V tem članku bomo pogledali več načinov upravljanja pravic uporabnikov za ponovno zagon in izklop računalnikov in strežnikov Windows. Uporabniki lahko privzeto zaženejo in izklopijo samo namizne različice sistema Windows, strežnika pa ne morejo znova zagnati (gumba za izklop in ponovno zagon nista na voljo). Ali je mogoče uporabniku brez lokalnih upravnih pravic dovoliti ponovni zagon sistema Windows Server? Možna je tudi povratna naloga - prepovedati uporabnikom ponovni zagon računalnika z operacijskim sistemom Windows 10, ki se uporablja kot nekakšen kiosk z informacijami, dispečerska konzola itd..
Vsebina:
- Dovoli (prepove) uporabniku, da znova zažene sistem Windows s pravilnikom
- Pravica do daljinskega izklopa / ponovnega zagona Windows
- Skrij gumbe za izklop in ponovno zagon uporabnika sistema Windows
- Kako ugotoviti, kdo je znova zagnal (izklopil) strežnik Windows?
Dovoli (prepove) uporabniku, da znova zažene sistem Windows s pravilnikom
Pravice do ponovnega zagona ali izklopa sistema Windows lahko konfigurirate s pomočjo gumba »Zaustavitev sistema"(Izklopite sistem) v razdelku GPO: Konfiguracija računalnika -> Konfiguracija Windows -> Varnostne nastavitve -> Lokalne politike -> Dodelitev pravic uporabnikom (Konfiguracija računalnika -> Politike -> Nastavitve sistema Windows -> Varnostne nastavitve -> Dodelitev pravic uporabnikom).
Upoštevajte, da so privzeto pravice do zaustavitve / ponovnega zagona Windows drugačne v namiznih različicah Windows 10 in v izdajah Windows Server.
Odprite urejevalnik lokalnih pravil gpedit.msc in pojdite na zgornji razdelek. Kot vidite v Windows 10 člani lokalnih skupin imajo pravico do ponovnega zagona (izklopa) računalnika: Skrbniki, Uporabniki in Arhivski operaterji.
Medtem ko v operacijskem sistemu Windows Server 2012 R2 izklopite ali znova zaženite samo strežnik Skrbniki ali Varnostno kopiranje. To je pravilno in logično, ker v veliki večini primerov uporabniki ne bi smeli imeti pravic do izklopa strežnika (tudi naključnega). Predstavljajte si strežnik RDS, ki se občasno izklopi zaradi dejstva, da uporabniki pomotoma kliknejo gumb za izklop v meniju za zagon ...
Toda pri vsakem pravilu obstajajo izjeme. Če želite določenemu uporabniku (brez skrbniških pravic) dovoliti, da znova zažene vaš Windows Server, samo dodajte njegov račun v ta pravilnik.
Prav tako lahko rednim uporabnikom dodelite pravico do zagona in ustavitve storitev..Ali obratno, želite uporabnikom namizne izdaje Windows 10 preprečiti ponovni zagon računalnika, ki izvaja strežniško funkcijo. V tem primeru morate samo odstraniti skupino uporabnikov iz lokalnega pravilnika o izklopu sistema.
Podobno lahko preprečite (ali dovolite) zaustavitev ali ponovni zagon računalnikov za vse računalnike v določeni OU domeni Active Directory z uporabo pravilnika o domenah. Z urejevalnikom GPO domene (gpmc.msc) ustvarite novo politiko Prevent_Shutdown, konfigurirajte nastavitev pravilnika »Izklopi sistem« v skladu z vašimi zahtevami in to politiko dodelite OU z računalniki ali strežniki.
Pravica do daljinskega izklopa / ponovnega zagona Windows
Nekaterim uporabnikom lahko tudi omogočite, da na daljavo znova zaženejo vaš strežnik Windows z ukazom za izklop, ne da bi strežniku dali lokalne skrbniške pravice in pravice za prijavo v RDP..
To storite tako, da v pravilnik dodate uporabniški račun "Prisilno daljinsko zaustavitev”(Prisilna zaustavitev iz oddaljenega sistema) v istem razdelku GPO Dodelitev pravic uporabnikov (Dodelitev pravic uporabnikom).
Samo skrbniki lahko privzeto izklopijo strežnik na daljavo. V pravilnik dodajte želeni uporabniški račun.
Kot rezultat, bo uporabniku dodeljen privilegij SeRemoteShutdown in ta strežnik bo lahko znova zagnal na daljavo z ukazom:
izklop -m \\ msk-repo01 -r -f -t 0
Skrij gumbe za izklop in ponovno zagon uporabnika sistema Windows
Poleg tega obstaja poseben pravilnik, ki uporabniku omogoča, da odstrani ukaze za izklop, ponovno zagon in mirovanje s začetnega zaslona in menija Start. Politika se imenuje "Izbrišite ukaze Izklop, ponovno zagon, spanje, mirovanje in onemogočanje dostopa do njih”(Odstranite in preprečite dostop do ukazov izklopa, ponovnega zagona, spanja in hibernacije) in se nahaja v razdelku GPO uporabnika in računalnika: Konfiguracija računalnika (uporabnika) -> Skrbniške predloge -> Meni Start in opravilna vrstica (Konfiguracija računalnika -> Administrativne predloge -> Meni Start in opravilna vrstica).
Po omogočitvi tega pravilnika bo lahko uporabnik dokončal delo z Windows le s prijavo. Gumbi za izklop, spanje in ponovno zagon ne bodo na voljo.
Kako ugotoviti, kdo je znova zagnal (izklopil) strežnik Windows?
Ko dodelite določene uporabniške pravice za ponovno zagon strežnikov, boste verjetno želeli ugotoviti, kdo je znova zagnal določen strežnik: uporabnik ali eden od skrbnikov.
Če želite to narediti, uporabite dnevnik dogodkov Pregledovalnik dogodkov (eventvwr.msс). Pojdite na razdelek Dnevniki Windows -> Sistem in filtrirajte dnevnik dogodkov z ID-jem dogodka 1074.
V članku Analiza dnevnikov povezav RDP smo podrobno preučili uporabo dnevnika dogodkov za pridobivanje informacij o oddaljenem dostopu RDP uporabnikov.
Kot lahko vidite, so bili v dnevniku dogodkov dogodki znova zagnani s strežnikom v kronološkem vrstnem redu. Opis dogodka navaja čas ponovnega zagona, razlog in račun, ki je opravil ponovni zagon.
Ime dnevnika: Sistem
Vir: User32
EventID: 1074
Proces C: \ Windows \ system32 \ winlogon.exe (MSK-RDS1) je v imenu uporabnika CORP \ AAIvanov v imenu uporabnika CORP \ AAIvanov sprožil ponovni zagon računalnika MSK-RDS1 iz naslednjega razloga: Naslova zaradi tega ni mogoče najti.
Koda vzroka: 0x500ff
Vrsta zaustavitve: ponovni zagon
Komentar:
Podobno lahko dobite informacije o najnovejših dogodkih ponovnega zagona Windows. Če želite to narediti, poiščite po dogodku s kodo 1076.
