Windows 10/Server 2016: Sicherheitsrichtlinie Inaktivitätsgrenze funktioniert nicht

[English]Einem Blog-Leser ist aufgefallen, dass die lokalen Sicherheitsrichtlinien zum Sperren eines Benutzerkontos bei Inaktivität scheinbar bei Windows 10 sowie Windows Server 2016 und 2019 nicht mehr funktionieren. Ich stelle es hier mal zur Diskussion, vielleicht kann die Community ja was zur Klärung beitragen.


Anzeige

Worum geht es genau?

In Windows gibt es lokale Sicherheitsrichtlinien, um Benutzerkonten nach einer gewissen Zeit der Inaktivität zu sperren, so dass sich der Benutzer neu anmelden muss. Blog-Leser Heiko A. ist nun aufgefallen, dass genau das unter Windows 10 sowie Windows Server 2016/2019 wohl nicht mehr klappt. In einer ersten Mail schrieb er mir vorige Woche:

Nicht funktionierende Inaktivitätsgrenze (Sicherheitsrichtlinie)

Hallo Günter,

mir ist neuerdings aufgefallen, dass die Inaktivitätsgrenze, die man unter den lokalen Sicherheitsrichtlinien setzen kann, scheinbar nicht mehr greift. Mir fiel dies bei Windows Server 2016 und 2019 sowie Windows 10 Pro, Education und Enterprise auf. Das Ziel ist, dass der Computer nach einem gewissen Zeitfenster (Inaktivität) automatisch gesperrt wird. Selbst die "Dynamische Sperre", die man unter Windows 10 aktivieren kann, wenn das OS eine Abwesenheit erkennt, greift bei einigen PCs unserer Kunden nicht. Ist dir da was bekannt?

Mir war natürlich nichts bekannt, weshalb ich einmal bei ihm nach weiteren Details nachgefragt und beschlossen habe, das hier mal im Blog zur Diskussion einzustellen.

Weitere Informationen

Heiko, der im Bereich Health IT arbeitet, schrieb mir auf Nachfrage noch, wie er auf das Problem aufmerksam wurde. Bei einem Kunden wollte er auf Windows Server 2016 Standard eine automatische Computersperre über die lokalen Sicherheitsrichtlinien einstellen. Der Kunde hatte angemerkt, dass die automatische Sperre seit dem letzten Update nicht mehr ginge.

  • Heiko hat dann die Sicherheitsrichtlinie mit 10, 30 und 60 Sekunden Timeout probiert, allerdings griff nichts.
  • Danach hat er die erweiterten Einstellungen in den Energieoptionen geprüft, aber die Felder waren leer, also ungenutzt.

Da er kein Update ausfindig machen konnte, was dieses Problem eventuell verursachen könnte, hat er bei einem anderen Kunden unter Windows Server 2019 Standard dasselbe ausprobiert, allerdings ebenfalls ohne Erfolg. Die beim Kunden eingesetzten Rechner haben Windows 10 Pro. Dort greifen die Inaktivitätsgrenzen allerdings auch nicht.


Anzeige

Bei seinem Arbeitgeber wird Windows 10 Enterprise eingesetzt. Dort greift die lokale Sicherheitsrichtlinie weder am Einzelplatz noch als ausgerollte Gruppenrichtlinie durch die interne IT. Die interne IT staunt selbst und geht dem Hinweis von Heiko, dass die Sicherheitsrichtlinie nicht greift, jetzt nach.

Da sind die Einstellungen zu finden

Heiko schreibt, dass er bei einer Akademie Windows 10 Education vor sich gehabt hat. In den den lokalen Sicherheitsrichtlinien (secpol.msc -> Lokale Richtlinien ) auf den Zweig:

Sicherheitsoptionen -> "Interaktive Anmeldung: Inaktivitätsgrenze des Computers

gehen und in der Richtlinie 60 Sekunden eingestellt. Er hat dann zwei Minuten gewartet, aber trotz Inaktivität erfolgte keine automatische Sperre des Systems. Anschließend ergänzte Heiko in einer weiteren Mail seine Beobachtungen zu einer "Dynamischen Sperre". Bei seinem Arbeitsplatz hat er Windows 10 Enterprise mit meinem Samsung Galaxy S10e via Bluetooth gekoppelt. Zum Testen hat er das Smartphone in einem anderen Raum abgelegt, aber der Computer wurde trotz Inaktivität nicht gesperrt. Dasselbe passierte mit einer Maus und der Tastatur, die ebenfalls über Bluetooth gekoppelt sind. Die dynamische Sperre greift hier auch nicht.

Heiko schrieb: Bei meinen weiteren Recherchen habe ich noch keine Anhaltspunkte gefunden. Meine Frage: Kennt jemand das Problem? Wurde hier was übersehen?

Noch einige Hinweise vom GPO-Pabst

Ergänzung: Ich habe diesen Blog-Beitrag vorab dem Gruppenrichtlinien-Pabst und Ex-MVP-Kollegen Mark Heitbrink vorgelegt. Mark hat sich das am Sonntag vorgenommen und mir folgende Rückmeldungen zukommen lassen.

Inaktivität 120 Sekunden funktioniert hier bei mir. Immer. Steht sonst auf 10 Minuten bei mir und mein System sperrt sich. Dynamische Sperre springt ebenfalls an. Braucht aber länger, als bei den ersten Tests mit 1709 die ich gemacht habe als es eingeführt wurde.

Ich kann es nicht auf meiner Hardware nachstellen. Mein Client ist nicht domainjoined. Ich probiere es noch Mal in einer VM … Ohne Bluetooth, aber die Inaktivität kann ich probieren

Domainjoined tuts auch. 120 Sekunden kommen per gpo an und werden auch angewendet. System sperrt sich

Mark Heitbrink zieht folgende Vermutung als Resumee: Ich sage mal spontan: Drittanbietersoftware, Dienst, Task etc verhindert es bei denen. Oder eine kollidierende Richtlinie, da wüsste ich aber keine außer Bildschirmschoner. Und da ist es eher verwirrend, bei unterschiedlichen Zeiten …


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Windows 10/Server 2016: Sicherheitsrichtlinie Inaktivitätsgrenze funktioniert nicht

  1. egal sagt:

    Habe spontan jetzt nichts gefunden, aber eine Möglichkeit wäre noch, dass die Richtlinien deshalb nicht funktionieren weil diese veraltet sind und durch andere ersetzt wurden.

    • Heiko A. sagt:

      Die Sicherheitsrichtlinie habe ich bei einzelnen Kunden neu angelegt, deswegen hat mich das gewundert. Bei mir daheim greift die Sicherheitsrichtlinie unter Windows 10 Pro (1909), aber auf meinem zweiten Rechner mit Windows 10 Pro (2004) nicht.

  2. Kevin sagt:

    Ich stand bereits vor dem selben Problem. Nach einigem googeln war ich auf einen Technet Beitrag gestoßen. Dort wurde auf USB Hardware hingewiesen die das Verhalten verursachen kann. Bei mir lies es sich auf die Microsoft USB Tastatur zurückführen.

  3. 3ll3r sagt:

    Um sicherzustellen, dass nach einer Inaktivität das Passwort wieder erforderlich ist (unabhängig von Bluetooth-Geräten), greife ich nicht auf die "Energieoptionen" zurück, sondern auf den "Bildschirmschoner".

    GPO: Benutzerkonfiguration / Administrative Vorlagen / Systemsteuerung / Anpassung

    Bestimmten Bildschirmschoner erzwingen (aktiviert): rundll32.exe user32.dll,LockWorkStation
    , Bildschirmschoner aktivieren (aktiviert)
    , Kennwortschutz für den Bildschirmschoner verwenden (aktiviert)
    , Zeitlimit für Bildschirmschoner (aktiviert): 1800 – entspricht 30 Minuten

    • Heiko A. sagt:

      Auf einem Server richte ich persönlich keinen Bildschirmschoner ein. Auch in meiner beruflichen Praxis kenne ich niemanden, der auf den Blechen einen Bildschirmschoner aktiviert.

  4. Heiko A. sagt:

    Ich habe heute auf Arbeit noch mal bei einem anderen Kunden mit Windows Server 2019 Standard den Hinweis von Mark Heitbrink ausprobiert. Die 120 Sekunden greifen, die 90 Sekunden oder noch weniger wiederum nicht.

    Die interne IT hat auch Tests durchgeführt, aber da griff die Sicherheitsrichtlinie nicht. Auch sie vermuten inzwischen "kollidierende Richtlinien", aber auf keinem Server ist ein Bildschirmschoner aktiv. Es muss also irgendetwas anderes sein. Die Vermutung geht auch zu Tasks von Drittanbieteranwendungen. Es werden nun Verbindungen zur Telematikinfrastruktur (TI) beobachtet, um festzustellen, dass Prozesse im Hintergrund tiefer in das System eingreifen als gewünscht.

    Bei meinem Kollegen im Büro funktionierte die "Dynamische Sperre" nur an einem Rechner. Merkwürdig ist es deshalb, weil die PCs durch das Rollout von Windows 10 Enterprise nahezu identisch sind.

  5. Marc Ruschig sagt:

    Ich hatte heute das gleiche Problem. Ich konnte einstellen was ich wollte an Sekunden, die sperre war immer nach 60 Sekunden. Nach langer Recherche in verschiedenen Foren ist mir ein Beitrag aufgefallen und habe gleich verschiedene Wege getestet und bin zu einen Ergebnis gekommen warum immer nach 60 Sekunden gesperrt wird obwohl 120,240….. eingestellt werden soll.

    Test mit Windows 10 und GPO intaktivätsgrenze 600 Sekunden:

    Es hat was mit dem deaktivierten Bildschirmschoner zu tun, dieser, wenn er deaktiviert ist, hat Standard 1 Min. drin stehen. Über die Reaktivierung habe ich ihn auf 2 Min. eingestellt.Computer neustart und siehe da die GPO mit 600 Sekunden sperrt jetzt nach 2 Min. Das ganze habe weiter mit 3 Min. getestet und GPO mit 600 Sekunden. Er sperrt dann nach 3 Minuten.

    Ich habe dann das ganze umgedreht. Bildschirmschoner deaktiviert auf 3 Min. und GPO auf 120 Sekunden. Neustart… und jetzt sperrt er nach 120 Sekunden.

    Für mich ergibt sich, das im Hintergrund der Bildschirmschoner zwar deaktiviert ist aber er die Zeit vorgibt wenn man per GPO die inaktivitätsgrenze aktiviert.

    Ich hoffe ich konnte euch damit helfen.

  6. Wolfram Oldörp sagt:

    Aktuell das Problem auf Windows 2022 Server. Mit Tipp von Marc Ruschig habe ich in "Bildschirmschoner ändern" auf Bildschirmschoner "(kein) und Wartezeit 1 min und Haken bei "Anmeldeseite bei Reaktivierung" Erfolg gehabt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.