{"id":233579,"date":"2020-07-20T00:07:00","date_gmt":"2020-07-19T22:07:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=233579"},"modified":"2020-07-20T00:31:57","modified_gmt":"2020-07-19T22:31:57","slug":"windows-10-server-2016-sicherheitsrichtlinie-inaktivittsgrenze-funktioniert-nicht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/07\/20\/windows-10-server-2016-sicherheitsrichtlinie-inaktivittsgrenze-funktioniert-nicht\/","title":{"rendered":"Windows 10\/Server 2016: Sicherheitsrichtlinie Inaktivit&auml;tsgrenze funktioniert nicht"},"content":{"rendered":"<p><!--more--><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/07\/20\/windows-10-server-2016-security-policy-inactivity-limit-does-not-work\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Einem Blog-Leser ist aufgefallen, dass die lokalen Sicherheitsrichtlinien zum Sperren eines Benutzerkontos bei Inaktivit\u00e4t scheinbar bei Windows 10 sowie Windows Server 2016 und 2019 nicht mehr funktionieren. Ich stelle es hier mal zur Diskussion, vielleicht kann die Community ja was zur Kl\u00e4rung beitragen.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es genau?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/ef4fe8d68642423cabe9c24166e05a29\" alt=\"\" width=\"1\" height=\"1\" \/>In Windows gibt es lokale Sicherheitsrichtlinien, um Benutzerkonten nach einer gewissen Zeit der Inaktivit\u00e4t zu sperren, so dass sich der Benutzer neu anmelden muss. Blog-Leser Heiko A. ist nun aufgefallen, dass genau das unter Windows 10 sowie Windows Server 2016\/2019 wohl nicht mehr klappt. In einer ersten Mail schrieb er mir vorige Woche:<\/p>\n<blockquote><p><strong>Nicht funktionierende Inaktivit\u00e4tsgrenze (Sicherheitsrichtlinie)<\/strong><\/p>\n<p>Hallo G\u00fcnter,<\/p>\n<p>mir ist neuerdings aufgefallen, dass die Inaktivit\u00e4tsgrenze, die man unter den lokalen Sicherheitsrichtlinien setzen kann, scheinbar nicht mehr greift. Mir fiel dies bei Windows Server 2016 und 2019 sowie Windows 10 Pro, Education und Enterprise auf. Das Ziel ist, dass der Computer nach einem gewissen Zeitfenster (Inaktivit\u00e4t) automatisch gesperrt wird. Selbst die \"Dynamische Sperre\", die man unter Windows 10 aktivieren kann, wenn das OS eine Abwesenheit erkennt, greift bei einigen PCs unserer Kunden nicht. Ist dir da was bekannt?<\/p><\/blockquote>\n<p>Mir war nat\u00fcrlich nichts bekannt, weshalb ich einmal bei ihm nach weiteren Details nachgefragt und beschlossen habe, das hier mal im Blog zur Diskussion einzustellen.<\/p>\n<h2>Weitere Informationen<\/h2>\n<p>Heiko, der im Bereich Health IT arbeitet, schrieb mir auf Nachfrage noch, wie er auf das Problem aufmerksam wurde. Bei einem Kunden wollte er auf Windows Server 2016 Standard eine automatische Computersperre \u00fcber die lokalen Sicherheitsrichtlinien einstellen. Der Kunde hatte angemerkt, dass die automatische Sperre seit dem letzten Update nicht mehr ginge.<\/p>\n<ul>\n<li>Heiko hat dann die Sicherheitsrichtlinie mit 10, 30 und 60 Sekunden Timeout probiert, allerdings griff nichts.<\/li>\n<li>Danach hat er die erweiterten Einstellungen in den Energieoptionen gepr\u00fcft, aber die Felder waren leer, also ungenutzt.<\/li>\n<\/ul>\n<p>Da er kein Update ausfindig machen konnte, was dieses Problem eventuell verursachen k\u00f6nnte, hat er bei einem anderen Kunden unter Windows Server 2019 Standard dasselbe ausprobiert, allerdings ebenfalls ohne Erfolg. Die beim Kunden eingesetzten Rechner haben Windows 10 Pro. Dort greifen die Inaktivit\u00e4tsgrenzen allerdings auch nicht.<\/p>\n<p>Bei seinem Arbeitgeber wird Windows 10 Enterprise eingesetzt. Dort greift die lokale Sicherheitsrichtlinie weder am Einzelplatz noch als ausgerollte Gruppenrichtlinie durch die interne IT. Die interne IT staunt selbst und geht dem Hinweis von Heiko, dass die Sicherheitsrichtlinie nicht greift, jetzt nach.<\/p>\n<h2>Da sind die Einstellungen zu finden<\/h2>\n<p>Heiko schreibt, dass er bei einer Akademie Windows 10 Education vor sich gehabt hat. In den den lokalen Sicherheitsrichtlinien (secpol.msc -&gt; Lokale Richtlinien ) auf den Zweig:<\/p>\n<p>Sicherheitsoptionen -&gt; \"Interaktive Anmeldung: Inaktivit\u00e4tsgrenze des Computers<\/p>\n<p>gehen und in der Richtlinie 60 Sekunden eingestellt. Er hat dann zwei Minuten gewartet, aber trotz Inaktivit\u00e4t erfolgte keine automatische Sperre des Systems. Anschlie\u00dfend erg\u00e4nzte Heiko in einer weiteren Mail seine Beobachtungen zu einer \"Dynamischen Sperre\". Bei seinem Arbeitsplatz hat er Windows 10 Enterprise mit meinem Samsung Galaxy S10e via Bluetooth gekoppelt. Zum Testen hat er das Smartphone in einem anderen Raum abgelegt, aber der Computer wurde trotz Inaktivit\u00e4t nicht gesperrt. Dasselbe passierte mit einer Maus und der Tastatur, die ebenfalls \u00fcber Bluetooth gekoppelt sind. Die dynamische Sperre greift hier auch nicht.<\/p>\n<p>Heiko schrieb: <em>Bei meinen weiteren Recherchen habe ich noch keine Anhaltspunkte gefunden. <\/em>Meine Frage: Kennt jemand das Problem? Wurde hier was \u00fcbersehen?<\/p>\n<h2>Noch einige Hinweise vom GPO-Pabst<\/h2>\n<p>Erg\u00e4nzung: Ich habe diesen Blog-Beitrag vorab dem <a href=\"https:\/\/www.gruppenrichtlinien.de\/alle-artikel\/\" target=\"_blank\" rel=\"noopener noreferrer\">Gruppenrichtlinien-Pabst und Ex-MVP-Kollegen Mark Heitbrink<\/a> vorgelegt. Mark hat sich das am Sonntag vorgenommen und mir folgende R\u00fcckmeldungen zukommen lassen.<\/p>\n<blockquote><p>Inaktivit\u00e4t 120 Sekunden funktioniert hier bei mir. Immer. Steht sonst auf 10 Minuten bei mir und mein System sperrt sich. Dynamische Sperre springt ebenfalls an. Braucht aber l\u00e4nger, als bei den ersten Tests mit 1709 die ich gemacht habe als es eingef\u00fchrt wurde.<\/p>\n<p>&#8230;<\/p>\n<p>Ich kann es nicht auf meiner Hardware nachstellen. Mein Client ist nicht domainjoined. Ich probiere es noch Mal in einer VM &#8230; Ohne Bluetooth, aber die Inaktivit\u00e4t kann ich probieren<\/p>\n<p>&#8230;<\/p>\n<p>Domainjoined tuts auch. 120 Sekunden kommen per gpo an und werden auch angewendet. System sperrt sich<\/p><\/blockquote>\n<p>Mark Heitbrink zieht folgende Vermutung als Resumee: I<em>ch sage mal spontan: Drittanbietersoftware, Dienst, Task etc verhindert es bei denen. Oder eine kollidierende Richtlinie, da w\u00fcsste ich aber keine au\u00dfer Bildschirmschoner. Und da ist es eher verwirrend, bei unterschiedlichen Zeiten &#8230;<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694,2557],"tags":[777,4328,4378,4364],"class_list":["post-233579","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","category-windows-server","tag-gruppenrichtlinien","tag-sicherheit","tag-windows-10","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/233579","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=233579"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/233579\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=233579"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=233579"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=233579"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}