Computersperre ohne vorherige Anmeldung

Wenn Netzwerkgruppenrichtlinien nicht so recht funktionieren wollen oder nicht so ineinandergreifen, wie sie sollen, dann verflucht man als Admin mitunter die Herren und Damen aus Redmond von ganzem Herzen. Jetzt hatte ich wieder so einen Fall, der mich schon einige Zeit verfolgt hat.

Eine Reihe von PCs mit Windows XP sperrten sich immer selbst, wenn sie 15 Minuten nicht benutzt wurden. An sich ja ein normales Verhalten. Das Besondere in diesem Fall war aber, dass sich die Arbeitesstationen schon sperrten, wenn noch kein Benutzer angemeldet war. Das Fenster zeigte dann folgenden Text:

“Die Sperrung des Computers kann nur von oder einem Administrator aufgehoben werden. Drücken Sie Strg+Alt+Entf, um die Sperung aufzuheben.”

Es fehlte also zwischen “von” und “oder” der Benutzername, was ja nicht verwundert, da kein Benutzer angemeldet war. Der normale Benutzer war also nicht mehr in der Lage, den PC zu ensperen. Erschwerend kam noch hinzu, dass auch mit dem Administratorkonto eine Aufhebung der Sperre nicht möglich war. Es blieb also nur ein Neustart des Rechners.

Ich habe die Gruppenrichtlinien der Domäne rauf und runter durchgeschaut, die GPOs deaktiviert und auch mit GPRESULT geprüft, was überhaupt greift. Da sich die Sperre ja vor der Anmeldung einschaltete, tippte ich auf eine Computer- und keine Benutzereinstellung. Dass der Bildschirmschoner mit reinspielt vermutete ich zwar von Anfang an, doch an den mir bekannten Orten in der Registry und GPO fand ich nichts. Die Einstellung wurde wohl vor meiner Zeit verteilt, lange bevor ich die Domäne von Active Directory 2003 Modus auf AD 2008 hochzog. In der GPO für 2008 gibt es wohl vermutlich diese Einstellung nicht mehr und so suchte ich und suchte.

Lange Rede kurzer Sinn. Die Lösung lag nicht in einer Computereinstellung, sondern im Defaultpfad der Benutzereinstellungen. Im Pfad

[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Windows\Control Panel\Desktop]

änderte ich “ScreenSaverIsSecure”=”1” auf “ScreenSaverIsSecure”=”0” und das Problem war weg.

Was ich trotzdem nach wie vor nicht kapiere ist, warum sich ein Computer überhaupt sperren kann, der noch keine Anmeldung hat.