如让用户在一定时间后自动锁定仍觉得不安全,需要注销才可以,这里我们讨论在域环境下,如何实现。

  本文讲述的是利用微软windows server 2003 resource kits中的winexit.scr来实验,当然也可以利用第三方比如ActiveExit、Screensaver Operations等工具实现,批量应用的建议采用Screensaver Operations或winexit实现,前者可以到这里下载http://www.grimadmin.com/filemgmt_data/files/ssoperations_1.4_win32_64.zip,后者在http://download.microsoft.com/download/8/e/c/8ec3a7d8-05b4-440a-a71e-ca3ee25fe057/rktools.exe下载。

  思路:

1、通过开机脚本将winscr.scr拷贝到c:\windows\system32目录下

2、赋予普通用户HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\control.ini键的权限。

3、组策略中启用屏幕保护策略

4、更新注册表键值,使其强制注销。

具体操作步骤如下:


1、下载windows server 2003 resources kits提取到到winexit.scr

2、新建组策略,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\control.ini赋予everyone设置数值和创建链接的权限。


3、设置开机脚本,将winexit.scr拷贝到客户端system32目录下

vbs脚本内容如下

Option Explicit

Dim objFSO, wshShell

Dim fileSrc, dest

Set objFSO = Wscript.CreateObject("Scripting.FileSystemObject")

Set wshShell = Wscript.CreateObject("WScript.Shell")

fileSrc="\\10.0.0.1\share\winexit\winexit.scr"

dest = "c:\windows\system32\"

objFSO.CopyFile fileSrc, dest, true



注意共享文件夹的权限设置


4、设置屏幕保护策略,如下图,将四个屏保策略启用。



5、设置选项 强制注销、消息提示、等待时间选项。

展开用户配置-首选项-注册表,新建项,如下图

1代表强制注销,0代表不强制注销


数值数据为注销提示文字,可以自由填写。



10代表提示计时10秒后即注销。


汇总如图所示。

对应下图


注:如果找不到相应选项,可以选择手动新建相关键,示例如下


6、客户端测试

等待设置好的时间后,出现以下画面,然后被强制注销掉。



注意:只有活动的会话才会自动注销,比如你登录第二个会话,第一个会话会自动断开,则如果不重新登录第一个会话,第一个会话永远不会自动注销。