W tym artykule przyjrzymy się kilku sposobom zarządzania prawami użytkownika w celu ponownego uruchomienia i zamknięcia komputerów i serwerów z systemem Windows. Domyślnie użytkownicy mogą ponownie uruchamiać i wyłączać tylko wersje systemu Windows dla komputerów stacjonarnych i nie mogą restartować serwera (przyciski zamykania i restartowania nie są dostępne). Czy można zezwolić użytkownikowi bez lokalnych uprawnień administracyjnych na ponowne uruchomienie systemu Windows Server? Możliwe jest również zadanie odwrotne - aby uniemożliwić użytkownikom ponowne uruchomienie komputera z systemem Windows 10, który jest używany jako rodzaj kiosku informacyjnego, konsoli dyspozytorskiej itp..
Treść
- Zezwalaj (zabraniaj) użytkownikowi na ponowne uruchomienie systemu Windows przy użyciu zasad
- Prawo do zdalnego zamknięcia / ponownego uruchomienia systemu Windows
- Ukryj przyciski zamykania i restartowania przed użytkownikiem Windows
- Jak dowiedzieć się, kto ponownie uruchomił (wyłączył) serwer Windows?
Zezwalaj (zabraniaj) użytkownikowi na ponowne uruchomienie systemu Windows przy użyciu zasad
Prawa do ponownego uruchomienia lub zamknięcia systemu Windows można skonfigurować za pomocą „Zamknięcie systemu”(Zamknij system) w sekcji GPO: Konfiguracja komputera -> Konfiguracja systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Przypisywanie praw użytkownika (Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Przypisywanie praw użytkownika).
Należy pamiętać, że domyślnie uprawnienia do zamykania / ponownego uruchamiania systemu Windows różnią się w wersjach systemu Windows 10 na komputery stacjonarne i w wersjach systemu Windows Server.
Otwórz lokalny edytor zasad gpedit.msc i przejdź do powyższej sekcji. Jak widzisz w Windows 10 członkowie grup lokalnych mają prawo do ponownego uruchomienia (zamknięcia) komputera: Administratorzy, Użytkownicy i Operatorzy archiwów.
Chociaż w systemie Windows Server 2012 R2 zamknij lub uruchom ponownie serwer może tylko Administratorzy lub Operatorzy kopii zapasowych. Jest to poprawne i logiczne, ponieważ w zdecydowanej większości przypadków użytkownicy nie powinni mieć uprawnień do wyłączania serwera (nawet losowo). Wyobraź sobie serwer RDS, który okresowo wyłącza się, ponieważ użytkownicy przypadkowo klikają przycisk zamykania w menu Start ...
Ale są wyjątki od każdej reguły. W związku z tym, jeśli chcesz zezwolić określonemu użytkownikowi (bez uprawnień administratora) na ponowne uruchomienie systemu Windows Server, po prostu dodaj jego konto do tej zasady.
Możesz także przyznać zwykłym użytkownikom prawo do uruchamiania i zatrzymywania usług..Lub odwrotnie, chcesz uniemożliwić użytkownikom wersji Windows 10 na komputer ponowne uruchomienie komputera pełniącego funkcję serwera. W takim przypadku wystarczy usunąć grupę Użytkownicy z zasady zamykania systemu lokalnego.
Podobnie można zapobiec (lub zezwolić) na zamykanie lub ponowne uruchamianie komputerów dla wszystkich komputerów w określonej jednostce organizacyjnej domeny Active Directory przy użyciu zasad domeny. Za pomocą edytora GPO domeny (gpmc.msc) utwórz nową zasadę Prevent_Shutdown, skonfiguruj ustawienie zasad „Zamknij system” zgodnie z własnymi wymaganiami i przypisz zasadę do jednostki organizacyjnej z komputerami lub serwerami.
Prawo do zdalnego zamknięcia / ponownego uruchomienia systemu Windows
Można również zezwolić niektórym użytkownikom na zdalne ponowne uruchomienie systemu Windows Server za pomocą polecenia shutdown bez przyznania użytkownikowi uprawnień administratora lokalnego i praw logowania do protokołu RDP na serwerze.
Aby to zrobić, dodaj konto użytkownika do zasady „Wymuszone zdalne wyłączanie”(Wymuś zamknięcie ze zdalnego systemu) w tej samej sekcji GPO Przypisywanie praw użytkownika (Przypisanie praw użytkownika).
Domyślnie tylko administratorzy mogą zdalnie wyłączać serwer. Dodaj żądane konto użytkownika do zasad.
W rezultacie użytkownik otrzyma uprawnienie SeRemoteShutdown i będzie mógł ponownie uruchomić ten serwer zdalnie za pomocą polecenia:
zamknij -m \\ msk-repo01 -r -f -t 0
Ukryj przyciski zamykania i restartowania przed użytkownikiem Windows
Ponadto istnieją specjalne zasady, które pozwalają użytkownikowi usunąć polecenia zamykania komputera, restartowania i hibernacji z ekranu startowego i menu Start. Polityka nazywa się „Usuń polecenia Zamknij, Uruchom ponownie, Uśpij, Hibernuj i odmawiaj dostępu do nich”(Usuń i zablokuj dostęp do poleceń Zamknij, Uruchom ponownie, Uśpij i Hibernuj) i znajduje się w sekcji GPO użytkownika i komputera: Konfiguracja komputera (użytkownika) -> Szablony administracyjne -> Menu Start i pasek zadań (Konfiguracja komputera -> Szablony administracyjne -> Menu Start i pasek zadań).
Po włączeniu tej zasady użytkownik będzie mógł ukończyć pracę z systemem Windows tylko po zalogowaniu. Przyciski wyłączania, uśpienia i ponownego uruchamiania staną się niedostępne.
Jak dowiedzieć się, kto ponownie uruchomił (wyłączył) serwer Windows?
Po przyznaniu określonych uprawnień użytkownika do ponownego uruchomienia serwerów, prawdopodobnie chcesz dowiedzieć się, kto uruchomił ponownie dany serwer: użytkownik lub jeden z administratorów.
Aby to zrobić, użyj dziennika zdarzeń Podglądu zdarzeń (eventvwr.msс). Przejdź do sekcji Dzienniki systemu Windows -> System i filtruj dziennik zdarzeń za pomocą identyfikatora zdarzenia 1074.
W artykule Analiza dzienników połączeń RDP szczegółowo zbadaliśmy wykorzystanie dziennika zdarzeń do uzyskania informacji o zdalnym dostępie RDP użytkowników.
Jak widać, w dzienniku zdarzeń były zdarzenia restartu serwera w kolejności chronologicznej. Opis zdarzenia wskazuje czas ponownego uruchomienia, przyczynę i konto, które wykonało ponowne uruchomienie.
Nazwa dziennika: System
Źródło: User32
EventID: 1074
Proces C: \ Windows \ system32 \ winlogon.exe (MSK-RDS1) zainicjował ponowne uruchomienie komputera MSK-RDS1 w imieniu użytkownika CORP \ AAIvanov z następującego powodu: Nie można znaleźć tytułu z tego powodu.
Kod przyczyny: 0x500ff
Typ zamknięcia: uruchom ponownie
Komentarz:
Podobnie można uzyskać informacje o najnowszych zdarzeniach ponownego uruchamiania systemu Windows. Aby to zrobić, wyszukaj według zdarzenia za pomocą kodu 1076.
