ในบทความนี้ เราจะมาดูวิธีจัดการสิทธิ์ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบเพื่อรีสตาร์ทหรือปิดคอมพิวเตอร์หรือเซิร์ฟเวอร์ Windows ตามค่าเริ่มต้น ผู้ใช้ที่ไม่มีสิทธิพิเศษสามารถรีสตาร์ทหรือปิดได้เฉพาะรุ่นเดสก์ท็อปของ Windows และไม่สามารถรีสตาร์ท Windows Server ได้ (ปุ่มปิดเครื่องและรีสตาร์ทจะไม่พร้อมใช้งานในเมนูเริ่ม) เป็นไปได้ไหมที่จะอนุญาตให้ผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลระบบในเครื่องสามารถรีสตาร์ท Windows Server? นอกจากนี้ยังมีงานผกผัน — วิธีป้องกันไม่ให้ผู้ใช้รีสตาร์ทคอมพิวเตอร์ Windows 10 ที่ใช้เป็นคีออสก์ข้อมูล คอนโซลผู้มอบหมายงาน ฯลฯ
อนุญาต/ป้องกันการปิดเครื่องและตัวเลือกการรีบูตสำหรับผู้ใช้ Windows ผ่าน GPO
คุณสามารถตั้งค่าการอนุญาตเพื่อรีสตาร์ทหรือปิด Windows โดยใช้ ปิดระบบ พารามิเตอร์ในส่วน GPO การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายในพื้นที่ -> การกำหนดสิทธิ์ผู้ใช้
โปรดทราบว่าสิทธิ์ในการรีสตาร์ท/ปิดเริ่มต้นสำหรับเดสก์ท็อป Windows 10 และ Windows Server รุ่นต่างกัน
เปิดตัวแก้ไขนโยบายกลุ่มภายใน (gpedit.msc) และไปที่ส่วนที่ระบุด้านบน อย่างที่คุณเห็น สมาชิกของกลุ่มท้องถิ่นผู้ดูแลระบบ , ผู้ใช้ และ ตัวดำเนินการสำรอง มีสิทธิ์ในการปิด/รีบูตคอมพิวเตอร์ที่ใช้ Windows 10 .
ใน Windows Server 2016/2012 R2 เฉพาะ ผู้ดูแลระบบ หรือ ตัวดำเนินการสำรอง สามารถปิดหรือรีสตาร์ทเซิร์ฟเวอร์ มีเหตุผลและสมเหตุสมผล เนื่องจากในกรณีส่วนใหญ่ ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบจะต้องไม่มีสิทธิ์ในการปิดเซิร์ฟเวอร์ระยะไกล (แม้ว่าจะเกิดขึ้นเป็นครั้งคราวก็ตาม) ลองนึกภาพเซิร์ฟเวอร์ RDSH ที่มักจะปิดตัวลงเนื่องจากผู้ใช้บังเอิญคลิกปุ่ม "ปิดเครื่อง" ในเมนูเริ่ม...
อย่างไรก็ตาม ไม่มีกฎใดที่ไม่มีข้อยกเว้น ดังนั้น หากคุณต้องการอนุญาตให้ผู้ใช้ที่ไม่มีสิทธิพิเศษสามารถรีสตาร์ท Windows Server ของคุณได้ เพียงเพิ่มบัญชีของพวกเขาในนโยบายนี้
คุณยังสามารถให้สิทธิ์ในการเริ่ม/หยุด/เริ่มบริการใหม่สำหรับผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบหรือในทางกลับกัน คุณต้องการป้องกันไม่ให้ผู้ใช้เดสก์ท็อปรุ่น Windows 10 รีสตาร์ทคอมพิวเตอร์ที่ตอบสนองฟังก์ชันเซิร์ฟเวอร์บางอย่าง ในกรณีนี้ เพียงลบกลุ่มผู้ใช้ออกจาก ปิดระบบ นโยบายท้องถิ่น
ในทำนองเดียวกัน คุณสามารถป้องกัน (หรืออนุญาต) การปิดระบบ/รีบูตสำหรับคอมพิวเตอร์ทุกเครื่องใน OU เฉพาะของโดเมน Active Directory ของคุณโดยใช้นโยบายโดเมน
ในตัวแก้ไขนโยบายกลุ่มของโดเมน (gpmc.msc ) สร้างนโยบายใหม่ Prevent_Shutdown กำหนดค่าพารามิเตอร์ของนโยบาย "ปิดระบบ" ตามความต้องการของคุณและกำหนดให้กับ OU ที่มีคอมพิวเตอร์หรือเซิร์ฟเวอร์
อนุญาตให้ปิดเครื่อง/รีสตาร์ทจากระยะไกลโดยไม่ได้รับอนุญาตจากผู้ดูแลระบบ
คุณยังสามารถอนุญาตให้ผู้ใช้บางคนรีสตาร์ท Windows Server ของคุณจากระยะไกลโดยใช้ shutdown
คำสั่งโดยไม่ให้สิทธิ์ผู้ดูแลระบบในพื้นที่หรือสิทธิ์ในการเข้าสู่ระบบเซิร์ฟเวอร์ของคุณโดยใช้ RDP
ในการดำเนินการ ให้เพิ่มบัญชีผู้ใช้ใน บังคับปิดระบบจากระบบระยะไกล นโยบายในส่วน GPO เดียวกัน (การกำหนดสิทธิ์ผู้ใช้ ).
ตามค่าเริ่มต้น เฉพาะผู้ดูแลระบบเท่านั้นที่สามารถปิดเซิร์ฟเวอร์จากระยะไกลได้ เพิ่มบัญชีผู้ใช้ในนโยบาย
หลังจากนั้นผู้ใช้จะได้รับ SeRemoteShutdown สิทธิ์และจะสามารถรีสตาร์ทเซิร์ฟเวอร์จากระยะไกลโดยใช้คำสั่งนี้:
shutdown -m \\hamb-rds01 -r -f -t 0
จะลบตัวเลือกการปิดระบบ/รีสตาร์ทใน Windows 10 ได้อย่างไร
นอกจากนี้ยังมีนโยบายพิเศษที่อนุญาตให้ลบตัวเลือก Shutdown, Restart และ Hibernate ออกจากหน้าจอ Start หรือเมนู Start นโยบายนี้เรียกว่า ลบและป้องกันการเข้าถึงคำสั่ง Shut Down, Restart, Sleep และ Hibernate และอยู่ในส่วน GPO ต่อไปนี้:การกำหนดค่าผู้ใช้ -> เทมเพลตการดูแลระบบ -> เมนูเริ่มและแถบงาน .
หลังจากที่คุณเปิดใช้งานนโยบายนี้ ผู้ใช้จะสามารถยกเลิกการเชื่อมต่อเซสชันปัจจุบันเท่านั้น ปุ่ม Shutdown, Sleep และ Restart จะไม่สามารถใช้งานได้
จะทราบได้อย่างไรว่าใครรีสตาร์ท/ปิดเซิร์ฟเวอร์ Windows
หลังจากที่คุณให้สิทธิ์ผู้ใช้ในการรีสตาร์ทเซิร์ฟเวอร์ของคุณแล้ว คุณอาจต้องการทราบว่าใครเป็นผู้รีสตาร์ทเซิร์ฟเวอร์:ผู้ใช้หรือผู้ดูแลระบบคนใดคนหนึ่ง
เมื่อต้องการทำสิ่งนี้ ให้ใช้บันทึก Event Viewer (eventvwr.msc) ไปที่ บันทึกของ Windows -> ระบบ และกรองบันทึกตามรหัสเหตุการณ์ 1074 .
ในบทความจะวิเคราะห์บันทึกการเชื่อมต่อ RDP ได้อย่างไร เราได้พิจารณาวิธีการใช้ Event Viewer เพื่อรับข้อมูลเกี่ยวกับบันทึกการเข้าถึง RDP
อย่างที่คุณเห็น มีเหตุการณ์ของการรีสตาร์ทเซิร์ฟเวอร์ในบันทึกตามลำดับเวลา คำอธิบายเหตุการณ์แสดงเวลารีสตาร์ท สาเหตุ และบัญชีที่รีสตาร์ทเซิร์ฟเวอร์
Log Name:System Source: User32 EventID: 1074 The process C:\Windows\system32\shutdown.exe (BE-BAK01) has initiated the restart of computer BE-BAK01 on behalf of user corp\jsmith for the following reason: No title for this reason could be found Reason Code: 0x800000ff Shutdown Type: restart Comment:
ในทำนองเดียวกัน คุณจะได้รับข้อมูลเกี่ยวกับเหตุการณ์การปิดระบบ Windows ล่าสุด หากต้องการดำเนินการ ให้กรองบันทึกตามรหัสเหตุการณ์ 1076 .