V tomto článku se podíváme na několik způsobů, jak spravovat uživatelská práva k restartování a vypnutí počítačů a serverů Windows. Ve výchozím nastavení mohou uživatelé pouze restartovat a vypnout desktopové verze Windows a nemohou restartovat server (tlačítka pro vypnutí a restart nejsou k dispozici). Je možné povolit restartování systému Windows Server uživateli bez práv místní správy? Je také možný obrácený úkol - zakázat uživatelům restartování počítače se systémem Windows 10, který se používá jako druh informačního kiosku, dispečerské konzole atd..
Obsah:
- Povolit (zakázat) uživateli restartovat systém Windows pomocí zásady
- Právo na dálkové vypnutí / restartování systému Windows
- Skrýt tlačítka vypnutí a restartování od uživatele Windows
- Jak zjistit, kdo restartoval (vypnul) server Windows?
Povolit (zakázat) uživateli restartovat systém Windows pomocí zásady
Práva k restartování nebo vypnutí systému Windows lze nakonfigurovat pomocí „Vypnutí systému“(Vypněte systém) v sekci GPO: Konfigurace počítače -> Konfigurace Windows -> Nastavení zabezpečení -> Místní zásady -> Přiřazení uživatelských práv (Konfigurace počítače -> Zásady -> Nastavení systému Windows -> Nastavení zabezpečení -> Přiřazení uživatelských práv).
Pamatujte, že ve výchozím nastavení jsou práva na vypnutí a restartování systému Windows ve verzích systému Windows 10 a v edicích systému Windows Server odlišná.
Otevřete editor místních zásad gpedit.msc a přejděte do výše uvedené části. Jak vidíte v Windows 10 členové místních skupin mají právo restartovat (vypnout) počítač: Administrátoři, Uživatelé a Archivátoři.
Zatímco v systému Windows Server 2012 R2 vypnout nebo restartovat server může pouze Administrátoři nebo Operátory zálohování. To je správné a logické, protože v naprosté většině případů by uživatelé neměli mít práva na vypnutí serveru (i náhodně). Představte si RDS server, který se periodicky vypíná kvůli skutečnosti, že uživatelé náhodně kliknou na tlačítko vypnutí v nabídce start ...
Existují však výjimky z každého pravidla. Pokud tedy chcete povolit konkrétnímu uživateli (bez oprávnění správce) restartování systému Windows Server, stačí do této zásady přidat jeho účet..
Pravidelným uživatelům můžete také udělit právo na spuštění a zastavení služeb..Nebo naopak, chcete zabránit uživatelům stolního vydání systému Windows 10 v restartování počítače, který vykonává funkci serveru. V tomto případě stačí odebrat skupinu Users ze zásady vypnutí místního systému.
Podobně můžete zabránit (nebo povolit) vypnutí nebo restartování počítačů pro všechny počítače v konkrétní OU domény Active Directory pomocí zásady domény. Pomocí editoru GPO domény (gpmc.msc) vytvořte novou zásadu Prevent_Shutdown, nakonfigurujte nastavení zásady „Vypnout systém“ podle svých požadavků a přiřaďte zásady OU u počítačů nebo serverů.
Právo na dálkové vypnutí / restartování systému Windows
Můžete také určitým uživatelům povolit restartování systému Windows Server vzdáleně pomocí příkazu vypnutí, aniž byste uživateli udělili práva místního správce uživatele a přihlašovací práva RDP k serveru..
Chcete-li to provést, přidejte uživatelský účet do zásady „Vynucené dálkové vypnutí“(Vynutit vypnutí ze vzdáleného systému) ve stejné sekci GPO Přiřazení uživatelských práv (Přiřazení uživatelských práv).
Ve výchozím nastavení mohou server vzdáleně vypnout pouze správci. Přidejte do zásady požadovaný uživatelský účet.
V důsledku toho bude uživateli přiděleno oprávnění SeRemoteShutdown a bude moci tento server vzdáleně restartovat pomocí příkazu:
vypnutí -m \\ msk-repo01 -r -f -t 0
Skrýt tlačítka vypnutí a restartování od uživatele Windows
Kromě toho existují speciální zásady, které umožňují uživateli odebrat příkazy pro vypnutí počítače, restartování a hibernaci z úvodní obrazovky a nabídky Start. Tato politika se nazývá „Odstraňte příkazy Vypnutí, Restart, Spánek, Hibernace a odepření přístupu k nim“(Odebrat a zabránit přístupu k příkazům Vypnout, Restartovat, Spát a Hibernace) a je umístěn v části GPO uživatele a počítače: Konfigurace počítače (uživatele) -> Šablony pro správu -> Nabídka Start a hlavní panel (Konfigurace počítače -> Šablony pro správu -> Nabídka Start a hlavní panel).
Po povolení této zásady bude uživatel moci dokončit práci se systémem Windows pouze přihlášením. Tlačítka vypnutí, spánku a restartu nebudou k dispozici.
Jak zjistit, kdo restartoval (vypnul) server Windows?
Po udělení určitých uživatelských práv k restartování serverů budete pravděpodobně chtít zjistit, kdo restartoval konkrétní server: uživatel nebo jeden z administrátorů.
Chcete-li to provést, použijte protokol událostí Prohlížeče událostí (eventvwr.msс). Přejděte do sekce Protokoly systému Windows -> Systém a filtrovat protokol událostí pomocí ID události 1074.
V článku Analýza protokolů připojení RDP jsme podrobně prozkoumali použití protokolu událostí k získání informací o vzdáleném přístupu uživatelů k protokolu RDP..Jak vidíte, v protokolu událostí byly události restartování serveru v chronologickém pořadí. Popis události označuje dobu restartu, důvod a účet, který restart provedl.
Název protokolu: Systém
Zdroj: User32
EventID: 1074
Proces C: \ Windows \ system32 \ winlogon.exe (MSK-RDS1) zahájil restart počítače MSK-RDS1 jménem uživatele CORP \ AAIvanov z následujícího důvodu: Z tohoto důvodu nebyl nalezen žádný název.
Kód důvodu: 0x500ff
Typ vypnutí: restart
Komentář:
Obdobně můžete získat informace o nejnovějších událostech restartování systému Windows. Chcete-li to provést, hledání podle události s kódem 1076.