Принудительное удаленное завершение работы

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Принудительное удаленное завершение работы.

Справка

Этот параметр безопасности определяет, каким пользователям разрешено завершать работу устройства при помощи удаленного доступа. Он позволяет членам группы "Администраторы" или определенным пользователям удаленно управлять компьютерами (например, выполнять перезапуск).

Константа: SeRemoteShutdownPrivilege.

Возможные значения

  • Пользовательский список учетных записей

  • Администраторы

Рекомендации

  • Явно предоставьте это право только членам группы "Администраторы" или другим пользователям со специально назначенными ролями, которым требуется данная возможность, например персоналу, выполняющему операции, не связанные с администрированием.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

Значения по умолчанию для этого параметра на контроллерах домена и изолированных серверах: "Администраторы" и "Операторы сервера".

В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Операторы сервера

Параметры автономного сервера по умолчанию

Администраторы

Действующие параметры контроллера домена по умолчанию

Администраторы

Операторы сервера

Действующие параметры рядового сервера по умолчанию

Администраторы

Действующие параметры клиентского компьютера по умолчанию

Администраторы

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Этот параметр политики необходимо применить на компьютере, к которому будет выполняться удаленный доступ.

Групповая политика

Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и локальной политике безопасности рабочих станций и серверов.

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Любой пользователь, который может завершить работу устройства, может вызывать появление условия "отказ в обслуживании". Поэтому это право должно быть назначено ограниченному числу пользователей.

Меры противодействия

Предоставьте право Принудительное удаленное завершение работы только членам группы "Администраторы" или другим пользователям со специально назначенными ролями, которым требуется данная возможность, например персоналу, выполняющему операции, не связанные с администрированием.

Возможные последствия

Если удалить для контроллера домена право пользователя Принудительное удаленное завершение работы из группы операторов сервера, вы сможете ограничить возможности пользователей, которым назначены определенные административные роли в вашей среде. Необходимо убедиться в отсутствии негативного влияния на делегированные действия.

Связанные разделы

Назначение прав пользователя

 

 

Показ: