GPOを使ってPC画面のパスワードロックや、ディスプレイの消灯(電源オフ)を設定する方法
本エントリーの目次
PC画面のパスワードロックや、ディスプレイの消灯設定を一括設定・強制したい!
オフィスではセキュリティ上の理由から、離席時にPC画面をパスワードロックするよう、社内規則で決められていることがあります。
Windows PCであれば、キーボードを使って『Windows』+『L』 ショートカットキーを押下することで、即時にPCをロック可能です。
参考:Windows 10のパソコン(PC)をすばやくロックしてロック画面を表示する方法
そこで管理部門などが、『離席時はWindows + Lキーを押下し、画面ロックを徹底してください!』というような周知、指導を行っている!
という会社さんもあるでしょう。
しかしいくら周知・指導を行っても、離席時の画面ロック操作が徹底されず、困ってしまった…。
なんてケースもあるんじゃないでしょうか。
こういった場合にはWindows OSの設定を変更し、離席時など一定時間無操作状態が続いたら画面をパスワードロックする設定を行うのが効果的です。
この設定変更は、対象のPCが数台であれば大した手間ではありません。
ですが数十台、またはそれ以上のPCの設定変更をする場合には、かなり大変な作業でしょう。
また一度設定を行ったとしても、ユーザーが自分で設定を変更してしまい、画面ロックが徹底されなくなってしまうことも考えられます。
幸いなことにこの設定は、Active Directoryを使用しているドメイン環境であれば、GPOを使うことで一括配布と強制※1 が可能です。
そこで今回は、一定時間無操作状態が続いたら、画面をパスワードロックする設定を、GPOを使ってクライアントPCに配布・強制する方法をご紹介します!
さらに併せて設定されることが多い、一定時間無操作状態が続いたらディスプレイ(モニター・画面)を消灯する方法についてもご紹介します!※2
※1 設定をユーザー操作で変更できないようにすること。
※2 電気代を節約する目的で、無操作状態のときはディスプレイを消灯する。
GPOを使って、一定時間無操作状態が続いたら、画面をパスワードロックする方法
一定時間無操作状態が続いたら、PCの画面をパスワードロックする、という設定をGPOで行う場合には、まずはグループポリシー管理エディター(gpmc.msc)を起動してください。
そして任意のGPOの編集画面を開き、以下のように展開操作を実行します。
[ユーザーの構成] – [ポリシー] – [管理用テンプレート] – [コントロールパネル] – [個人用設定]
本設定では、以下2つのポリシーを組み合わせて使用することで、一定時間経過後の画面ロックを行います。
- [スクリーンセーバーのタイムアウト]
- [スクリーンセーバーをパスワードで保護する]
まずは一定時間経過後にスクリーンセーバーを起動するように設定するため、[スクリーンセーバーのタイムアウト]ポリシーを『有効』に設定してください。
さらにこのポリシーを『有効』に変更すると、追加設定項目の『スクリーンセーバーを起動するまでの時間』を入力可能となります。
この設定に、画面をパスワードロックするまでの猶予時間を秒単位で指定※してください。
※無操作状態が猶予時間を超えて継続した場合、スクリーンセーバーが起動します。
次に[スクリーンセーバーをパスワードで保護する]ポリシーを『有効』に設定します。
設定が完了したら、対象のユーザーが属するOUにリンクしてください。
以上の設定により、一定時間(『スクリーンセーバーを起動するまでの時間』に指定した秒数)無操作状態が継続した場合、画面がパスワードロックされるようになります。
たとえば1分間無操作状態が続いた場合に、画面がパスワードロックされるように設定したい場合には、各ポリシーについて、それぞれ以下のように設定してください。
- [スクリーンセーバーのタイムアウト]ポリシー:『有効』
- 『スクリーンセーバーを起動するまでの時間』:『60』(秒)
- [スクリーンセーバーをパスワードで保護する]ポリシー:『有効』
尚、『スクリーンセーバーを起動するまでの時間』を『0』秒に設定すると、スクリーンセーバーが起動されなくなるため、『0』秒は設定しないようにしましょう。
GPOを使って、一定時間無操作状態が続いたら、ディスプレイ(モニター・画面)を消灯する方法
GPOを使って、一定時間無操作状態が続いたらディスプレイ(モニター・画面)を消灯させたいときも、まずはグループポリシー管理エディター(gpmc.msc)を起動しましょう。
そして任意のGPOの編集画面を開き、以下のように展開操作を実行してください。
[コンピューターの構成] – [基本設定] – [コントロールパネルの設定] – [電源オプション]
ディスプレイの消灯設定は、電源プランに対して一定時間経過後の消灯設定を実施。
そして、その電源プランを対象のコンピューターに適用することで設定を行うため、新規に電源プランの設定を追加してください。
※対象のGPOに、すでに電源プランの設定がある場合には、その設定を利用していただいても構いません。
電源プランの設定は、『電源オプション』を右クリックして『新規作成』メニューを選択。
さらに『電源プラン(Windows 7 以降)』メニューを押下することで、新規作成されます。
参考:パソコンの動作が重い(遅い)時に電源プラン変更で改善する方法
設定対象の『電源プラン』を用意できたら、ダブルクリックして『電源プランのプロパティ』画面を開いてください。(新規作成時は自動でプロパティ画面が開きます。)
プロパティ画面では、まずは対象のコンピューターに設定するベースとなるパフォーマンス設定を選択します。
パフォーマンスを重視する場合には『高パフォーマンス』を。
省電力性能を重視する場合は『省電力』設定をベースとして選択すると良いでしょう。
次に『現在使用されている電源プランとして設定』にチェックを入れてから、詳細な設定部の設定を行います。
一定時間経過後のディスプレイの消灯設定は、詳細設定部で『ディスプレイ』 – 『次の時間が経過後ディスプレイの電源を切る』と展開することで、設定部を表示できます。
『次の時間が経過後ディスプレイの電源を切る』の配下には、『バッテリ駆動(分)』と『電源に接続(分)』の2つの設定項目があるので、それぞれに対して設定を行ってください。
上記画像では、『バッテリ駆動(分)』と『電源に接続(分)』の両方に『2』と設定しています。
したがって、2分間無操作状態が続いた場合に、ディスプレイ(モニター・画面)が自動で消灯する設定となっています。
設定が完了したら、対象のコンピューターが属するOUにリンクすることで設定が自動的に適用されるはずです。
しかし一部の環境では、対象のコンピューターが再起動されるまでは、設定が正しく適用されないケースがあります。
この事象については、MicrosoftさんのTechnetでも以下のように言及されており、設定をただちに確実に適用したい場合には、対象のコンピューターを再起動しておくと良いでしょう。
グループ ポリシーを設定後にクライアント端末にてグループ ポリシーの適用が行われると、電源オプションの内容が変更され、電源オプションの GUI や powercfg コマンドの結果から、クライアント端末に対して電源オプションの設定内容が正しく反映されているように見えます。
中略
しかしながら、実際には直前の電源設定が適用されたままとなっており、次回コンピューター再起動時まで設定が反映されません。
中略
本事象に遭遇した場合には、お手数ですが、コンピューターの再起動をお願いいたします。
尚、GPOを使って設定したディスプレイの自動消灯を含む電源プランの設定は強制できず、ユーザー操作により変更可能です。※1
ただしGPOは一定間隔で繰り返し適用されるため、仮に電源プラン及びその詳細設定をユーザー操作で変更されたとしても、GPOが再適用されたタイミング※2でGPOの設定内容と同期します(上書きされる)。
したがって強制とまではいかないものの、似たような効果を持つと思って良いでしょう。
※1 一定時間経過後の画面のパスワードロックは、GPOで設定を行うと各PCの設定画面での変更ができなくなるため、ユーザー操作による変更はできません。(設定を強制できる。)
※2 初期設定のAD環境では、クライアントPCは90~120分間隔、ドメインコントローラーは5分間隔でグループポリシーが適用(更新)されます。
参考:グループポリシーをただちに適用する方法や更新間隔の設定方法、リモート更新する方法
一定時間経過(一定時間無操作状態が継続した)後の、パスワードロックとディスプレイ(モニター・画面)の消灯設定は併用可能です。
たとえばパスワードロックを1分後、ディスプレイ消灯を2分後に設定した場合は、無操作状態が1分続いた時点で画面がパスワードロックされます。
そしてそのまま無操作状態がさらに1分間継続すると、ディスプレイが消灯されます。
以上、参考になさってくださーい!