В этой статье мы рассмотрим несколько способов, позволяющих управлять правами пользователей на перезагрузку и выключение компьютеров и серверов Windows. По умолчанию пользователи могут перезагружать и выключать только десктопные версии Windows, и не могут перезагрузить сервер (кнопки выключения и перезагрузки не доступны). Возможно ли разрешить пользователю без прав локального администратора перезагружать Windows Server? Возможна и обратная задача – запретить пользователям перезагружать компьютер с Windows 10 или 11, который используется в качестве некого информационного киоска, диспетчерского пульта и т.д.
Содержание:
- Разрешить (запретить) пользователю перезагрузку Windows с помощью групповых политик
- Разрешить удаленное выключение/перезагрузку Windows
- Скрыть кнопки выключения и перезагрузки в Windows
- Как узнать, кто перезагрузил (выключил) Windows?
Разрешить (запретить) пользователю перезагрузку Windows с помощью групповых политик
Права на перезагрузку или выключение Windows можно настроить с помощью политики “Завершение работы системы” (Shut down the system) в секции GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> User Rights Assignment). Этот параметр GPO позволяет указать пользователей, выполнивших локальных вход, которым разрешено выключать операционную систему.
Обратите, что по-умолчанию права на выключение/перезагрузку Windows различаются в десктопных версиях Windows 10/11 и в редакциях Windows Server.
Откройте редактор локальной политики gpedit.msc и перейдите в указанную выше секцию. Как вы видите, в дестопной версии Windows права на перезагрузку (выключение) компьютера есть у членов локальных групп: Администраторы, Пользователи и Операторы архива.
В Windows Server 2022/2019/2016 выключить или перезагрузить сервер могут только Администраторы или Backup Operators. Это правильно и логично, т.к. у пользователей в подавляющем большинстве случаев не должно быть прав на выключение сервера (даже случайное). Представьте себе RDS сервер, который периодически выключается из-за того, что пользователи случайно нажимают на кнопку выключения в стартовом меню…
На контроллерах домена Active Directory права на выключение Windows делегированы:
- Administrators
- Backup Operators
- Server Operators
- Print Operators
Если у пользователя нет прав на перезагрузку/выключение операционной системы, то при запуске следующей команды появится ошибка:
shutdown –r –t 0
Access is denied.(5)
Если вы хотите разрешить определенному пользователю (без права администратора) перезагружать ваш Windows Server, нужно добавить его учетную запись в эту политику и обновить настройки GPO на компьютере.
Вы можете вручную предоставить права на локальное выключение компьютера с помощью старой утилиты ntrights из Windows Server 2003 Resource Kit:
ntrights +r SeShutdownPrivilege -u winitpro\avivanov
Чтобы запретить пользователю перезагрузку:
ntrights -r SeShutdownPrivilege -u winitpro\avivanov
Или наоборот, вы хотите запретить пользователям десктопной редакции Windows 10/11 перезагружать компьютер, который выполняет некую серверную функцию. В этом случае вам достаточно удалить группу Users из локальной политики “Завершение работы системы”.
Аналогичным образом вы можете запретить (или разрешить) выключение или перезагрузку компьютеров для всех компьютеров в определённом Organizational Unit (OU) домена Active Directory с помощью доменной политики.
- Создайте в AD группу пользователей grpAllowRestartComputers, которым вы хотите предоставить права на перезагрузку компьютеров. Вы можете создать группу из консоли ADUC (dsa.msc) или PowerShell командлета New-ADGroup. Добавьте в группу пользователей;
- Откройте редактор доменных GPO (gpmc.msc). Выберите OU с компьютерами на которые вы хотите применить политику и выберите Create a GPO in this domain and Link it here;
- Задайте имя политики gpoAllowReboot и отредактируйте ее;
- Перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings -> User Rights Assignment;
- Откройте параметр Shut down, включите политику и добавьте в нее вашу группу пользователей и встроенную группу Administrators;
- Обновите настройки GPO на целевых компьютерах и проверьте настройки результирующей GPO в консоли
rsop.msc
. Пользователи из вашей группы теперь могут выключить или перезагружать этот хост;
- У пользователя в стартовом меню Windows станут доступны опции выключения и перезагрузки Windows.
Разрешить удаленное выключение/перезагрузку Windows
Вы также можете разрешить определенным пользователям перезагружать ваш Windows Server удаленно с помощью команды shutdown или командлета Restart-Computer не предоставляя пользователю права локального администратора, права на локальный вход (если этот метод входа запрещено использовать для входа в Windows), право на RDP входа на сервер под пользователем.
Для этого необходимо добавить учетную запись нужного пользователя в политику “Принудительное удаленное завершение работы” (Force shutdown from a remote system) в той же самой секции GPO Назначение прав пользователя (User Rights Assignment).
По умолчанию выключить сервер удаленном могут только администраторы. Добавьте в политику нужную учетную запись пользователя.
Также вы можете предоставить право SeRemoteShutdownPrivilege с помощью утилиты ntrights:
ntrights +r SeRemoteShutdownPrivilege -u winitpro\avivanov
В результате пользователю будет назначена привилегия SeRemoteShutdown и он сможет перезагрузить данный сервер удаленно с помощью команды:
shutdown -m \\msk-repo01 -r -f -t 0
или с помощью PowerShell командлета Restart-Computer:
Restart-Computer –ComputerName msk-repo01 –Force
VERBOSE: Performing the operation "Enable the Remote shutdown access rights and restart the computer." on target ...
Если на удаленном компьютере настроен WinRM (Windows Remote Management), вы можете использовать для подключения WSman вместо WMI:
Restart-Computer -ComputerName msk-repo01 -Protocol WSMan
Если у пользователя нет прав подключения к WMI, появится ошибка:
Restart-Computer : Failed to restart the computer srv-rds1 with the following error message: The WS-Management servicecannot process the request. The WMI service returned an 'access denied' error. .
Скрыть кнопки выключения и перезагрузки в Windows
С помощью специального параметры GPO вы можете скрыть от пользователей команды выключения, перезагрузки и гибернации компьютера со стартового экрана и меню Start. Политика называется «Удалить команды Завершение работы, Перезагрузка, Сон, Гибернация и запретить доступ к ним” (Remove and Prevent Access to the Shut Down, Restart, Sleep, and Hibernates commands) и находится в разделе GPO пользователя и компьютера: Конфигурация компьютера (пользователя) -> Административные шаблоны -> Меню “Пуск” и панель задач (Computer Configuration -> Administrative Templates -> Start Menu and Taskbar).
После включения этой политики пользователь сможет завершить работу с Windows, только выполнив логофф. Кнопки выключения, сна и перезагрузки компьютера станут недоступными.
С помощью параметров реестра вы можете скрыть только определенный пункт меню. Например, вы хотите скрыть в стартовом меню только опцию Shutdown, но оставить Restart.
- Запустите редактор реестра
regedit.exe
; - Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown;
- Измените значение параметра реестра value на 1;
- Это скроет кнопку Выключить компьютер в стартовом меню.
Вы также можете включить этот параметр из командной строки:
REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown" /v "value" /t REG_DWORD /d 1 /f
Или с помощью командлета PowerShell:
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown" -Name "value" -Value 1
Вы можете скрыть и другие опции в стартовом меню Windows:
- Скрыть кнопку перезагрузка:
REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideRestart " /v "value" /t REG_DWORD /d 1 /f - Скрыть кнопку гибернации:
REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideHibernate" /v "value" /t REG_DWORD /d 1 /f - Скрыть кнопку перевода в спящий режим:
REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideSleep" /v "value" /t REG_DWORD /d 1 /f - Полностью скрыть раздел Shut down or sign out:
REG ADD "HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HidePowerButton" /v "value" /t REG_DWORD /d 1 /f
Если эти параметры не сработали на вашем компьютере, проверьте аналогичные ключи реестра в ветке HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\Start.
Обратите внимание, что в Windows Server 2019 и 2022 при назначении прав пользователя, они могут получить ошибку:
You don’t have permission to shutdown or restart this computer.
В этом случае нужно включить в GPO параметр UAC: “User Account Control: Run all administrators in Admin Approval Mode”
Как узнать, кто перезагрузил (выключил) Windows?
Если вы предоставили обычному пользователю права на перезагрузку сервера вы, можете определить кто перезагружал определенный Windows сервер: пользователь или один из администраторов.
Для этого нужно использовать журнал событий Event Viewer (
eventvwr.msс
). Перейдите в раздел Windows Logs -> System и отфильтруйте журнал по событию с Event ID 1074.
В статье Анализ логов RDP подключений мы подробно рассматривали использование журнала событий для получения информации о удаленном RDP доступе пользователей.
Как вы видите, в журнале событий остались события все перезагрузки сервера в хронологическом порядке. В описании события указано время перезагрузки, причина и учетная пользователя запись, которая выполнила рестарт.
Log Name: System Source: User32 EventID: 1074 The process wininit.exe (192.168.13.153) has initiated the restart of computer SRV-RDS1 on behalf of user WINITPRO\username for the following reason: No title for this reason could be found Reason Code: 0x800000ff Reason Code: 0x500ff Shutdown Type: restart
События выключения компьютера также можно найти по EventID 1074:
The process C:\Program Files\VMware\VMware Tools\vmtoolsd.exe (SRV-RDS1) has initiated the shutdown of computer SRV-RDS1 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Legacy API shutdown Reason Code: 0x80070000 Shutdown Type: shutdown Comment:
С помощью простого PowerShell скрипта можно получить список последних 10 событий перезагрузки или выключения компьютера. В событиях указаны имена пользователей и процессы, из которых была инициирована перезагрузка:
Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft
Как запретить пользователям выключать или перезагружать компьютер
Помимо общей настройки операционной системы, администраторам небольших сетей, в том числе домашних, нередко приходится ограничивать доступ к отдельным ее функциям. Чаще всего такие запреты налагаются на изменение конфигурации, например, настроек сети или рабочего стола, но может иметь место и такое, что понадобится временно запретить пользователю выключать или перезагружать компьютер.
Как запретить пользователям выключать или перезагружать компьютер
В таких случаях обычно бывает достаточно отключить отображение элементов меню Пуск «Завершение работы», «Перезагрузка» и «Гибернация». Проще всего это сделать через редактор локальных групповых политик. Откройте его командой gpedit.msc, перейдите по цепочке Конфигурация пользователя → Административные шаблоны → Меню «Пуск» и панель задач,
найдите и дважды кликните по политике «Удалить и запретить доступ к командам «Завершение работы», «Перезагрузка»” и установите в открывшемся окне переключатель в положение «Включено».
Новые настройки вступят в силу немедленно и, если вы теперь откроете меню Пуск, то увидите, что из всех команд управления питанием остался только один «Выход».
Меню Alt + F4 тоже не будет работать, попытка его вызвать вернет сообщение о действующих на компьютере ограничениях.
Однако пользователь может нажать Ctrl + Alt + Del и завершить работу ПК, нажав кнопку питания на экране входа в систему. Отключать эту комбинацию, пожалуй, не стоит, она может пригодится, а вот скрыть с экрана входа в систему кнопку Power (в Windows 10) так это пожалуйста.
Запустите командой regedit редактор реестра и перейдите в расположение HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System
В правой колонке найдите 32-битный параметр типа DWORD с именем shutdownwithoutlogonи измените его значение с 1 на 0.
Все, теперь кнопка питания на экране входа в систему недоступна. Остается только команда выключения/перезагрузки shutdown, но и ее выполнение можно запретить. Для этого в редакторе локальных групповых политик перейдите по цепочке настроек Конфигурация пользователя → Административные шаблоны → Система дважды кликните по политике «Не запускать указанные приложения Windows»,
нажмите «Включено» → «Показать»
и введите в окошке «Вывод содержания» имя файла shutdown.exe.
Отныне выполнить команду shutdown нельзя будет ни через окошко Run (Win + R), ни через Проводник. Правда, пользователь по-прежнему сможет выполнять ее в командной строке и консоли PowerShell, но вы можете временно запретить вызов и этих инструментов.
Бывают случаи, когда надо запретить пользователям выключать и или перезагружать компьютер. В корпоративной сети с доменом это делается на контроллере через изменение прав группы пользователей. А что делать если не домен не используется либо компьютер вообще домашний?! Тогда на помощь нам придут правила локальных групповых политик Виндовс. Главное условие — иметь доступ к системе с правами администратора, прямые руки и немного терпения.
Для того, чтобы запретить выключение компьютера в Windows 10, а так же перезагрузку, режим сна и гибернацию, надо сначала попасть в специальный редактор. Для этого нажимаем комбинацию клавиш Win+R и запускаем окно «Выполнить».
В строку «Открыть» пишем команду gpedit.msc и нажимаем кнопку ОК. Откроется Редактор локальной групповой политики.
В нём надо открыть раздел «Конфигурация пользователя» >> «Административные шаблоны» >> «Меню «Пуск» и панель задач»:
Справа, в списке правил находим строчку «Удалить и запретить доступ к командам «Завершение работы», «Перезагрузка», «Сон» и «Гибернация».
Кликаем по ней дважды чтобы открыть правило:
Здесь надо поставить флажок «Включено», а затем нажать на кнопку «Применить» и «ОК».
Теперь всем локальным пользователям будет запрещёно выключать и перезагружать компьютер.
Если понадобиться открыть доступ для какого нибудь из пользователей, тогда делаем так. Открываем раздел «Конфигурация компьютера» >> «Конфигурация Windows» >> «Параметры безопасности» >> «Локальные политики» >> «Назначение прав пользователя»:
В списке правил находим «Завершение работы системы» и кликаем по нему дважды чтобы открыть свойства:
Здесь будет отображён список пользователей Windows 10, которым разрешён доступ к функции. Чтобы внести в этот список нужного пользователя — нажмите кнопку «Добавить пользователя или группу». В появившемся окне найдите нужную учётную запись. После этого она появится в этом списке. Нажимаем кнопку «Применить» и «ОК».
Download Windows Speedup Tool to fix errors and make PC run faster
There may be times that you would like to prevent other standard users from shutting down or restarting the Windows 11/10/8/7 computer. This article will tell you how you can do so by creating a separate Group Policy object for non-administrators. When you enable this setting, the shutdown, restart, sleep, and hibernate buttons will be removed.
Prevent access to shutdown, restart, sleep, hibernate commands
To do so, type mmc in start search and hit Enter to open the Microsoft Management Console. In the File tab, click on Add/Remove Snap-in.
In the left side, under the available Snap-in’s, select Group Policy Object and double-click on it.
This will open the Group Policy Wizard. Under the Local Computer Group Policy Object, click Browse.
Under the Users tab, select Non-Administrators and click OK.
Next, under the newly created Local Computer \ Non-Administrators policy object in the left pane, navigate to User Configuration > Administrative Templates > Start Menu and Taskbar.
In the right pane, select Remove and prevent access to the shutdown, restart, sleep, and hibernate commands and double-click on it. Select Enable > Apply/OK.
This policy setting prevents users from performing the following commands from the Start menu or Windows Security screen: Shut Down, Restart, Sleep, and Hibernate. This policy setting does not prevent users from running Windows-based programs that perform these functions.
If you enable this policy setting, the Power button, and the Shut Down, Restart, Sleep, and Hibernate commands are removed from the Start menu. The Power button is also removed from the Windows Security screen, which appears when you press CTRL+ALT+DELETE.
Read: You don’t have permission to shut down and restart this computer.
You can also prevent specific users from being able to shut down the computer. To do so, open gpedit.msc and navigate to the following:
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Shut Down the System.
Double click on it > Select Users > Press Remove > Apply/OK.
This security setting determines which users who are logged on locally to the computer can or cannot shut down the operating system using the Shut Down command.
To disallow only specific users, you will have to add the standard user account name you want to be unable to shut down or restart the computer.
See how you can remove the Power or Shutdown button from Login Screen, Start Menu, WinX menu in Windows 11/10.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Компьютеры на базе операционной системы Windows 10 предоставляют пользователям широкие возможности для настройки и управления системой. В том числе, пользователь может выключить компьютер самостоятельно при необходимости. Однако, иногда возникает необходимость ограничить возможность пользователя выключать компьютер, например, в рабочей или общедоступной среде. В этой статье мы рассмотрим несколько рабочих методов и настроек, которые позволяют запретить пользователю выключать компьютер.
Первым способом, который мы рассмотрим, является использование политики безопасности системы. Для этого можно воспользоваться встроенным инструментом «Локальная групповая политика». С помощью этого инструмента можно настроить различные параметры безопасности, включая возможность выключения компьютера. Для запрета выключения компьютера необходимо перейти по пути «Конфигурация компьютера» -> «Параметры Windows» -> «Настройки безопасности» -> «Стратегии локальной группы». Далее нужно выбрать пункт «Настройки безопасности» -> «Правки безопасности» -> «Система». В этом разделе можно найти параметр «Выключить: Выбор выполняемых операций» и настроить его таким образом, чтобы доступ к функции выключения компьютера был запрещен.
Еще одним способом, который позволяет запретить пользователям выключать компьютер, является использование командной строки. Для этого нужно открыть командную строку с правами администратора и выполнить следующую команду: shutdown -a. Эта команда отменит предстоящую операцию выключения компьютера, если такая операция была запущена с помощью команды shutdown. Таким образом, пользователи не смогут самостоятельно выключить компьютер без вмешательства администратора.
В заключение, запретить пользователю выключение компьютера в Windows 10 можно с помощью политики безопасности или использования командной строки. Оба метода отлично подходят для различных сценариев использования компьютера и позволяют ограничить доступ к функции выключения в случае необходимости. Используйте эти методы с умом и только в тех случаях, когда это действительно нужно, чтобы избежать проблем и неудобств для пользователей.
Содержание
- Методы и настройки для запрета пользователям выключения компьютера Windows 10
- Рабочие методы и настройки для получения полного контроля
- Вопрос-ответ
Методы и настройки для запрета пользователям выключения компьютера Windows 10
Операционная система Windows 10 предоставляет несколько методов и настроек, позволяющих ограничить или предотвратить возможность выключения компьютера пользователями. Это может быть полезно в различных случаях, например, когда компьютер используется в публичных местах или в компаниях с жесткими политиками использования.
Ниже приведены некоторые из методов и настроек, которые можно использовать для запрета пользователям выключения компьютера в Windows 10:
- Ограничение прав пользователей: одним из простых способов запретить пользователям выключать компьютер является ограничение их прав. Для этого можно создать учетные записи двух типов: пользователя и администратора. Учетная запись пользователя будет иметь ограниченные права, в том числе и отсутствие возможности выключить компьютер. Администраторская учетная запись будет иметь полные права и сможет управлять компьютером.
- Использование групповых политик: Windows 10 также предоставляет возможность использования групповых политик для запрета пользователям выключать компьютер. Для этого нужно открыть «Редактор локальных групповых политик» (Local Group Policy Editor), найти раздел «Конфигурация компьютера» и выбрать «Шаблоны административных шаблонов». Затем нужно найти опцию «Пункт «Включить команду Выключить» на меню «Пуск»» и настроить ее в соответствии с желаемыми требованиями.
- Настройка реестра: изменение настроек реестра также может помочь в запрете пользователям выключать компьютер. Для этого нужно открыть «Редактор реестра» (Registry Editor) и найти ключ «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer». Затем нужно создать новое значение DWORD с именем «NoClose» и установить его в 1. Это запретит пользователям выключать компьютер или перезагружать систему.
Важно отметить, что внесение изменений в настройки компьютера, используя методы и настройки, описанные выше, требует административных прав доступа. Также необходимо быть осторожным при внесении изменений в реестр, поскольку неправильные изменения могут привести к нежелательным результатам или проблемам в работе компьютера.
Используя эти методы и настройки, можно эффективно запретить пользователям выключать компьютер в Windows 10 и установить более жесткие правила использования системы.
Рабочие методы и настройки для получения полного контроля
Получение полного контроля над функцией выключения компьютера в операционной системе Windows 10 может быть полезным в некоторых случаях, когда требуется ограничить доступ к этой функциональности. Ниже приведены некоторые рабочие методы и настройки, которые помогут достичь этой цели.
- Отключение гибернации. Гибернация – это режим энергосбережения, в котором компьютер сохраняет текущее состояние и выключается. Чтобы отключить гибернацию, откройте командную строку от имени администратора и введите команду
powercfg.exe /hibernate off. Это предотвратит возможность выключить компьютер с помощью функции гибернации. - Блокировка команды «Выключить компьютер» в меню «Пуск». Чтобы запретить пользователю использовать команду «Выключить компьютер» из меню «Пуск», вы можете создать групповую политику, которая блокирует эту функцию. Для этого откройте «Средства администрирования», затем «Групповые политики» и найдите путь «Конфигурация пользователя» -> «Шаблоны администраторов» -> «Пуск меню и панель задач». Затем установите параметр «Доступ к команде «Выключение» и «Перезагрузка» закрыт» в состояние «Включено». После этого пользователь не сможет использовать команду «Выключить компьютер» из меню «Пуск».
- Использование программных инструментов для блокировки выключения компьютера. Существуют различные программные инструменты, которые позволяют блокировать выключение компьютера, например, путем изменения системного реестра или создания специальных скриптов. Однако использование таких инструментов требует аккуратности, чтобы не повредить работу системы.
Получение полного контроля над функцией выключения компьютера в Windows 10 может быть полезным в различных сценариях, но необходимо быть осторожным при внесении изменений в систему. Важно помнить, что неправильные настройки могут привести к нежелательным последствиям, поэтому рекомендуется сделать резервную копию системы или проконсультироваться с профессионалами, прежде чем приступить к изменениям.