我管理的其中一个客户在 Windows Server 2008 R2 服务器上运行 RDS 环境,用户登录该服务器即可工作。我需要阻止用户允许应用程序重新启动这些服务器,问题是他们都是本地管理员(由于他们运行的应用程序的要求)。您建议应用哪些 GP 来解决这个问题?我目前有以下设置:
计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 关闭系统。
仅允许域管理员关闭系统,我相信这仅适用于本地关机,而不适用于远程关机。
答案1
是的,此策略决定哪些本地登录到计算机的用户可以关闭它。
参见Explain标签上的描述:
您还可以查看此位置的另一项策略(即在“用户权限分配”下:)-从远程系统强制关机。
管理员默认为成员。
从两个策略中删除管理员 - 将不允许他们本地或远程关闭 RDS 主机。
答案2
您无法有效地拒绝本地管理员的权限,因为无论您应用什么 GPO,他们都可以通过编辑注册表至少暂时覆盖它。他们还可以从域中删除计算机。
一般来说,您不应该在需要自上而下的管理控制的环境中使用或分发本地管理员帐户。最好的策略是将这些密码保存在数据库中(或为此目的设计的软件,例如我曾经使用过的 Hitachi ID Privileged Access Manager);只有在需要重新建立域关系或类似情况时才应使用这些密码,并且这些密码的使用应该是可审计的。
不幸的是,您的应用程序需要这样的访问权限。您可以考虑确定它实际需要什么访问权限,并授予它;大多数应用程序实际上不需要管理员访问权限。
如果您的唯一目标是防止意外关机,您当然可以将Local Security Policy/Local Policies/User Rights Assignment/Shut Down the System其设置为排除,但请注意,这不会阻止知识渊博的用户故意关闭它。我相信此策略适用于 RDP 交互式会话,但不适用于命令shutdown(它具有针对远程主机的选项);这是 GPO 选项的领域Force shutdown from a remote system。