V tomto článku sa zameriame na niekoľko spôsobov spravovania používateľských práv na reštartovanie a vypnutie počítačov a serverov Windows. V predvolenom nastavení môžu používatelia iba reštartovať a vypnúť verzie systému Windows pre počítače a nemôžu reštartovať server (tlačidlá vypnutia a reštartu nie sú k dispozícii). Je možné povoliť užívateľovi bez oprávnení miestnej správy reštartovať systém Windows Server? Je tiež možná opačná úloha - zakázať používateľom reštartovať počítač so systémom Windows 10, ktorý sa používa ako druh informačného kiosku, dispečerskej konzoly atď..
obsah:
- Povoliť (zakázať) užívateľovi reštartovať systém Windows pomocou tejto politiky
- Právo na diaľkové vypnutie / reštart systému Windows
- Skryť tlačidlá vypínania a reštartovania od používateľa systému Windows
- Ako zistiť, kto reštartoval (vypol) server Windows?
Povoliť (zakázať) užívateľovi reštartovať systém Windows pomocou tejto politiky
Práva na reštart alebo vypnutie systému Windows je možné nakonfigurovať pomocou „Vypnutie systému"(Vypnite systém) v sekcii GPO: Konfigurácia počítača -> Konfigurácia Windows -> Nastavenia zabezpečenia -> Miestne politiky -> Priradenie užívateľských práv (Konfigurácia počítača -> Zásady -> Nastavenia systému Windows -> Nastavenia zabezpečenia -> Priradenie užívateľských práv).
Upozorňujeme, že v predvolenom nastavení sa práva na vypínanie a reštartovanie systému Windows líšia vo verziách systému Windows 10 pre počítače a vo vydaniach systému Windows Server..
Otvorte editor lokálnej politiky gpedit.msc a prejdite do vyššie uvedenej časti. Ako vidíte v Windows 10 členovia miestnych skupín majú právo na reštartovanie (vypnutie) počítača: administrátori, užívatelia a Operátori archívu.
zatiaľ čo v systéme Windows Server 2012 R2 vypnúť alebo reštartovať server môže iba administrátori alebo Operátori zálohovania. Je to správne a logické, pretože vo väčšine prípadov by používatelia nemali mať práva na vypnutie servera (aj náhodne). Predstavte si server RDS, ktorý sa pravidelne vypína z dôvodu, že používatelia náhodne kliknú na tlačidlo vypnutia v ponuke Štart ...
Existujú však výnimky z každého pravidla. Ak teda chcete povoliť konkrétnemu používateľovi (bez oprávnení správcu) reštartovať systém Windows Server, jednoducho do tohto pravidla pridajte jeho účet..
Pravidelným používateľom môžete udeliť aj právo na spustenie a zastavenie služieb..Alebo naopak, chcete zabrániť používateľom stolného vydania systému Windows 10 v reštarte počítača, ktorý vykonáva funkciu servera. V takom prípade stačí odstrániť skupinu Users z politiky vypínania lokálneho systému.
Podobne môžete zabrániť (alebo povoliť) vypnutie alebo reštartovanie počítačov pre všetky počítače v konkrétnom OU domény Active Directory pomocou politiky domény. Pomocou editora domény GPO domény (gpmc.msc) vytvorte novú politiku Prevent_Shutdown, nakonfigurujte nastavenie politiky „Vypnúť systém“ podľa svojich požiadaviek a túto politiku priraďte OU k počítačom alebo serverom..
Právo na diaľkové vypnutie / reštart systému Windows
Niektorým používateľom môžete povoliť aj reštartovanie systému Windows Server na diaľku pomocou príkazu na vypnutie bez toho, aby ste na server udelili práva miestneho správcu používateľa a prihlasovacie práva k RDP..
Ak to chcete urobiť, pridajte používateľský účet do pravidiel „Nútené diaľkové vypnutie“(Vynútiť vypnutie zo vzdialeného systému) v rovnakej sekcii GPO Pridelenie práv používateľov (Pridelenie práv používateľov).
V predvolenom nastavení server môžu vzdialene vypnúť iba správcovia. Pridajte do politiky požadovaný používateľský účet.
Výsledkom bude, že používateľovi bude pridelené oprávnenie SeRemoteShutdown a tento server bude môcť vzdialene reštartovať pomocou príkazu:
vypnutie -m \\ msk-repo01 -r -f -t 0
Skryť tlačidlá vypínania a reštartovania od používateľa systému Windows
Okrem toho existuje špeciálna politika, ktorá umožňuje používateľovi odstrániť príkazy na vypnutie, reštartovanie a hibernáciu počítača z úvodnej obrazovky a ponuky Štart. Táto politika sa nazýva „Odstráňte príkazy Vypnutie, Reštart, Spánok, Dlhodobý spánok a zakázať im prístup“(Odstrániť a zabrániť prístupu k príkazom Vypnúť, Reštartovať, Spať a Hibernácie) a nachádza sa v časti GPO používateľa a počítača: Konfigurácia počítača (používateľa) -> Šablóny pre správu -> Ponuka Štart a panel úloh (Konfigurácia počítača -> Šablóny pre správu -> Ponuka Štart a Panel úloh).
Po povolení tejto politiky bude môcť používateľ dokončiť prácu so systémom Windows iba po prihlásení. Tlačidlá vypnutia, spánku a reštartovania nebudú k dispozícii.
Ako zistiť, kto reštartoval (vypol) server Windows?
Po udelení určitých používateľských práv na reštartovanie serverov pravdepodobne budete chcieť zistiť, kto reštartoval konkrétny server: používateľ alebo jeden z administrátorov.
Na tento účel použite protokol udalostí prehliadača udalostí (eventvwr.msс). Prejdite do sekcie Denníky systému Windows -> systém a filtrovať denník udalostí pomocou ID udalosti 1074.
V článku Analýza protokolov pripojenia RDP sme podrobne preskúmali použitie protokolu udalostí na získanie informácií o vzdialenom prístupe používateľov k protokolu RDP..
Ako vidíte, v protokole udalostí sa vyskytli udalosti reštartu servera v chronologickom poradí. Popis udalosti označuje čas reštartu, dôvod a účet, ktorý vykonal reštart.
Názov denníka: Systém
Zdroj: User32
ID udalosti: 1074
Proces C: \ Windows \ system32 \ winlogon.exe (MSK-RDS1) inicioval reštart počítača MSK-RDS1 v mene používateľa CORP \ AAIvanov z tohto dôvodu: Z tohto dôvodu nebol nájdený žiadny názov.
Kód príčiny: 0x500ff
Typ vypnutia: reštart
komentár:
Podobne môžete získať informácie o najnovších udalostiach reštartovania systému Windows. Ak to chcete urobiť, vyhľadajte podľa udalosti pomocou kódu 1076.
