Trong bài viết này, chúng ta sẽ xem xét cách quản lý quyền của người dùng không phải quản trị viên để khởi động lại hoặc tắt máy tính hoặc máy chủ Windows. Theo mặc định, người dùng không có đặc quyền chỉ có thể khởi động lại hoặc tắt các phiên bản Windows dành cho máy tính để bàn và không thể khởi động lại Máy chủ Windows (các nút tắt và khởi động lại không có sẵn trong menu Bắt đầu). Có thể cho phép người dùng không có đặc quyền quản trị viên cục bộ khởi động lại Windows Server không? Ngoài ra còn có một tác vụ ngược - cách ngăn người dùng khởi động lại máy tính Windows 10 được sử dụng làm kiosk thông tin, bảng điều khiển điều phối, v.v.
Cho phép / Ngăn Tùy chọn Tắt máy và Khởi động lại dành cho Người dùng Windows qua GPO
Bạn có thể đặt quyền khởi động lại hoặc tắt Windows bằng cách sử dụng nút Tắt hệ thống trong phần GPO Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Gán quyền người dùng.
Xin lưu ý rằng quyền khởi động lại / tắt mặc định cho các phiên bản Windows 10 và Windows Server trên máy tính là khác nhau.
Mở Local Group Policy Editor (gpedit.msc) và chuyển đến phần được chỉ định ở trên. Như bạn có thể thấy, thành viên của các nhóm địa phương Quản trị viên , Người dùng và Toán tử dự phòng có quyền tắt / khởi động lại máy tính chạy Windows 10 .
Trên Windows Server 2016/2012 R2 chỉ Quản trị viên hoặc Toán tử dự phòng có thể tắt máy hoặc khởi động lại máy chủ. Đó là điều hợp lý và đúng đắn, vì trong hầu hết các trường hợp, người dùng không phải quản trị viên không được có đặc quyền tắt máy chủ từ xa (ngay cả khi điều đó xảy ra thỉnh thoảng). Chỉ cần tưởng tượng một máy chủ RDSH thường bị tắt do người dùng vô tình nhấp vào nút “Tắt máy” trong menu Bắt đầu…
Tuy nhiên, không có quy tắc nào mà không có ngoại lệ. Vì vậy, nếu bạn muốn cho phép người dùng không có đặc quyền khởi động lại Máy chủ Windows của mình, chỉ cần thêm tài khoản của họ vào chính sách này.
Bạn cũng có thể cấp quyền bắt đầu / dừng / khởi động lại dịch vụ cho người dùng không phải quản trị viên.Hoặc ngược lại, bạn muốn ngăn người dùng phiên bản Windows 10 dành cho máy tính để bàn khởi động lại máy tính đáp ứng một số chức năng của máy chủ. Trong trường hợp này, chỉ cần xóa nhóm Người dùng khỏi Tắt hệ thống chính sách địa phương.
Theo cách tương tự, bạn có thể ngăn (hoặc cho phép) tắt / khởi động lại tất cả các máy tính trong đơn vị tổ chức cụ thể của miền Active Directory bằng chính sách miền.
Trong trình chỉnh sửa Chính sách Nhóm miền ( gpmc.msc ), tạo chính sách mới Ngăn chặn_Shutdown , định cấu hình các thông số của chính sách “Tắt hệ thống” theo yêu cầu của bạn và gán nó cho OU chứa máy tính hoặc máy chủ.
Cho phép Tắt / Khởi động lại Từ xa mà không cần Quyền Quản trị viên
Bạn cũng có thể cho phép một số người dùng khởi động lại Máy chủ Windows của mình từ xa bằng cách sử dụng shutdown ra lệnh mà không cấp cho họ đặc quyền quản trị viên cục bộ hoặc quyền đăng nhập vào máy chủ của bạn bằng RDP.
Để thực hiện, hãy thêm tài khoản người dùng vào mục Buộc tắt máy từ hệ thống từ xa trong cùng một phần GPO ( Chuyển nhượng quyền của người dùng ).
Theo mặc định, chỉ quản trị viên mới có thể tắt máy chủ từ xa. Thêm tài khoản người dùng vào chính sách.
Sau đó, người dùng sẽ nhận được SeRemoteShutdown đặc quyền và sẽ có thể khởi động lại máy chủ từ xa bằng lệnh này:
shutdown -m \\hamb-rds01 -r -f -t 0
Làm cách nào để Xóa tùy chọn Tắt máy / Khởi động lại trong Windows 10?
Ngoài ra, có một chính sách đặc biệt cho phép loại bỏ các tùy chọn Tắt máy, Khởi động lại và Ngủ đông khỏi màn hình Bắt đầu hoặc menu Bắt đầu. Chính sách này có tên là Xóa và ngăn quyền truy cập vào các lệnh Tắt, Khởi động lại, Ngủ và Ngủ đông và nằm trong phần GPO sau: Cấu hình người dùng -> Mẫu quản trị -> Menu Bắt đầu và Thanh tác vụ .
Sau khi bạn bật chính sách này, người dùng sẽ chỉ có thể ngắt kết nối phiên hiện tại. Các nút Tắt máy, Ngủ và Khởi động lại sẽ không khả dụng.
Làm thế nào để tìm ra ai đã khởi động lại / tắt máy chủ Windows?
Sau khi bạn đã cấp cho người dùng đặc quyền để khởi động lại máy chủ của mình, bạn có thể muốn biết ai đã khởi động lại máy chủ:người dùng hay một trong các quản trị viên.
Để làm điều đó, hãy sử dụng nhật ký Trình xem sự kiện (eventvwr.msc). Đi tới Nhật ký Windows -> Hệ thống và lọc nhật ký theo ID sự kiện 1074 .
Trong bài viết Làm thế nào để phân tích nhật ký kết nối RDP? chúng tôi đã xem xét cách sử dụng Trình xem sự kiện để nhận thông tin về nhật ký truy cập RDP.
Như bạn có thể thấy, có các sự kiện khởi động lại máy chủ trong nhật ký theo thứ tự thời gian. Mô tả sự kiện hiển thị thời gian khởi động lại, lý do và tài khoản đã khởi động lại máy chủ.
Log Name:System Source: User32 EventID: 1074 The process C:\Windows\system32\shutdown.exe (BE-BAK01) has initiated the restart of computer BE-BAK01 on behalf of user corp\jsmith for the following reason: No title for this reason could be found Reason Code: 0x800000ff Shutdown Type: restart Comment:
Theo cách tương tự, bạn có thể nhận thông tin về các sự kiện tắt Windows mới nhất. Để làm điều đó, hãy lọc nhật ký theo ID sự kiện 1076 .