Знакомая картина: GPO выставлена, «никогда не выключать дисплей» прописано чётко, политика применена на все машины в домене — а через минуту простоя экран всё равно гаснет. Именно с этим мы периодически сталкиваемся при развёртывании новых рабочих станций и терминальных серверов. Воспроизводится стабильно, лечится неочевидно, а виновник сидит совсем не там, где его ищут.

Почему GPO «не работает»

Управление питанием в Windows устроено слоями, и они работают независимо друг от друга. Большинство администраторов знают путь Computer Configuration → Policies → Administrative Templates → System → Power Management → Video and Display Settings — там задаётся таймаут отключения дисплея. Политика работает. Но только для одного сценария: пока пользователь активно сидит за машиной.

Есть отдельный параметр, про который мало кто знает, — Console lock display off timeout. Именно он управляет тем, когда гаснет экран на заблокированной машине. По умолчанию — 1 минута. И самое неприятное: в стандартном GUI схемы питания его просто нет. В «Электропитании» панели управления вы его не найдёте, пока специально не включите отображение.

Как воспроизводится проблема

Типичный сценарий выглядит так:

1. Администратор настраивает GPO: «Отключить дисплей через (питание от сети): Никогда».
2. Политика применяется без ошибок — gpresult /r подтверждает, что GPO применена.
3. Пользователь нажимает Win+L или просто отходит — сеанс блокируется.
4. Ровно через минуту монитор гаснет. При том что в политике стоит «Никогда».
5. После разблокировки всё нормально — пока сеанс активен, дисплей не отключается.

Воспроизводится на Windows 10, Windows 11, Windows Server 2016/2019/2022. Особенно часто вылезает на свежих машинах или после переустановки ОС — там схема питания заводская, никто её руками не трогал.

Диагностика: что происходит на самом деле

Прежде чем лезть в настройки, убедитесь, что дело именно в Console lock display off timeout. Запустите в командной строке от имени администратора:

powercfg /query SCHEME_CURRENT SUB_VIDEO

Команда покажет текущие значения всех видеопараметров активной схемы питания. Ищите строки, связанные с Console lock display off timeout:

Подпараметр GUID: 8EC4B3A5-6868-48C2-BE75-4F3044BE88A7
  (Console lock display off timeout)
  Текущее значение питания от сети: 0x0000003c   (60 секунд)

Увидели 0x0000003c? Это 60 в десятичной — ровно 60 секунд. Причина найдена. Именно это значение стоит по умолчанию, и стандартные инструменты управления питанием его не трогают.

Решение через powercfg

Самый быстрый способ — поправить значение напрямую через powercfg. Запускаем в PowerShell или cmd с правами администратора.

Установить таймаут в 15 минут (питание от сети)

powercfg /change monitor-timeout-ac 15

Установить таймаут в 15 минут (от батареи)

powercfg /change monitor-timeout-dc 15

Полностью отключить отключение экрана (значение 0 = никогда)

powercfg /change monitor-timeout-ac 0
powercfg /change monitor-timeout-dc 0

Но эти команды меняют общий таймаут монитора. Чтобы прицельно изменить именно Console lock display off timeout — используйте GUID параметра:

powercfg /setacvalueindex SCHEME_CURRENT SUB_VIDEO 8EC4B3A5-6868-48C2-BE75-4F3044BE88A7 0
powercfg /setactive SCHEME_CURRENT

0 — это «никогда». Нужно конкретное время? Укажите секунды в десятичном виде: например, 900 для 15 минут.

Включение параметра в GUI схемы питания

По умолчанию Console lock display off timeout скрыт — в «Электропитание → Настройка схемы электропитания» его не видно. Чтобы параметр появился в интерфейсе, правим реестр вручную или через скрипт:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Power\PowerSettings\7516b95f-f776-4464-8c53-06167f40cc99\8EC4B3A5-6868-48C2-BE75-4F3044BE88A7" /v Attributes /t REG_DWORD /d 2 /f

После этого идём в «Электропитание» → «Изменить параметры схемы» → «Изменить дополнительные параметры питания» → раздел «Экран». Там появится пункт «Время ожидания отключения экрана при блокировке консоли» — и его уже можно крутить прямо из GUI, без командной строки.

Если нужно скрыть параметр обратно:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Power\PowerSettings\7516b95f-f776-4464-8c53-06167f40cc99\8EC4B3A5-6868-48C2-BE75-4F3044BE88A7" /v Attributes /t REG_DWORD /d 1 /f

Массовое решение через групповую политику

Когда настройку нужно раскатить сразу на весь домен — делаем GPO с параметром реестра. Стандартный раздел «Power Management» в Administrative Templates сюда не поможет, этот параметр он не охватывает. Поэтому идём через Registry Preferences.

Шаг 1. Откройте Group Policy Management и создайте или отредактируйте нужный GPO

Шаг 2. Перейдите в раздел реестровых предпочтений

Computer Configuration → Preferences → Windows Settings → Registry

Шаг 3. Создайте новый элемент реестра

• Action: Update
• Hive: HKEY_LOCAL_MACHINE
• Key path: SYSTEM\CurrentControlSet\Control\Power\PowerSettings\7516b95f-f776-4464-8c53-06167f40cc99\8EC4B3A5-6868-48C2-BE75-4F3044BE88A7
• Value name: Attributes
• Value type: REG_DWORD
• Value data: 2

Шаг 4. Добавьте второй элемент — само значение таймаута

Атрибут видимости — это половина дела. Теперь нужно записать само значение. Делается это через PowerShell Logon Script или вторым реестровым элементом прямо в том же GPO:

powercfg /setacvalueindex SCHEME_CURRENT SUB_VIDEO 8EC4B3A5-6868-48C2-BE75-4F3044BE88A7 0
powercfg /setdcvalueindex SCHEME_CURRENT SUB_VIDEO 8EC4B3A5-6868-48C2-BE75-4F3044BE88A7 0
powercfg /setactive SCHEME_CURRENT

Этот скрипт удобнее всего повесить как Computer Startup Script в том же GPO: Computer Configuration → Windows Settings → Scripts → Startup. Работает надёжно, проверяли не раз.

Проверка результата

Применили изменения — не поленитесь проверить, что всё действительно сработало, а не просто ушло в никуда:

powercfg /query SCHEME_CURRENT SUB_VIDEO

В выводе ищите строку с GUID 8EC4B3A5-6868-48C2-BE75-4F3044BE88A7. Там должно стоять 0x00000000 (никогда) или то значение в секундах, которое вы прописали. Если видите что-то другое — политика не применилась.

И обязательно проверьте вживую — не только в реестре. Нажмите Win+L, заблокируйте сеанс и подождите полторы-две минуты. Экран не погас? Отлично, задача закрыта.

Справочная таблица GUID параметров схемы питания

Дополнительные советы администратору

Сохраняйте и экспортируйте схемы питания

Настроили схему питания руками на эталонной машине? Сразу экспортируйте её командой:

powercfg /export C:\baseline-power.pow SCHEME_CURRENT

После этого можно разворачивать её на остальные машины через GPO или скрипт:

powercfg /import C:\baseline-power.pow

На практике это экономит кучу времени. Новая рабочая станция в домене — один скрипт, и про таймаут можно забыть.

Проверяйте конфликты с энергосберегающими политиками OEM

Отдельная головная боль — ноутбуки и корпоративные станции Dell, HP, Lenovo. Производители добавляют собственные утилиты: Dell Command Power Manager, HP Power Manager, Lenovo Vantage. Эти программы спокойно перетирают и GPO, и прямые настройки powercfg. Мы сталкивались с ситуацией, когда после каждой перезагрузки таймаут возвращался — и виной тому оказался именно Lenovo Vantage. Если проблема воспроизводится после ребута, первым делом смотрите на OEM-утилиты.

Отладка через Event Viewer

Windows пишет изменения схемы питания в журнал событий. Посмотреть можно так:

Get-WinEvent -LogName "System" | Where-Object {$_.Id -eq 105 -or $_.Id -eq 107}

Event ID 105 — это смена схемы питания, 107 — выход из сна. По этим событиям можно точно восстановить картину: кто и когда трогал таймауты. Очень помогает, когда что-то меняется «само».

Используйте PowerShell вместо командной строки

Все команды powercfg одинаково работают и в cmd, и в PowerShell. Но если нужно логировать результат или встроить проверку в скрипт развёртывания — PowerShell удобнее:

$result = powercfg /setacvalueindex SCHEME_CURRENT SUB_VIDEO 8EC4B3A5-6868-48C2-BE75-4F3044BE88A7 0
if ($LASTEXITCODE -eq 0) {
    Write-Host "Console lock timeout успешно сброшен" -ForegroundColor Green
    powercfg /setactive SCHEME_CURRENT
} else {
    Write-Host "Ошибка применения параметра" -ForegroundColor Red
}

Итог

Экран гаснет ровно через минуту при заблокированном сеансе — это не глюк Windows и не сломанная групповая политика. Это намеренно скрытый параметр Console lock display off timeout. Он живёт в отдельном GUID 8EC4B3A5-6868-48C2-BE75-4F3044BE88A7 схемы питания и обычные политики управления дисплеем его просто не трогают.

Для одной машины хватит двух команд в PowerShell от администратора — пять минут работы. Для развёртывания на весь парк нужны GPO Preferences с реестровым ключом и стартовый скрипт. Эталонную схему питания обязательно экспортируйте и держите рядом с базовым образом рабочей станции — потом скажете себе спасибо.

Если такие нюансы — скрытые таймауты, конфликты OEM-утилит, политики питания — регулярно отвлекают вашу команду от работы, возможно, имеет смысл передать администрирование на IT-аутсорсинг. Мы занимаемся именно этим: берём инфраструктуру на себя, чтобы вы занимались бизнесом, а не реестром.

Официальная документация: Microsoft Learn — Windows Server, Microsoft Learn — PowerShell