7
Shutdown unterbinden - Restart erlauben mittels Gruppenrichtlinie
Guten Morgen, hab den gestrigen Tag damit verbracht eine Lösung für das folgende Problem mit GPOs zu finden. Hätte an sich auch schon einen Weg gefunden, nur kommt mir das etwas kompliziert und umständlich vor. Heut morgen ist mir eingefallen, dass ich das ja hier mal zur Diskussion stellen könnte, nutze das Forum oft zum recherchieren, aber selten um Beiträge zum posten. Meistens werd ich auch fündig, also bin ich zuversichtlich, dass auch hier gewinnbringende Ansätze kommen. ;)
Ich betreibe eine W2K3 - XP Umbgebung mit rund 150 Clients und verwende recht oft Policies zur Verwaltung.
Nun stellt sich folgende Aufgabe:
Auf einigen Clients soll dem/der UserIn verboten werden, den Rechner auszuschalten (die sind abgesetzt in einem Geräteraum). Allerdings muss der User die Möglichkeit haben, den Rechner neu zu starten, was ja für den Support oft hilfreich ist.
Nun hab ich eine Policie erstellt und im Computerbereich die Settings
"Shut down the System" definiert, damit kann ich steuern, welche User den Rechner herunterfahren dürfen
"Shutdown: Allow System to be shut down without having log on" - klar, der Rechner darf bei der Anmeldemaske nicht heruntergefahren werden.
Soweit so gut, damit hab ich erreicht, dass nur Administratoren die Maschine herunterfahren können, allerdings können nun UserInnen die Maschine nicht mehr neu starten, sondern sich nur mehr abmelden.
Um jetzt einen Restart zu ermöglichen, hab ich eine Batch geschrieben, die per Runas (Adminrechte sind jetzt notwendig) über Shutown.exe einen Restart durchführt. Um keine Passworteingabe bei Runas durchführen zu müssen, hab ich ein VBS Script vorgeschalten, dass das Passwort an Runas übergibt, das Script ist codiert damit PW und Account nicht zu lesen sind. Dazu hab ich einen Serviceaccount angelegt, der das Recht für Shutdown.exe besitzt. Noch eine Msgbox.exe vorgeschalten um den User darauf hinzuweisen, dass das System heruntergefahren wird und ihm die Möglichkeit zu geben den Restart noch abzubrechen.
Alles in allem sehr umständlich, muss natürlich noch das Script auf die betreffenden Rechner per Logonscript verteilen ...
O.k. langer Text kurze Frage, wie kann ich das einfacher lösen, hab ich in der Policy etwas übersehen, dass mir die Möglichkeit gibt nur ein Shutdown zu unterbinden, nicht aber einen Neustart ?
besten Dank
Noah
Ich betreibe eine W2K3 - XP Umbgebung mit rund 150 Clients und verwende recht oft Policies zur Verwaltung.
Nun stellt sich folgende Aufgabe:
Auf einigen Clients soll dem/der UserIn verboten werden, den Rechner auszuschalten (die sind abgesetzt in einem Geräteraum). Allerdings muss der User die Möglichkeit haben, den Rechner neu zu starten, was ja für den Support oft hilfreich ist.
Nun hab ich eine Policie erstellt und im Computerbereich die Settings
"Shut down the System" definiert, damit kann ich steuern, welche User den Rechner herunterfahren dürfen
"Shutdown: Allow System to be shut down without having log on" - klar, der Rechner darf bei der Anmeldemaske nicht heruntergefahren werden.
Soweit so gut, damit hab ich erreicht, dass nur Administratoren die Maschine herunterfahren können, allerdings können nun UserInnen die Maschine nicht mehr neu starten, sondern sich nur mehr abmelden.
Um jetzt einen Restart zu ermöglichen, hab ich eine Batch geschrieben, die per Runas (Adminrechte sind jetzt notwendig) über Shutown.exe einen Restart durchführt. Um keine Passworteingabe bei Runas durchführen zu müssen, hab ich ein VBS Script vorgeschalten, dass das Passwort an Runas übergibt, das Script ist codiert damit PW und Account nicht zu lesen sind. Dazu hab ich einen Serviceaccount angelegt, der das Recht für Shutdown.exe besitzt. Noch eine Msgbox.exe vorgeschalten um den User darauf hinzuweisen, dass das System heruntergefahren wird und ihm die Möglichkeit zu geben den Restart noch abzubrechen.
Alles in allem sehr umständlich, muss natürlich noch das Script auf die betreffenden Rechner per Logonscript verteilen ...
O.k. langer Text kurze Frage, wie kann ich das einfacher lösen, hab ich in der Policy etwas übersehen, dass mir die Möglichkeit gibt nur ein Shutdown zu unterbinden, nicht aber einen Neustart ?
besten Dank
Noah
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 120662
Url: https://administrator.de/contentid/120662
Ausgedruckt am: 16.11.2024 um 15:11 Uhr
7 Kommentare
Neuester Kommentar
Guten Morgen Noah,
es gibt noch einen anderen Weg. Vielleicht kommt er ja für dich in Frage.
In den GPO´s \Administrative Vorlagen\Startmenü... den Befehl Herunterfahren zu konfigurieren.
Viel Erfolg,
es gibt noch einen anderen Weg. Vielleicht kommt er ja für dich in Frage.
In den GPO´s \Administrative Vorlagen\Startmenü... den Befehl Herunterfahren zu konfigurieren.
Viel Erfolg,
Hallo, danke für den Input. Das Startmenü kann ich aber nur in der Userpolicy konfigurieren und damit würde es auf alle User auf allen Maschinen wirken. D.h ich möchte eine reine Computerpolicy.
lGC
lGC
Dann gäbe es noch die Möglichkeit das entspr. Computerkonto und/oder die betroffenen User in eine eigene Organistationeinheit zu legen und die von mir genannte GPO nur dort drauf anwenden lassen.
Geht leider auch nicht, da wechselnde User. Die Pc´s sind in einer Gruppe auf die die Policy wirkt.
Dann probier doch mal, ich habe dies leider noch nicht getestet, über Verwaltung die lokalen Sicherheitseinstellungen auf dem PC.
Hier kannst Du bei \Zuweisen von Benutzerrechten "Herunterfahren des Systems" bearbeiten.
Grüsse,
Hier kannst Du bei \Zuweisen von Benutzerrechten "Herunterfahren des Systems" bearbeiten.
Grüsse,
Dieses Setting hab ich schon konfiguriert, damit kann ich verhindern, dass das System ausgeschalten wird - leider wird dadurch auch der Reboot verhindert. Und genau das sollen die UserInnen können.
Moin Moin
So wie ich dein Problem verstehe benötigt du Benutzerbezogene Computerrichtlinien.
Dafür gibt es den Loopbackverarbeitunsmodus.
Gruß L.
So wie ich dein Problem verstehe benötigt du Benutzerbezogene Computerrichtlinien.
Dafür gibt es den Loopbackverarbeitunsmodus.
Gruß L.
