Lubage või keelake mitteadministraatoritega kasutajatel Windowsi taaskäivitamine/sulgemine

Selles artiklis vaatleme mitmeid viise, kuidas hallata mitteadministraatorikasutaja õigusi Windowsi tööjaamade või serverite taaskäivitamiseks või sulgemiseks. Vaikimisi saavad privilegeerimata kasutajad taaskäivitada ja sulgeda ainult Windowsi töölauaversioone ega saa Windows Serveri hosti taaskäivitada (sulgamis- ja taaskäivitusnupud pole Start-menüüs saadaval). Kas on võimalik lubada kohaliku administraatori õigusteta kasutajal Windows Server taaskäivitada? On ka vastupidine ülesanne – kuidas takistada kasutajatel arvuti taaskäivitamist Windows 10 või 11-ga, mida kasutatakse infokioski, dispetšerkonsoolina jne.

Kuidas lubada või takistada väljalülitamise / taaskäivitamise võimalust Windowsis GPO kaudu?

Saate määrata õigused Windowsi taaskäivitamiseks või sulgemiseks, kasutades Lülitage süsteem välja parameeter jaotises GPO Arvuti konfiguratsioon -> Poliisid -> Windowsi sätted -> Turvaseaded -> Kohalikud poliitikad -> Kasutajaõiguste määramine. See GPO-suvand võimaldab teil määrata, millised lokaalselt sisselogitud kasutajad saavad operatsioonisüsteemi sulgeda.

Pange tähele, et töölauaversioonide Windows 10/11 ja Windows Serveri väljaannete taaskäivitamise/suletamise vaikeload on erinevad.

Avage kohaliku rühmapoliitika redaktor (gpedit.msc) ja navigeerige ülaltoodud jaotisesse. Nagu näete, kohalike rühmade liikmed Administraatorid, Kasutajad ja Varundusoperaatorid omama luba töötava arvuti sulgemiseks/taaskäivitamiseks Windows 10 või 11.

Peal Windows Server 2022/2019/2016, ainult Administraatorid või Varundusoperaatorid saab serveri sulgeda või taaskäivitada. See on mõistlik, kuna enamasti ei tohi administraatorita kasutajal olla õigusi serveri sulgemiseks (isegi kogemata). Kujutage vaid ette RDS-i talu peremees mis sageli lülitub välja, kuna kasutajad klõpsavad kogemata Start-menüüs nuppu "Shutdown" ...

Active Directory domeenikontrolleritel on Windowsi sulgemise õigused delegeeritud:

• Administraatorid
• Varundusoperaatorid
• Serveri operaatorid
• Trükioperaatorid

Kui kasutajal pole opsüsteemi taaskäivitamiseks/suletamiseks luba, kuvatakse järgmise käsu käivitamisel tõrge:

shutdown –r –t 0

Access is denied.(5)

Kui soovite lubada teatud kasutajal (ilma administraatoriõigusteta) oma Windows Serveri taaskäivitada, peate sellesse poliitikasse lisama tema konto ja värskendage arvutis GPO sätteid.

Või vastupidi, saate takistada töölaua Windows 10/11 väljaannet kasutavate tööjaamade kasutajatel mõnda serverifunktsiooni täitvat arvutit taaskäivitamast. Sel juhul lihtsalt eemaldage Kasutajad rühm kohalikust poliitikast Lülitage süsteem välja.

Samamoodi saate takistada (või lubada) sulgemise/taaskäivitamise operatsioone mitteadministraatorite jaoks kõigis konkreetses arvutites. Active Directory domeeni organisatsiooniüksus (OU). kasutades domeeni GPO-d.

1. Looge grpAllowRestartComputers kasutajagrupp AD-s, kellele soovite anda arvutite taaskäivitamise õigused. Saate luua uue grupi kasutades ADUC lisandmoodul (dsa.msc) või Uus-ADGroup PowerShelli cmdlet. Lisage gruppi kasutajaid;
2. Ava domeen Grupipoliitika haldamine konsool (gpmc.msc). Valige OU arvutitega, millele soovite poliitikat rakendada, ja valige Looge selles domeenis GPO ja linkige see siia;
3. Määra GPO nimi (gpoAllowReboot) ja muutke seda;
4. Liikuge jaotisse Computer Configuration -> Policies -> Windows Settings -> Security Settings -> User Rights Assignment;
5. Ava Lülita välja valik, lubage poliitika ja lisage oma sihtrühm (grpAllowRestartComputers) ja sisseehitatud Administrators Grupp;
6. Värskendage sihtarvutite GPO sätteid ja kontrollige saadud GPO sätteid koos rsop.msc lisandmoodul. Teie rühma kasutajad saavad nüüd selle hosti sulgeda või taaskäivitada;
7. Operatsioonisüsteemi sulgemise ja taaskäivitamise valikud kuvatakse kasutaja menüüs Start.

Luba kaugväljalülitamine/taaskäivitamine ilma administraatoriõigusteta

Saate lubada mõnel mitteadministraatorita kasutajal Windows Serveri kaugtaaskäivitamist kasutades shutdown käsk ilma neile kohaliku administraatori õigusi andmata, luba sisse logida kaugtöölaua (RDP) kauduvõi kohalikud sisselogimisõigused (kui see sisselogimisviis pole lubatud)

Selleks lisage kasutajakonto Sundväljalülitamine kaugsüsteemist Grupipoliitika valik samas GPO jaotises (Kasutajaõiguste loovutamine).

Vaikimisi saavad serveri eemalt sulgeda/taaskäivitada ainult administraatorid. Lisage poliitikasse kasutajakonto.

Pärast seda saab kasutaja SeRemoteShutdown privileeg ja saab serveri eemalt taaskäivitada, kasutades käsku:

shutdown -m \\hamb-rds01 -r -f -t 0

Või kasutades Restart-Computer PowerShelli cmdleti:

Restart-Computer –ComputerName hamb-rds01 –Force

VERBOSE: Performing the operation "Enable the Remote shutdown access rights and restart the computer." on target ...

Kui WinRM (Windowsi kaughaldus) on lubatud kaugarvutis saate ühenduse loomiseks kasutada WMI asemel WSmani:

Restart-Computer -ComputerName hamb-rds01 -Protocol WSMan

Kui kasutajal pole luba WMI nimeruumiga ühenduse loomiseks, kuvatakse tõrketeade:

Restart-Computer: Failed to restart the computer srv-rds1 with the following error message: The WS-Management servicecannot process the request. The WMI service returned an 'access denied' error. .

Kas keelata (peida) Windowsi sulgemis- või taaskäivitusvalikud?

Saate kasutada rühmapoliitikat, et peita sisselogimiskuval ja menüüs Start suvandid Shutdown, Restart, Une- ja Hibernate. Seda GPO-valikut nimetatakse Eemaldage ja takistage juurdepääsu käskudele Shut Down, Restart, Sleep ja Hibernate ja asub all Kasutaja konfiguratsioon -> Haldusmallid -> Menüü Start ja tegumiriba

Pärast selle reegli lubamist saab kasutaja praeguse seansi ühenduse katkestada või kasutada logoff käsk. Nupud Shutdown, Sleep ja Restart muutuvad kättesaamatuks.

Saate kasutada mõningaid registri näpunäiteid, et peita Windowsi menüüs Toide/väljalülitamine ainult teatud üksus. Näiteks soovite peita menüüs Start ainult suvandi „Lülita välja”, kuid jätta alles „Taaskäivita”.

1. Avage registriredaktor (regedit.exe);
2. Minema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown;
3. Muuda Väärtus võimalus 1;
4. See peidab Windowsi Start-menüüst ainult suvandi „Sulgemine”.

Samuti saate peita muid valikuid menüüs Start ja Windowsi sisselogimiskuval.

• Peida ainult Taaskäivita valik Windowsis: REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideRestart " /v "value" /t REG_DWORD /d 1 /f
• Peida Hibernate suvand Windowsi Start-menüüst: REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideHibernate" /v "value" /t REG_DWORD /d 1 /f
• Peida Magama menüüst Start: REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideSleep" /v "value" /t REG_DWORD /d 1 /f
• Et täielikult keelata Võimsus nuppu ja eemaldage WinX menüüst suvand „Lülita välja või logi välja”. REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HidePowerButton" /v "value" /t REG_DWORD /d 1 /f

Kui need sätted teie arvutis ei tööta, kontrollige sarnaseid registrivõtmeid jaotises HKLM\SOFTWARE\Microsoft\PolicyManager\praegune\seade\Start\.

Pange tähele, et operatsioonisüsteemis Windows Server 2019/2022 võib pärast kasutajale taaskäivitusloa määramist ilmuda tõrge:

You don’t have permission to shutdown or restart this computer.

Sel juhul peate GPO-s lubama UAC parameetri "Kasutajakonto kontroll: käivitage kõik administraatorid administraatori kinnitusrežiimis".

Kuidas teada saada, kes Windows Serveri taaskäivitas / sulges?

Kui olete andnud loa arvuti taaskäivitamiseks mitteadministraatori kasutaja jaoks, võiksite seda teada kes taaskäivitas Windows Serveri: kasutaja või üks administraatoritest.

Kasutage sündmuste vaaturit (eventvwr.msc) Windowsi sulgemislogide otsimiseks. Minema Windowsi logid -> Süsteem ja filtreerige praegune logi sündmuse ID järgi 1074.

Nagu näete, on serveri taaskäivitamise sündmused logis kronoloogilises järjekorras. Sündmuse kirjeldus sisaldab taaskäivitamise aega, põhjust ja hosti taaskäivitanud kasutajakontot.

Log Name: SystemSource: User32. EventID: 1074. The process C:\Windows\system32\shutdown.exe (BE-BAK01) has initiated the restart of computer MUN-BAK01 on behalf of user corp\jsmith for the following reason: No title for this reason could be foundReason Code: 0x800000ff. Reason Code: 0x500ff. Shutdown Type: restart. Comment: 

Sama sündmuse ID abil saate teavet viimaste Windowsi sulgemissündmuste kohta 1076:

The process C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (MUN-BAK1) has initiated the shutdown of computer MUN-BAK1 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Legacy API shutdown. Reason Code: 0x80070000. Shutdown Type: shutdown. Comment:

Kasutage järgmist lihtsat PowerShelli skripti, et loetleda kümme viimast arvuti taaskäivitamise ja sulgemise sündmust. See loend sisaldab nende kasutajate ja protsesside nimesid, millest taaskäivitus algatati.

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft