У цій статті ми розглянемо кілька способів, що дозволяють управляти правами користувачів на перезавантаження і вимикання комп'ютерів і серверів Windows. За замовчуванням користувачі можуть перезавантажувати і вимикати тільки десктопні версії Windows, і не можуть перезавантажити сервер (кнопки вимикання і перезавантаження не доступні). Чи можливо вирішити користувачеві без прав локального адміністратора перезавантажувати Windows Server? Можлива і зворотна задача - заборонити користувачам перезавантажувати комп'ютер з Windows 10, який використовується в якості такого собі інформаційного кіоску, диспетчерського пульта і т.д.
зміст:
- Дозволити (заборонити) користувачеві перезавантаження Windows за допомогою політики
- Право на віддалене вимикання / перезавантаження Windows
- Приховати від користувача Windows кнопки вимикання і перезавантаження
- Як дізнатися, хто перезавантажив (вимкнув) Windows сервер?
Дозволити (заборонити) користувачеві перезавантаження Windows за допомогою політики
Права на перезавантаження або вимикання Windows можна налаштувати за допомогою політики "Завершення роботи системи"(Shut down the system) В секції GPO: Конфігурація комп'ютера -> Конфігурація Windows -> Параметри безпеки -> Локальні політики -> Призначення прав користувача (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> User Rights Assignment).
Зверніть, що за замовчуванням права на виключення / перезавантаження Windows розрізняються в десктопних версіях Windows 10 і в редакціях Windows Server.
Відкрийте редактор локальної політики gpedit.msc і перейдіть в зазначену вище секцію. Як ви бачите, в Windows 10 права на перезавантаження (виключення) комп'ютера є у членів локальних груп: адміністратори, користувачі і Оператори архіву.
В той час як в Windows Server 2012 R2 вимкнути або перезавантажити сервер можуть тільки адміністратори або Backup Operators. Це правильно і логічно, тому що у користувачів в переважній більшості випадків не повинно бути прав на вимикання сервера (навіть випадкове). Уявіть собі RDS сервер, який періодично вимикається через те, що користувачі випадково натискають на кнопку вимикання в стартовому меню ...
Але з будь-якого правила бувають винятки. Відповідно, якщо ви хочете дозволити певному користувачеві (без права адміністратора) перезавантажувати ваш Windows Server, досить додати його обліковий запис в цю політику.
Ви також можете надати звичайним користувачам права на запуск і зупинку служб.Або навпаки, ви хочете заборонити користувачам деськтопной редакції Windows 10 перезавантажувати комп'ютер, який виконує якусь серверну функцію. У цьому випадку вам достатньо видалити групу Users з локальної політики "Завершення роботи системи".
Аналогічним чином ви можете заборонити (або дозволити) вимикання або перезавантаження комп'ютерів для всіх комп'ютерів в певному OU домену Active Directory за допомогою доменної політики. За допомогою редактора доменних GPO (gpmc.msc) створіть нову політику Prevent_Shutdown, налаштуйте параметр політики "Shut down the system" відповідно до ваших вимог і призначте політику на OU з комп'ютерами або серверами.
Право на віддалене вимикання / перезавантаження Windows
Ви також можете дозволити певним користувачам перезавантажувати ваш Windows Server віддалено за допомогою команди shutdown, котрі дають користувачеві права локального адміністратора і право на RDP вхід на сервер.
Для цього необхідно додати обліковий запис потрібного користувача в політику "Примусове віддалене завершення роботи"(Force shutdown from a remote system) в тій же самій секції GPO Призначення прав користувача (User Rights Assignment).
За замовчуванням вимкнути сервер віддаленому можуть тільки Администартор. Додайте в політику потрібний обліковий запис користувача.
В результаті користувачеві буде призначена привілей SeRemoteShutdown і він зможе перезавантажити даний сервер віддалено за допомогою команди:
shutdown -m \\ msk-repo01 -r -f -t 0
Приховати від користувача Windows кнопки вимикання і перезавантаження
Крім того, є спеціальна політика, що дозволяє прибрати у користувача команди виключення, перезавантаження і глибокого сну комп'ютера зі стартового екрану і меню Start. Політика називається «Видалити команди Завершення роботи, Перезавантаження, Сон, глибокого сну і заборонити доступ до них"(Remove and Prevent Access to the Shut Down, Restart, Sleep, and Hibernates commands) і знаходиться в розділі GPO користувача і комп'ютера: Конфігурація комп'ютера (користувача) -> Адміністративні шаблони -> Меню "Пуск" і панель завдань (Computer Configuration -> Administrative Templates -> Start Menu and Taskbar).
Після включення цієї політики користувач зможе завершити роботу з Windows, тільки виконавши логофф. Кнопки вимикання, сну і перезавантаження комп'ютера стануть недоступними.
Як дізнатися, хто перезавантажив (вимкнув) Windows сервер?
Після того, як ви представили певному користувачеві права на перезавантаження серверів ви, ймовірно, захочете дізнатися хто перезавантажував певний сервер: користувач або один з адміністраторів.
Для цього потрібно використовувати журнал подій Event Viewer (eventvwr.msс). Перейдіть в розділ Windows Logs -> System і відфільтруйте журнал за подією з Event ID тисяча сімдесят чотири.
У статті Аналіз логів RDP підключень ми докладно розглядали використання журналу подій для отримання інформації про віддаленому RDP доступі користувачів.
Як ви бачите, в журналі подій залишилися події перезавантаження сервера в хронологічному порядку. В описі події вказано час перезавантаження, причина і обліковий запис, який виконала рестарт.
Log Name: System
Source: User32
EventID: 1074
The process C: \ Windows \ system32 \ winlogon.exe (MSK-RDS1) has initiated the restart of computer MSK-RDS1 on behalf of user CORP \ AAIvanov for the following reason: No title for this reason could be found.
Reason Code: 0x500ff
Shutdown Type: restart
Comment:
Аналогічним чином можна отримати інформацію про останні події перезавантаження Windows. Для цього потрібно шукати в події з кодом 1076.
