Domain ortamında güvenlik politikaları gereği sistem yöneticileri haricindeki kullanıcıların sunucuları kapatması veya yeniden başlatması istenmeyebilir.
Group Policy ile kullanıcıların sunucuları kapatmasını ve yeniden başlatmasını engellemek için gerekli Group Policy konfigürasyonu aşağıdaki gibidir.
Sunucuları kapatma yetkisine sahip olacak kullanıcıların üyesi olacağı bir Security Group oluşturulur. Örnekte “ServerAdmins_Group” adıyla oluşturulmuştur.
Yeni bir Group Policy oluşturulur. Örnekte “Disable_Shutdown” adıyla oluşturulmuştur.
İlgili Policy sağ tıklanıp Edit seçilir.
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Shut down the system çift tıklanır.
Define this policy settings seçilir ve sunucuları kapatmaya ve yeniden başlatmaya yetkili kullanıcı ve grupların eklenebilmesi için Add User or Group… tıklanır.
Açılan Add User or Group penceresinde eklenecek kullanıcı ve grupların seçimi için Browse… tıklanır.
Daha önce üyeleri sunucuları kapatmaya ve yeniden başlatmaya yetkili olması için oluşturulan “ServerAdmins_Group” ve “Domain Admins” grupları (isteğe göre sunucunun yönetici hakkında sahip BUILTIN\Administrators grubu gibi farklı gruplar) eklenir.
OK ile bitirilir.
Sunucuları kapatmaya ve yeniden başlatmaya yetkili kullanıcıların bulunduğu gruplar eklendikten sonra diğer kullanıcılar için sunucuları kapatma ve yeniden başlatma işlemlerinin engellenmesi gerekir. Bu işlem için:
User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar -> Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands çift tıklanır.
Enabled seçilir ve OK ile bitirilir.
Son olarak oluşturulan Group Policy’i uygulanacağı (sunucuların bulunduğu) OU’ya bağlanır.
Böylece policyden etkilenen sunucularda kullanıcılar oturum açtığında eklenen grupların üyesi değillerse sunucularda yönetici (Administrators) yetkisine sahip olsalar bile kapatma ve yeniden başlatma gibi işlemleri gerçekleştiremezler.
Kullanıcılar, kullanıcı arayüzünü kullanmayıp Command-Line (CMD) veya PowerShell gibi uygulamalardan komut ile kapatma ve yeniden başlatma işlemlerini denediklerinde sunucuda yönetici (Administrators) yetkisine de sahip olsalar kapatma ve yeniden başlatma işlemlerini gerçekleştiremezler.
Aynı kullanıcı ServerAdmins_Group grubuna eklendiğinde ise durum aşağıdaki gibi değişecektir.
Böylece group policy ile sunucu kapatma ve yeniden başlatma işlemleri engellenmiş olur.
Faydalı olması dileğiyle…
