Um dos clientes que eu gerencio executa um ambiente RDS em servidores Windows Server 2008 R2 no qual os usuários fazem logon para trabalhar. Eu preciso impedir que os usuários permitam que os aplicativos reiniciem esses servidores, o kicker é que eles são todos administradores locais (devido aos requisitos do aplicativo que eles executam). Que GP (s) você recomendaria ser aplicado para resolver isso? Atualmente tenho o seguinte conjunto:
Configuração do computador > Política > Configurações do Windows > Configurações de segurança > Políticas locais > Atribuição de direitos do usuário > Desligue o sistema.
Permitindo somente que os administradores de domínio desliguem o sistema, acredito que isso esteja apenas se aplicando a desligamentos locais, e não remotos.
Sim, esta política determina quais usuários que estão conectados localmente ao computador podem desativá-lo.
Veja a descrição na guia Explain :
Vocêtambémpodeprocuraroutrapolíticanesselocal(porexemplo,emAtribuiçãodedireitosdousuário:)-Forçarodesligamentodeumsistemaremoto.
Osadministradoressãomembrosporpadrão.
Removeradministradoresdasduaspolíticas-nãopermitiriaodesligamentodohostRDS,localouremotamente.
Você não pode negar efetivamente os direitos aos administradores locais, pois, independentemente do GPO que você aplicar, eles sempre poderão substituí-los, pelo menos temporariamente, editando o registro. Eles também podem remover o computador do domínio.
Em geral, você não deve usar ou distribuir as contas de administrador local em um ambiente que exija controle administrativo de cima para baixo como este. A melhor política é manter essas senhas dentro de um banco de dados (ou software projetado para essa finalidade, como o Hitachi ID Privileged Access Manager, no qual eu costumava trabalhar); as senhas só devem ser usadas quando necessário para restabelecer o relacionamento de domínio ou similar, e o uso delas deve ser auditável.
É lamentável que seu aplicativo exija esse acesso. Você poderia considerar determinar qual acesso ele realmente requer, e dar a ele isso; a maioria das aplicações não precisa de acesso de administrador.
Se o seu único objetivo for evitar encerramentos inadvertidos, você poderá definir Local Security Policy/Local Policies/User Rights Assignment/Shut Down the System para excluí-los, mas esteja ciente de que isso não impedirá que um usuário experiente o encerre intencionalmente. Eu acredito que esta política se aplica a sessões interativas RDP, mas não ao comando shutdown (que tem uma opção para direcionar um host remoto); esse é o domínio da opção Force shutdown from a remote system GPO.