Tags: Gruppenrichtlinien, Rechteverwaltung
Während es auf einer Workstation normalerweise jedem Benutzer überlassen bleibt, wann er seinen PC herunterfährt bzw. neu
startet, sollte man das dafür nötige Recht am Server sparsam vergeben. Das gilt besonders für Terminal-Server, wo ein Reboot gleich mehrere User-Sessions betrifft.
Microsoft hat die Standardeinstellungen für das Recht zum Herunterfahren des Rechners so gewählt, dass sie auf kritischen Systemen restriktiver sind als auf weniger wichtigen. So dürfen nur Administratoren und Sicherungsoperatoren einen Member-Server neu starten, während dies auf einer Workstation zusätzlich auch normalen Benutzern erlaubt ist.
Standard-Policies überschreiben
Aufgrund dieser Vorgaben besteht daher keine Gefahr, dass normale User einen Terminal-Server herunterfahren und damit die Sessions aller anderen angemeldeten Benutzer beenden. Deshalb beugt man solchen unliebsamen Überraschungen am besten vor, indem man den Anwendern keine administrativen Rechte auf einem Session Host einräumt.
Passen die Vorgaben von Microsoft nicht auf die bestehenden Anforderungen, etwa weil man nicht allen Administratoren das Shutdown-Recht einräumen oder dieses zusätzlich bestimmten anderen Benutzern erteilen möchte, dann kann man dies über Gruppenrichtlinien tun.
Dafür ist die Einstellung Herunterfahren des Systems zuständig. Sie findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten.
Konfiguriert man diese Richtlinie, dann muss man dort alle Benutzer und Gruppen eintragen, die das Recht zum Herunterfahren erhalten sollen. Alle anderen User, darunter auch Administratoren, die zuvor über die Default Policy ermächtigt wurden, verlieren dieses Privileg, wenn sie nicht explizit in diese Liste aufgenommen werden.
Befehle für Herunterfahren und Neu starten ausblenden
Anstatt die Benutzerrechte anzupassen, kann man alternativ die Befehle für das Herunterfahren, neu starten und Energie sparen aus dem Startmenü ausblenden. Die dafür zuständige Einstellung findet sich unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Startmenü und Taskleiste.
Sie hat im Vergleich zur ersten Variante aber gleich mehrere Nachteile. So hindert sie keinen Benutzer daran, das System mittels shutdown.exe oder eines anderen Tools herunterzufahren.
Außerdem lässt sie sich nur an Benutzer zuordnen und nicht an Computer, so dass diese Einstellung nicht nur auf einem Terminal-Server greift,
sondern auch auf einer Workstation. Um dies zu umgehen, müsste man für die OU, in der sich die Terminal-Server befinden, ein Loopback Processing aktivieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
Weitere Links
2 Kommentare
Hi,
Danke für das Tutorial.
Leider fehlt bei uns der Haken "diese richtlinieneinstellungen definieren"
Bei uns sind auch Ordner mit einem Schloss links bei Zuweisen von Benutzerrechten.
Wir sind in einer Domäne auf einem Terminalserver und würden gerne normalen NUtzern das Herunterfahren und neustarten entziehen.
Hast du einen Tip?
Danke :)
Die zweite Variante ist auch unter Computerkonfiguration=> Richtlinien => Administrative Vorlagen => Startmenü und Taskleiste. verfügbar.
Also kein Loopback nötig.