Як дозволити (заборонити) звичайному користувачеві перезавантаження (виключення) Windows?

У цій статті ми розглянемо кілька способів, що дозволяють управляти правами користувачів на перезавантаження і вимикання комп'ютерів і серверів Windows. За замовчуванням користувачі можуть перезавантажувати і вимикати тільки десктопні версії Windows, і не можуть перезавантажити сервер (кнопки вимикання і перезавантаження не доступні). Чи можливо вирішити користувачеві без прав локального адміністратора перезавантажувати Windows Server? Можлива і зворотна задача - заборонити користувачам перезавантажувати комп'ютер з Windows 10, який використовується в якості такого собі інформаційного кіоску, диспетчерського пульта і т.д.

зміст:

  • Дозволити (заборонити) користувачеві перезавантаження Windows за допомогою політики
  • Право на віддалене вимикання / перезавантаження Windows
  • Приховати від користувача Windows кнопки вимикання і перезавантаження
  • Як дізнатися, хто перезавантажив (вимкнув) Windows сервер?

Дозволити (заборонити) користувачеві перезавантаження Windows за допомогою політики

Права на перезавантаження або вимикання Windows можна налаштувати за допомогою політики "Завершення роботи системи"(Shut down the system) В секції GPO: Конфігурація комп'ютера -> Конфігурація Windows -> Параметри безпеки -> Локальні політики -> Призначення прав користувача (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> User Rights Assignment).

Зверніть, що за замовчуванням права на виключення / перезавантаження Windows розрізняються в десктопних версіях Windows 10 і в редакціях Windows Server.

Відкрийте редактор локальної політики gpedit.msc і перейдіть в зазначену вище секцію. Як ви бачите, в Windows 10 права на перезавантаження (виключення) комп'ютера є у членів локальних груп: адміністратори, користувачі і Оператори архіву.

В той час як в Windows Server 2012 R2 вимкнути або перезавантажити сервер можуть тільки адміністратори або Backup Operators. Це правильно і логічно, тому що у користувачів в переважній більшості випадків не повинно бути прав на вимикання сервера (навіть випадкове). Уявіть собі RDS сервер, який періодично вимикається через те, що користувачі випадково натискають на кнопку вимикання в стартовому меню ...

Але з будь-якого правила бувають винятки. Відповідно, якщо ви хочете дозволити певному користувачеві (без права адміністратора) перезавантажувати ваш Windows Server, досить додати його обліковий запис в цю політику.

Ви також можете надати звичайним користувачам права на запуск і зупинку служб.

Або навпаки, ви хочете заборонити користувачам деськтопной редакції Windows 10 перезавантажувати комп'ютер, який виконує якусь серверну функцію. У цьому випадку вам достатньо видалити групу Users з локальної політики "Завершення роботи системи".

Аналогічним чином ви можете заборонити (або дозволити) вимикання або перезавантаження комп'ютерів для всіх комп'ютерів в певному OU домену Active Directory за допомогою доменної політики. За допомогою редактора доменних GPO (gpmc.msc) створіть нову політику Prevent_Shutdown, налаштуйте параметр політики "Shut down the system" відповідно до ваших вимог і призначте політику на OU з комп'ютерами або серверами.

Право на віддалене вимикання / перезавантаження Windows

Ви також можете дозволити певним користувачам перезавантажувати ваш Windows Server віддалено за допомогою команди shutdown, котрі дають користувачеві права локального адміністратора і право на RDP вхід на сервер.

Для цього необхідно додати обліковий запис потрібного користувача в політику "Примусове віддалене завершення роботи"(Force shutdown from a remote system) в тій же самій секції GPO Призначення прав користувача (User Rights Assignment).

За замовчуванням вимкнути сервер віддаленому можуть тільки Администартор. Додайте в політику потрібний обліковий запис користувача.

В результаті користувачеві буде призначена привілей SeRemoteShutdown і він зможе перезавантажити даний сервер віддалено за допомогою команди:

shutdown -m \\ msk-repo01 -r -f -t 0

Приховати від користувача Windows кнопки вимикання і перезавантаження

Крім того, є спеціальна політика, що дозволяє прибрати у користувача команди виключення, перезавантаження і глибокого сну комп'ютера зі стартового екрану і меню Start. Політика називається «Видалити команди Завершення роботи, Перезавантаження, Сон, глибокого сну і заборонити доступ до них"(Remove and Prevent Access to the Shut Down, Restart, Sleep, and Hibernates commands) і знаходиться в розділі GPO користувача і комп'ютера: Конфігурація комп'ютера (користувача) -> Адміністративні шаблони -> Меню "Пуск" і панель завдань (Computer Configuration -> Administrative Templates -> Start Menu and Taskbar).

Після включення цієї політики користувач зможе завершити роботу з Windows, тільки виконавши логофф. Кнопки вимикання, сну і перезавантаження комп'ютера стануть недоступними.

Як дізнатися, хто перезавантажив (вимкнув) Windows сервер?

Після того, як ви представили певному користувачеві права на перезавантаження серверів ви, ймовірно, захочете дізнатися хто перезавантажував певний сервер: користувач або один з адміністраторів.

Для цього потрібно використовувати журнал подій Event Viewer (eventvwr.msс). Перейдіть в розділ Windows Logs -> System і відфільтруйте журнал за подією з Event ID тисяча сімдесят чотири.

У статті Аналіз логів RDP підключень ми докладно розглядали використання журналу подій для отримання інформації про віддаленому RDP доступі користувачів.

Як ви бачите, в журналі подій залишилися події перезавантаження сервера в хронологічному порядку. В описі події вказано час перезавантаження, причина і обліковий запис, який виконала рестарт.

Log Name: System
Source: User32
EventID: 1074
The process C: \ Windows \ system32 \ winlogon.exe (MSK-RDS1) has initiated the restart of computer MSK-RDS1 on behalf of user CORP \ AAIvanov for the following reason: No title for this reason could be found.
Reason Code: 0x500ff
Shutdown Type: restart
Comment:

Аналогічним чином можна отримати інформацію про останні події перезавантаження Windows. Для цього потрібно шукати в події з кодом 1076.