Групповая политика отключение компьютера по расписанию

Обновлено: 29.06.2024

Описывает лучшие практики, расположение, значения, управление политикой и соображения безопасности для параметра Закрыть параметр политики безопасности системы.

Справочники

Отключение контроллеров домена делает их не в состоянии делать такие вещи, как запросы на логотип процесса, параметры групповой политики и отвечать на запросы Протокол доступа к облегченным каталогам (LDAP). Отключение контроллеров домена, которым были назначены главные роли операций, которые также называются гибкими одиночными мастер-операциями или ролями FSMO, может отключить ключевые функции домена. Например, обработка запросов логотипов для новых паролей, которые делаются мастером эмулятора основного контроллера домена (PDC).

Чтобы включить поддержку спячки, установить параметры управления питанием и отменить отключение, необходимо отключить право пользователя системы.

Возможные значения

  • Список учетных записей, определенных пользователем
  • По умолчанию
  • Не определено

Рекомендации

  1. Убедитесь, что только администраторы **** и операторы резервного копирования имеют право отключить пользователя системы на серверах-членах. И что только администраторы имеют право пользователя на контроллеры домена. Удаление этих групп по умолчанию может ограничить возможности пользователей, которым назначены определенные административные роли в вашей среде. Убедитесь, что их делегированная задача не будет отрицательно затронута.
  2. Возможность отключения контроллеров домена должна быть ограничена небольшим числом доверенных администраторов. Несмотря на то, что отключение системы требует возможности входа на сервер, необходимо внимательно относиться к учетным записям и группам, которые позволяют отключить контроллер домена.

Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию

По умолчанию этот параметр — администраторы, операторы резервного копирования, операторы серверов и операторы печати на контроллерах домена, а администраторы и операторы резервного копирования на автономных серверах.

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Администраторы
Операторы архива
Операторы серверов
Операторы печати
Параметры по умолчанию для автономного сервера Администраторы
Операторы архива
Действующие параметры по умолчанию для контроллера домена Администраторы
Операторы архива
Операторы серверов
Операторы печати
Действующие параметры по умолчанию для рядового сервера Администраторы
Операторы архива
Действующие параметры по умолчанию для клиентского компьютера Администраторы
Операторы архива
Пользователи

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Для активации этого параметра политики не требуется перезагрузка компьютера.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Это право пользователя не имеет того же эффекта, что и принудительное отключение от удаленной системы. Дополнительные сведения см. в дополнительных сведениях о принудительном отключении из удаленной системы.

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который перезаписывал параметры на локальном компьютере при следующем обновлении групповой политики:

  1. Параметры локальной политики
  2. Параметры политики сайта
  3. Параметры политики домена
  4. Параметры политики подразделения

Когда локальный параметр серый, он указывает, что GPO в настоящее время контролирует этот параметр.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Возможность отключения контроллеров домена должна ограничиваться очень небольшим числом доверенных администраторов. Несмотря на то, что для отключения права пользователя системы требуется возможность входа на сервер, необходимо внимательно следить за тем, какие учетные записи и группы можно отключить контроллер домена.

При закрытии контроллера домена он не может обрабатывать запросы логотипов, обрабатывать параметры групповой политики и отвечать на запросы Протокол доступа к легкому каталогу (LDAP). Если вы отключили контроллеры домена, у которых есть главные роли в операциях, вы можете отключить функции ключевого домена, такие как обработка запросов логотипов для новых паролей, выполняемых мастером PDC.

Для других ролей сервера, особенно ролей, в которых не администраторы имеют права на вход на сервер, например серверы хост-серверов сеансов RD, крайне важно, чтобы это право пользователя было удалено у пользователей, у которых нет законных оснований для перезапуска серверов.

Противодействие

Убедитесь, что только группам администраторов и операторов резервного копирования назначено отключение пользователя системы прямо на серверах членов. **** И убедитесь, что только группе администраторов назначен пользователь прямо на контроллерах домена.

Возможное влияние

Последствия удаления этих групп по **** умолчанию из права отключения права пользователя системы могут ограничить делегированную способность назначенной роли в вашей среде. Подтвердим, что делегированная деятельность не затрагивается отрицательно.

date

09.04.2019

directory

Windows 10, Windows Server 2012 R2, Windows Server 2016

comments

Комментариев пока нет

В этой статье мы рассмотрим несколько способов, позволяющих управлять правами пользователей на перезагрузку и выключение компьютеров и серверов Windows. По умолчанию пользователи могут перезагружать и выключать только десктопные версии Windows, и не могут перезагрузить сервер (кнопки выключения и перезагрузки не доступны). Возможно ли разрешить пользователю без прав локального администратора перезагружать Windows Server? Возможна и обратная задача – запретить пользователям перезагружать компьютер с Windows 10, который используется в качестве некого информационного киоска, диспетчерского пульта и т.д.

Разрешить (запретить) пользователю перезагрузку Windows с помощью политики

Права на перезагрузку или выключение Windows можно настроить с помощью политики “Завершение работы системы” (Shut down the system) в секции GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> User Rights Assignment).

Обратите, что по-умолчанию права на выключение/перезагрузку Windows различаются в десктопных версиях Windows 10 и в редакциях Windows Server.

Откройте редактор локальной политики gpedit.msc и перейдите в указанную выше секцию. Как вы видите, в Windows 10 права на перезагрузку (выключение) компьютера есть у членов локальных групп: Администраторы, Пользователи и Операторы архива.

Политика дающая права на Завершение работы системы Windows перезагрузку

В то время как в Windows Server 2012 R2 выключить или перезагрузить сервер могут только Администраторы или Backup Operators. Это правильно и логично, т.к. у пользователей в подавляющем большинстве случаев не должно быть прав на выключение сервера (даже случайное). Представьте себе RDS сервер, который периодически выключается из-за того, что пользователи случайно нажимают на кнопку выключения в стартовом меню…

Shut down the system - политика

Но из всякого правила бывают исключения. Соответственно, если вы хотите разрешить определенному пользователю (без права администратора) перезагружать ваш Windows Server, достаточно добавить его учетную запись в эту политику.

Или наоборот, вы хотите запретить пользователям десктопной редакции Windows 10 перезагружать компьютер, который выполняет некую серверную функцию. В этом случае вам достаточно удалить группу Users из локальной политики “Завершение работы системы”.

Аналогичным образом вы можете запретить (или разрешить) выключение или перезагрузку компьютеров для всех компьютеров в определённом OU домена Active Directory с помощью доменной политики. С помощью редактора доменных GPO (gpmc.msc) создайте новую политику Prevent_Shutdown, настройте параметр политики “Shut down the system” в соответствии с вашими требованиями и назначьте политику на OU с компьютерами или серверами.

Право на удаленное выключение/перезагрузку Windows

Вы также можете разрешить определенным пользователям перезагружать ваш Windows Server удаленно с помощью команды shutdown, не предоставляя пользователю права локального администратора и право на RDP вход на сервер.

Для этого необходимо добавить учетную запись нужного пользователя в политику “Принудительное удаленное завершение работы” (Force shutdown from a remote system) в той же самой секции GPO Назначение прав пользователя (User Rights Assignment).

По умолчанию выключить сервер удаленном могут только администарторы. Добавьте в политику нужную учетную запись пользователя.

политика Принудительное удаленное завершение работы” (Force shutdown from a remote system

В результате пользователю будет назначена привилегия SeRemoteShutdown и он сможет перезагрузить данный сервер удаленно с помощью команды:

shutdown -m \\msk-repo01 -r -f -t 0

Скрыть от пользователя Windows кнопки выключения и перезагрузки

групповая политика Удалить команды Завершение работы, Перезагрузка, Сон, Гибернация и запретить доступ к ним

После включения этой политики пользователь сможет завершить работу с Windows, только выполнив логофф. Кнопки выключения, сна и перезагрузки компьютера станут недоступными.

пользователю недоступны кнопки выключения и перезагрузки windows

Как узнать, кто перезагрузил (выключил) Windows сервер?

После того, как вы представили определенному пользователю права на перезагрузку серверов вы, вероятно, захотите узнать кто перезагружал определенный сервер: пользователь или один из администраторов.

Для этого нужно использовать журнал событий Event Viewer (eventvwr.msс). Перейдите в раздел Windows Logs -> System и отфильтруйте журнал по событию с Event ID 1074.

В статье Анализ логов RDP подключений мы подробно рассматривали использование журнала событий для получения информации о удаленном RDP доступе пользователей.

Event ID 1074 - событие перезагрузки компьютера

Как вы видите, в журнале событий остались события перезагрузки сервера в хронологическом порядке. В описании события указано время перезагрузки, причина и учетная запись, которая выполнила рестарт.

Log Name:System
Source: User32
EventID: 1074
The process C:\Windows\system32\winlogon.exe (MSK-RDS1) has initiated the restart of computer MSK-RDS1 on behalf of user CORP\AAIvanov for the following reason: No title for this reason could be found.
Reason Code: 0x500ff
Shutdown Type: restart
Comment:

Аналогичным образом можно получить информацию о последних событиях перезагрузки Windows. Для этого нужно искать по событию с кодом 1076.

Автоматическое включение (выключение) компьютера из режимов сна (гибернации)

Автоматическое включение (выключение) компьютера из режимов сна (гибернации)

Не давно, у меня появилась необходимость научиться автоматически включать (выключать) компьютер из режимов сна (гибернации)

Я периодически работаю за удаленным компьютером в определенный промежуток времени, но, для того, чтобы не тратить лишнюю электроэнергию на те моменты, когда он мне не нужен, я отправляю его в сон, а лучше в гибернацию, так как в гибернации компьютер вообще не потребляет электроэнергию. Если для вас не совсем понятна разница между режимом сна и гибернацией, то в одном из своих видео я уже рассказывал про эти режимы более подробно. Ссылку на данный материал я укажу в подсказках к видео и в описании (Режим гибернации спящий режим и гибридный спящий режим). А так же ссылку на урок «Что делать, если Windows не уходит в спящий режим?»

Так вот, в связи с этим возникает вопрос, как его включить? Можно кого-нибудь попросить, но не всегда это могут сделать. Так же, можно настроить включение компьютера по сети, но, так как у меня он подключен через внешний WiFi адаптер, то такой возможности тоже нет. Хотя, как-нибудь нужно будет осветить и эту тему.

По этому, я решил выйти из данной ситуации путем создания расписания, по которому компьютер будет автоматически просыпаться в указанное время! Причем, можно так же сделать чтобы компьютер автоматически уходил в сон, гибернацию или вообще выключался. Но, все это мы уже рассмотрим на практике.

Чтобы продемонстрировать все описанное ранее, нам потребуется зайти в (Пуск \ Программы \ Стандартные \ Служебные \ Планировщик заданий \ Библиотека планировщика заданий \ ПКМ \ Создать задачу \ Пробуждение \ Триггер \ Задаем время пробуждения)

К сожалению, у меня не получится продемонстрировать процесс пробуждения, так как я все выполняю в виртуальной среде, а на физической машине все будет работать как надо. Причем, некоторые говорят, что таким образом можно компьютер вывести только из сна, но не из гибернации. Однако, у меня и с гибернацией не было никаких проблем.

Так же, можно запустить какое-нибудь приложение при запуске, но для этого нужно еще отключить ввод пароля при пробуждении (Панель управление \ Электропитание \ Настройка плана электропитания \ Изменить дополнительные параметры питания \ Изменить параметры которые сейчас не доступны \ Требовать введение пароля при пробуждении \ Значение \ Нет), чтобы приложение запустилось автоматически.

Что касаемо автоматического завершения работы, ухода в сон или режим гибернации, то из вы моете задать через данные команды, их я так же укажу в описании:

Завершение работы – shutdown.exe -s -t 00

Гибернация – rundll32.exe powrprof.dll,SetSuspendState

Спящий режим – rundll32.exe powrprof.dll,SetSuspendState 0,1,0

И тут есть один интересный момент, чтобы не вырубить компьютер в момент, когда за ним кто-то работает, то можно в Условиях, указать «Запускать задачу при простое компьютера». В такой ситуации, если в заданный момент на компьютере была какая-то активность, то система подождет, когда эта активность закончится и через указанное вами время выполнит задачу.

Автоматическое выключение компьютера в Window

Научившись пользоваться функцией автоматического выключения в Windows 10, вы избавитесь от необходимости самостоятельно отключать компьютер, что удобно в ряде ситуаций.

Например, вы поставили на загрузку файл, и пошли спать, предварительно настроив выключение на время предположительного завершения процесса загрузки. В итоге и файл загрузился, и компьютер вовремя выключился.

Автоматическое выключение ПК планировщиком заданий

Автоматическое выключение настраивается стандартными средствами ОС. Сделайте следующее:

Вызов планировщика заданий в Windows

кликните «Создать задачу»

введите любое имя процесса и отметьте галочкой «Выполнить с наивысшими правами», если функция деактивирована;

откройте раздел «Триггеры» и нажмите кнопку «Создать»

Создание триггера в планировщике задач-1

задайте длительность работы задания и укажите дату начала его выполнения. Здесь же задается желаемая частота автоматического отключения

Создание триггера в планировщике задач

откройте вкладку «Действия» и нажмите кнопку «Создать»

Создание действий в планировщике задач

откройте раздел «Условие» отметьте галочкой пункт «Запускать задачу при простое компьютера». Выставьте желаемое время и активируйте функцию «Перезапускать при возобновлении простоя»;

Создание условий в планировщике задач

откройте раздел «Параметры» и активируйте функцию «При сбое выполнения перезапускать через». Здесь же укажите время, по истечению которого задача пере запуститься. Поставьте 10 или 30 минут.

Параметры в планировщике задач

В завершение останется нажать Ок, и функция отключения компьютера активируется.

Автоматическое выключение компьютера через командную строку

Метод подходит для однократной настройки Windows на автоматическое завершение работы через желаемое время. Сделайте следующее:

Команда выключение Windows

Для отмены автоматического завершения работы сделайте то же самое, заменив упомянутую ранее команду следующей: shutdown –a.

Программные таймеры для автоматического выключения компьютера

Существует много приложений, позволяющих настраивать автоматическое отключение компьютера через привычный для пользователя графический интерфейс.

Power Off!

При первом ознакомлении интерфейс кажется сложным и перегруженным. В действительности нужно просто с ним «подружиться». Утилита предлагает несколько разделов.

Таймеры. Здесь задаются параметры завершения работы, перезагрузки или перехода в режим ожидания/сна.

В блоке «Стандартный таймер» можно настроить компьютер на выключение в определенное время, или по завершению обратного отсчета (устанавливается пользователем), или спустя заданное время простоя ОС.

Winamp’ зависимый таймер. Софт привязывается к популярному медиа-проигрывателю Winamp. Работу утилиты можно контролировать из плеера.
К примеру, можно задать отключение системы после проигрывания определенного количества композиций или после завершения воспроизведения последней позиции плейлиста. Функция понравится любителям засыпать под музыку (см. Почему нет звука на компьютере или ноутбуке).

CPU зависимый таймер. Приложение подстраивается под состояние процессора. К примеру, утилиту можно настроить на выключение системы в случае превышения допустимой нагрузки на процессор (см. Как выбрать лучший процессор) в течение определенного временного промежутка.

Internet зависимый таймер. Функция пригодится пользователям, регулярно скачивающим большие файлы из сети. Софт можно настроить на завершение работы / активацию спящего режима после загрузки файлов и т.п.

Другие функции. В утилите есть настраиваемый ежедневник и другие полезные функции.

Time PC

Программу можно настроить на перевод компьютера в режим гибернации с последующим пробуждением по расписанию. Возможности встроенного планировщика рассчитаны на недельное использование. Предусмотрена функция запуска приложения вместе с Windows (см. Как отключить автозапуск программ Windows).

Гибернацию можно сравнить с «летаргическим сном». В отличие от спящего режима, при гибернации завершаются основные системные процессы (даже кулеры перестают издавать шум) и компьютер выглядит как полностью отключенный.

Перед переходом в режим гибернации информация о состоянии системы сохраняется. После пробуждения все процессы восстанавливаются.

Важно! Чтобы режим гибернации работал, в настройках БИОС нужно предварительно активировать режим S3 (см. Как войти в БИОС на компьютерах и ноутбуках).

Перед использованием утилиты найдите в Панели управления раздел управления электропитанием, откройте настройки режима сна и разрешите использование таймеров пробуждения. В противном случае приложение не сможет пробуждать систему по расписанию.

Таймер сна 2007

Скромная по своему функционалу программа отнимет минимум места на жестком диске и не потребует предварительной установки. Приложение умеет делать следующее:

выключать/перезагружать/переводить в режим сна компьютер в указанное время;

принудительно завершать выбранные пользователем процессы;

плавно уменьшать громкость;

запускать пользовательскую программу через ярлык.

OFF Timer

Очередной представитель категории элементарных программ из разряда «ничего лишнего». Функция одна: выключение компьютера в указанное пользователем время.

Принудительно будут закрыты все работающие программы (см. Какие программы нужны для компьютера).

Перед завершением работы системы программа выдаст соответствующее оповещение. У пользователя будет 10 секунд на отмену предстоящего мероприятия.

SM Timer

Миниатюрная утилита с двумя основными функциями:

1. выключением компьютера в заданное время;

2. завершением сеанса спустя определенный временной промежуток.

Время задается с помощью ползунков – единственное украшение скромного минималистского интерфейса.

Теперь вы знаете, как настроить Windows 10 на выключение через командную строку, планировщик задач и популярные сторонние программы. Выбирайте понравившийся вариант, следуйте соответствующей инструкции и все получится.

Читайте также: