使用组策略和脚本定制域中客户机的屏保.docVIP

使用组策略和脚本定制域中客户机的屏保 使用组策略和脚本定制域中客户机的屏幕保护 自:/blog/use-group-policy-and-script-custom-client-screen-saver 公司的信息安全体系要求所有计算机在用户离开后，自动启动屏幕保护，并锁定屏幕，现在采用域控及组策略和脚本来实现 。 在Windows客户端的管理中，我们最常提到的往往是组策略。它是一个非常方便而有效的工具，使用系统提供的组策略已经可以完成绝大多数的客户端的管理工作。但是，有些时候组策略却不能独立完成任务，需要和其他的工具进行配合。 在这里，我们以修改客户端三维文字屏幕保护参数为例，看看组策略是怎么和脚本一起来完成这个任务的。 我们需要给客户端配置统一的屏幕保护，而这个任务在组策略里面有现成的条目，可以配置一下就可以完成了。 首先，为了能够更好的管理组策略，我们在相应的站点或者域或者OU上面建立一条新的策略，名字叫PredefinedScreenSaver。然后我们打开编辑它。由于屏幕保护的策略是属于用户策略中与显示相关的内容，所以在 User Configuration\Administrative\Control Panel\Display 下面我们可以找到相关的内容进行配置。 在 Screen Saver executable name 中我们可以设置屏幕保护程序的名字。大多数的屏幕保护程序保存在 %SYSTEMROOT%\system32 这个目录下面，是一些以.SCR为扩展名的文件。我们可以用dir *.scr /s找到所有的需要的文件。那么在这里，我们需要的是文件名是：sstext3d.scr，这个就是三维文字的屏幕保护的文件名称。 但是，这里面却没有如何给客户机的屏幕保护配置其他参数的地方，难道我们需要每台客户机都配置一次吗？答案是否定的，接下来，我们看看如何用脚本修改客户端屏幕保护的参数。 我们知道，屏幕保护是一个个性化的东西，所以它的配置应该是一个用户配置。这样才有可能同一台机器的多个用户的屏幕保护可以不同。 那么，屏幕保护的参数保存在什么地方呢？从历来的Microsoft保存参数地举动看，应该是在注册表中。既然是用户策略，那么就应该在注册表的 HKEY_CURRENT_USER 下面。 为了实现我们的这个猜测，首先，我们配置好屏幕保护的参数，在这个例子里面，我们配置三维文字屏幕保护的3D文字为：Find Me，然后在开始?运行中输入regedit进行我们的查找工作。建议在regedit的查找对话框中选取Match whole string only，这样可以加快查找的速度和准确率。 通过查找，我们发现了在相关的注册表条目。它们位于 HKEY_CURRENT_USER\Control Panel\Screen Saver.ScreenName 这个下面。（对于Windows XP来说，位置会稍有不同） 既然知道了在注册表中的位置，接下来的事情就非常的好办了。我们只需要利用WScript.Shell对象中的RegWrite方法建立或者修改这些参数就好。 这里我们用的是VBScript。首先，我们定义一个WScript.Shell对象： Dim WshShell Set WshShell = WScript.CreateObject(WScript.Shell) 然后，我们要用RegWrite建立或者修改相关的键值，比如，修改三维屏幕保护中的3D文字： WshShell.RegWrite HKCU\Control Panel\Screen Saver.3DText\Text, MS Windows, REG_SZ 在这里，建议为每一个键值建立一个VBScript语句，这样可以适合任何的更多的情况。 好了，我们把相关的脚本保存到一个名为：Change3DSSSettings.vbs的一个文本文件中。然后进行下一步的工作，让这个脚本在客户端生效。 我们打开前面的PredefinedScreenSaver这个组策略，还是在组策略的用户配置中找到相关的内容： User Configuration\Windows Settings\Scripts(Logon/Logoff) 在这里我们需要配置的是Logon脚本，如图2所示。建议在配置之前，做一个工作，把刚刚写好的脚本复制到域控制器的 %SYSTEMROOT\SYSVOL\sysvol\Domain name\Policies\{Group Policy GUID}\User\Scripts\Logon 这个目录下面。 当所有的工作完成以后，就是注销客户端用户，然后重新登录让刚才的组策略生效。