Herunterfahren von Windows mittels GPO verbieten

    Befehl "Herunterfahren" im Startmenü von Windows 7Während es auf einer Workstation normalerweise jedem Benutzer überlassen bleibt, wann er seinen PC herunter­fährt bzw. neu startet, sollte man das dafür nötige Recht am Server sparsam vergeben. Das gilt besonders für Terminal-Server, wo ein Reboot gleich mehrere User-Sessions betrifft.

    Microsoft hat die Standardeinstellungen für das Recht zum Herunterfahren des Rechners so gewählt, dass sie auf kritischen Systemen restriktiver sind als auf weniger wichtigen. So dürfen nur Administratoren und Sicherungs­operatoren einen Member-Server neu starten, während dies auf einer Workstation zusätzlich auch normalen Benutzern erlaubt ist.

    Standard-Policies überschreiben

    Aufgrund dieser Vorgaben besteht daher keine Gefahr, dass normale User einen Terminal-Server herunterfahren und damit die Sessions aller anderen angemeldeten Benutzer beenden. Deshalb beugt man solchen unliebsamen Überraschungen am besten vor, indem man den Anwendern keine administrativen Rechte auf einem Session Host einräumt.

    Passen die Vorgaben von Microsoft nicht auf die bestehenden Anfor­derungen, etwa weil man nicht allen Administratoren das Shutdown-Recht einräumen oder dieses zusätzlich bestimmten anderen Benutzern erteilen möchte, dann kann man dies über Gruppen­richt­linien tun.

    Aktiviert man diese Einstellung, dann erhalten nur jene Benutzer das Recht zum Herunterfahren, die explizit in der Liste stehen.

    Dafür ist die Einstellung Herunterfahren des Systems zuständig. Sie findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzer­rechten.

    Konfiguriert man diese Richtlinie, dann muss man dort alle Benutzer und Gruppen eintragen, die das Recht zum Herunterfahren erhalten sollen. Alle anderen User, darunter auch Administratoren, die zuvor über die Default Policy ermächtigt wurden, verlieren dieses Privileg, wenn sie nicht explizit in diese Liste aufgenommen werden.

    Befehle für Herunterfahren und Neu starten ausblenden

    Anstatt die Benutzerrechte anzupassen, kann man alternativ die Befehle für das Herunterfahren, neu starten und Energie sparen aus dem Startmenü ausblenden. Die dafür zuständige Einstellung findet sich unter Benutzer­konfiguration => Richt­linien => Administrative Vorlagen => Start­menü und Task­leiste.

    Diese Einstellung blendet nur die Befehle zum Herunterfahren und Reboot aus, greift aber nicht für shutdown.exe.

    Sie hat im Vergleich zur ersten Variante aber gleich mehrere Nachteile. So hindert sie keinen Benutzer daran, das System mittels shutdown.exe oder eines anderen Tools herunterzufahren.

    Außerdem lässt sie sich nur an Benutzer zuordnen und nicht an Computer, so dass diese Einstellung nicht nur auf einem Terminal-Server greift, sondern auch auf einer Workstation. Um dies zu umgehen, müsste man für die OU, in der sich die Terminal-Server befinden, ein Loopback Processing aktivieren.

    Keine Kommentare