Политики группы Windows Logon применяются для рабочих станций, на которых установлен компонент Indeed-Id Windows Logon и определяют параметры клиентской части системы Indeed-Id.
Для настройки групповой политики используется стандартный редактор объектов групповой политики. Шаблоны группы политик Windows Logon добавляются в раздел Computer Configuration.
Настройки Credential Provider
Политика Настройки Credential Provider определяет отображение способов входа в систему, доступных пользователю.
Для пользователя могут быть доступны следующие способы входа:
-
стандартные способы входа в ОС:
-
вход по паролю
-
вход по смарт-карте
-
вход по отпечатку пальца (WinBio)
-
-
вход в систему с использованием технологии Indeed-Id
На экране входа перечисленные способы входа обозначаются пиктограммами:
Примечаниe:
Политика применяется для рабочих станций под управлением Microsoft Windows Vista и более поздних версий.
Not Configured
Значение по умолчанию. Доступен только вход в систему с использованием технологии Indeed-Id.
Enabled
Политика включена. Отображаемые способы входа в систему определяются значением, заданным в списке Отображение способов входа:
-
Только Indeed-Id
Для входа в систему доступен только вход с использованием технологии Indeed-Id. -
Все способы
Для входа в систему доступны все возможные способы входа, а именно: стандартные способы входа в ОС (вход по паролю, вход по смарт-карте, вход по отпечатку пальца), вход в систему с использованием технологии Indeed-Id. -
Все, кроме пароля
Для входа в систему доступны все способы входа, кроме входа по паролю.
Disabled
Политика отключена. Доступен только вход в систему с использованием технологии Indeed-Id.
Не скрывать системное сообщение о смене пароля пользователя
Политика Не скрывать системное сообщение о смене пароля пользователя позволяет управлять отображением сообщения о смене пароля, когда срок его действия истекает.
Примечания:
Политика применяется для рабочих станций под управлением Microsoft Windows XP (SP3), Microsoft Windows Server 2003.
Not Configured
Значение по умолчанию. Системное сообщение об истечении срока действия пароля при входе в систему не отображается.
Enabled
Если срок дейcтвия пароля скоро истекает и для пользователя включена генерация случайного пароля, при входе в систему отображается системное сообщение об истечении срока действия пароля.
Disabled
Политика отключена. Системное сообщение об истечении срока действия пароля при входе в систему не отображается.
Таймаут выполнения действия при извлечении смарт-карты
Политика Таймаут выполнения действия при извлечении смарт-карты определяет продолжительность стандартного и сервисного таймаутов перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior), после извлечения смарт-карты.
Стандартный таймаут позволяет определить таймаут перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior), и тем самым предотвратить автоматическую блокировку компьютера при случайном извлечении смарт-карты.
Сервисный таймаут позволяет предотвратить автоматическую блокировку компьютера в тех случаях, когда извлечение смарт-карты является необходимым действием (например, при обучении дополнительного аутентификатора или получении доступа в систему от имени другой учетной записи по другому аутентификатору и т. п.). Для активации сервисного таймаута перед извлечением смарт-карты необходимо нажать и удерживать комбинацию клавиш <Ctrl+L>.
Not Configured
Значение по умолчанию. Таймаут перед перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior), не предоставляется.
Enabled
Политика включена. Продолжительность стандартного и сервисного таймаутов после извлечения смарт-карты определяется значениями соответствующих параметров.
-
Таймаут (сек)
Продолжительность стандартного таймаута (в секундах) перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior). -
Сервисный таймаут (сек)
Продолжительность сервисного таймаута (в секундах) перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior).
Disabled
Политика отключена. Таймаут перед перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior), не предоставляется.
ПРИМЕРЫ
Предположим, на рабочей станции пользователя доступны следующие способы входа:
-
стандартные способы входа в ОС: вход по паролю, вход по смарт-карте, вход по отпечатку пальца (WinBio);
-
вход с использованием технологии Indeed-Id.
Пример 1
Политика Настройки Credential Provider настроена следующим образом:
Настройки Credential Provider: Enabled; Отображение способов входа: Все, кроме пароля
В этом случае на рабочих станциях под управлением Microsoft Windows Vista и более поздних версий для входа в систему будут доступны только следующие способы входа: вход в систему с помощью смарт-карты, вход в систему с помощью отпечатка пальца (WinBio), вход в систему с использованием технологии Indeed-Id. Выполнить вход по паролю стандартными средствами ОС (т.е. с использованием стандартного Windows Credential Provider) в этом случае будет невозможно.
Однако, возможность входа в систему с использованием доменного пароля сохранится (через Credential Provider Indeed-Id). Запрещать полностью доступ по паролю в систему опасно. В случае любых проблем со входом по аутентификатору, включая забытую карточку или порезанный палец, это может вызвать простой в работе пользователя (пока он не свяжется с администратором и тот не обучит ему новый аутентификатор).
Пример 2
Политика Таймаут выполнения действия при извлечении смарт-карты настроена следующим образом:
Таймаут выполнения действия при извлечении смарт-карты: Enabled; Таймаут (сек): 5; Сервисный таймаут (сек): 30
Политика Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior) имеет значение Lock Workstation.
В этом случае рабочая станция будет заблокирована через 5 секунд после извлечения смарт-карты.
При извлечении карты после нажатия клавиш <Ctrl+L> для обучения нового аутентификатора (или выполнения другого действия, требующего извлечения смарт-карты) рабочая станция будет заблокирована через 30 секунд.