Запретить локальным администраторам выключить сервер RDS
Один из клиентов, которыми я управляю, запускает среду RDS на серверах Windows Server 2008 R2, в которые пользователи входят для работы. Мне нужно запретить пользователям разрешать приложениям перезапускать эти серверы, проблема в том, что все они являются локальными администраторами (из-за требований приложения, которое они запускают). К каким терапевтам вы порекомендовали бы обратиться для решения этой проблемы? На данный момент у меня есть следующий набор:
Конфигурация компьютера> Политика> Параметры Windows> Параметры безопасности> Локальные политики> Назначение прав пользователя> Завершение работы системы.
Разрешение только администраторам домена выключать систему, я считаю, что это относится только к локальному отключению, а не удаленному.
Вы не можете эффективно отказать в правах локальным администраторам, поскольку независимо от того, какой объект групповой политики вы применяете, они всегда могут отменить его, по крайней мере, временно, отредактировав реестр. Они также могут удалить компьютер из домена.
В общем, вы не должны использовать или распространять учетные записи локальных администраторов в среде, требующей административного контроля сверху вниз, такого как эта. Лучшая политика - хранить эти пароли в базе данных (или программном обеспечении, разработанном для этой цели, таком как Hitachi ID Privileged Access Manager, над которым я работал); пароли следует использовать только тогда, когда необходимо восстановить доменные отношения или аналогичные, и их использование должно быть проверено.
К сожалению, вашему приложению требуется такой доступ. Вы можете подумать об определении того, какой доступ на самом деле требуется, и дать ему его вместо этого; большинству приложений фактически не нужен доступ администратора.
Если ваша единственная цель - предотвратить непреднамеренное отключение, вы, безусловно, можете установить Local Security Policy/Local Policies/User Rights Assignment/Shut Down the System чтобы исключить их, но имейте в виду, что это не помешает опытному пользователю намеренно выключить его. Я считаю, что эта политика применима к интерактивным сеансам RDP, но не к shutdown команда (которая имеет возможность настроить таргетинг на удаленный хост); это область Force shutdown from a remote system Вариант GPO.
Да, эта политика определяет, какие пользователи, которые вошли в систему локально, могут выключить компьютер.
См. Описание на Explain вкладка:
Вы также можете посмотреть другую политику в этом месте (например, в разделе Назначение прав пользователя :) - Принудительное завершение работы из удаленной системы.
Администраторы являются членами по умолчанию.
Удаление администраторов из обеих политик не позволит им выключить хост RDS локально или удаленно.
