В тази статия ще разгледаме няколко начина за управление на потребителските права за рестартиране и изключване на Windows компютри и сървъри. По подразбиране потребителите могат да рестартират и изключват само настолните версии на Windows и не могат да рестартират сървъра (бутоните за изключване и рестартиране не са налични). Възможно ли е да се позволи на потребител без местни административни права да рестартира Windows Server? Възможна е и обратна задача - да се забрани на потребителите да рестартират компютър с Windows 10, който се използва като вид информационен киоск, диспечерска конзола и т.н..
Съдържание:
- Позволете (забрани) на потребителя да рестартира Windows с помощта на правилото
- Правото за дистанционно изключване / рестартиране на Windows
- Скриване на бутоните за изключване и рестартиране от потребител на Windows
- Как да разберете кой рестартира (изключи) сървър на Windows?
Позволете (забрани) на потребителя да рестартира Windows с помощта на правилото
Правата за рестартиране или изключване на Windows могат да бъдат конфигурирани с помощта на „Изключване на системата"(Изключете системата) в секцията за GPO: Конфигурация на компютъра -> Конфигурация на Windows -> Настройки за защита -> Местни политики -> Присвояване на права на потребителя (Конфигурация на компютъра -> Политики -> Настройки на Windows -> Настройки за защита -> Присвояване на права на потребителя).
Моля, обърнете внимание, че по подразбиране правата за изключване / рестартиране на Windows са различни в настолните версии на Windows 10 и в изданията на Windows Server.
Отворете локалния редактор на политики gpedit.msc и отидете на секцията по-горе. Както виждате в Windows 10 членовете на местните групи имат правата да рестартират (изключат) компютъра: Администраторите, потребители и Архивни оператори.
докато на Windows Server 2012 R2 изключете или рестартирайте само сървъра Администраторите или Резервни оператори. Това е правилно и логично, защото в по-голямата част от случаите потребителите не трябва да имат права да изключват сървъра (дори случаен). Представете си RDS сървър, който периодично се изключва поради факта, че потребителите случайно натискат бутона за изключване в менюто "Старт" ...
Но има изключения от всяко правило. Съответно, ако искате да разрешите на определен потребител (без права на администратор) да рестартира вашия Windows Server, просто добавете неговия акаунт към тази политика.
Можете също така да предоставите на обикновените потребители правото да стартират и спират услуги..Или обратното, искате да попречите на потребителите на настолното издание на Windows 10 да рестартират компютър, който изпълнява сървърна функция. В този случай просто трябва да премахнете групата Потребители от политиката за изключване на локалната система.
По подобен начин можете да предотвратите (или разрешите) спирането или рестартирането на компютрите за всички компютри в конкретен OU домейн OU, използвайки политика на домейна. Използвайки редактора на GPO за домейна (gpmc.msc), създайте нова политика на Prevent_Shutdown, конфигурирайте настройката на политиката „Изключете системата“ според вашите изисквания и присвойте политиката на OU с компютри или сървъри.
Правото за дистанционно изключване / рестартиране на Windows
Можете също така да разрешите на определени потребители да рестартират вашия Windows Server дистанционно, като използвате командата за изключване, без да давате права на локалния потребител на администратора и RDP права за вход на сървъра.
За целта добавете потребителския акаунт към правилото „Принудително дистанционно изключване”(Принудително изключване от отдалечена система) в същия раздел с GPO Възлагане на права на потребителя (Присвояване на права на потребителя).
По подразбиране само администраторите могат да изключат сървъра от разстояние. Добавете желания потребителски акаунт към правилото.
В резултат на това на потребителя ще бъде предоставена привилегията SeRemoteShutdown и той ще може да рестартира този сървър дистанционно с помощта на командата:
изключване -m \\ msk-repo01 -r -f -t 0
Скриване на бутоните за изключване и рестартиране от потребител на Windows
Освен това има специална политика, която позволява на потребителя да премахне командите за изключване, рестартиране и хибернация от стартовия екран и менюто Старт. Политиката се нарича „Изтрийте команди Изключване, Рестартиране, Сън, Хибернация и отказване на достъп до тях”(Премахване и предотвратяване на достъп до командите за изключване, рестартиране, заспиване и хибернация) и се намира в секцията за GPO на потребителя и компютъра: Конфигурация на компютъра (потребителя) -> Административни шаблони -> Стартово меню и лента със задачи (Конфигурация на компютъра -> Административни шаблони -> Стартово меню и лента със задачи).
След като активира тази политика, потребителят ще може да завърши работа с Windows само като влезе. Бутоните за изключване, заспиване и рестартиране ще станат недостъпни.
Как да разберете кой рестартира (изключи) сървър на Windows?
След като сте предоставили определени потребителски права за рестартиране на сървърите, вероятно искате да разберете кой рестартира конкретен сървър: потребител или един от администраторите.
За да направите това, използвайте журнала на събитията Viewer (Eventvwr.msс). Отидете в секцията Регистрация на Windows -> система и филтрирайте дневника на събитията с идентификатор на събитието 1074.
В статията Анализ на регистрационните файлове на RDP връзка разгледахме подробно използването на дневника на събитията за получаване на информация за отдалечен достъп до RDP на потребителите.
Както можете да видите, в дневника на събитията имаше събития за рестартиране на сървъри в хронологичен ред. Описанието на събитието указва времето за рестартиране, причината и акаунта, извършил рестарта.
Име на дневника: Система
Източник: User32
EventID: 1074
Процесът C: \ Windows \ system32 \ winlogon.exe (MSK-RDS1) инициира рестартирането на компютъра MSK-RDS1 от името на потребителя CORP \ AAIvanov по следната причина: Не може да се намери заглавие по тази причина..
Код на причината: 0x500ff
Тип изключване: рестартиране
коментар:
По подобен начин можете да получите информация за най-новите събития за рестартиране на Windows. За целта търсете по случай с код 1076.
