Bir Windows makinesini uzaktan kapatma hakkına kim sahip olabilir?


5

Soru, bir Windows makinesini uzaktan kapatmak (yeniden başlatmak, uyku vb.) İçin kullanılabilen anahtarlı shutdownkomutla ilgilidir /m \\MACHINE. Benim durumumda, Windows 7 ve Windows 8 makineleri arasında yerel bir ev ağı ile uğraşıyorum. Tüm makinelerde Homegroup devre dışı bırakıldı ve tüm makinelerde şifrelerle kullanıcı hesapları oluşturarak ağ oluşturma "geleneksel" bir yolla yönetiliyor.

Bir yerde, bu komutu uzaktan uygulamak için, veren hesabın uzak alıcı makineye bir Administratorsgrubun üyesi olarak kaydedilmesi gerektiğini okudum . Bu shutdownkomut davranışını test etmek için adında Testve Mikeyerel (veren) Windows 7 Pro makinesinde iki kullanıcı hesabı oluşturdum . Her iki hesap da normal Usersgruba aitti .

Ayrıca uzaktaki (alıcı) Windows 8 Pro makinasına FILESgidip gruba Mikeüye olarak adlandırılan sadece bir hesap oluşturdum Users.

Şimdi Testyerel makineme giriş yaptım ve bir

shutdown /m \\FILES /r /f /t 0

komut isteminden komut. Hemen bir "Erişim reddedildi" yanıtı aldım. Bu beklenen davranıştı. Çok uzak çok iyi.

Sonra Mikeyerel makineme girdim ve aynı komutu verdim. Sürprizime göre, uzak makine hemen yeniden başlatıldı. Ne verir?

Uzaktaki makineye gittim ve Yerel Güvenlik Politikası ayarlarını açtım. Onun içinde User Policiesgrubun ben gibi politikaları bulundu

Force shutdown from a remote system = Administrators
Shut down the system = Administrators, Users 

Usersİkinci politikadan çıkarıldım , sadece Administratorsorada kaldı.

Uzak makineyi yeniden Mikebaşlattım, yerel makineme tekrar giriş yaptım ve aynı komutu verdim. Uzaktaki makine yine uyumlu bir şekilde yeniden başlatıldı.

Burada eğlenceli detay zaman olacağı Mikeiçine kaydedilir FILESlokal makineye beri, o, onu yeniden edemez Shut down the systemilke olarak ayarlandığında Administratorsise, Mikesadece bir User. Ancak aynı uzaktan Mikebaşarıyla yeniden başlatılabilir FILES.

Peki, burada neler oluyor? Uzak makineyi nasıl bir Userseviye hesabı kullanarak yeniden başlatabilirim ? Üstelik zaten adı politika Force shutdown from a remote systemayarlı Administratorsdüzenli önermek görünüyor Userhesaplar yapmak mümkün olmamalıdır. Yine de yeniden başlatılıyor.

Burada ne özlüyorum? Bu uzaktan yeniden başlatma komutunun geçmesini sağlayan nedir? Neyi engellemeliyim ve makineyi uzaktan Mikeyeniden başlatmayı engellemek için nereye FILES?


Diğer bir soruşturma, olay günlüğüne aşağıdaki girişleri gösterir. FILES

The process wininit.exe (192.168.1.2) has initiated the restart of computer FILES 
on behalf of user FILES\Administrator for the following reason: No title for this 
reason could be found
 Reason Code: 0x800000ff
 Shutdown Type: restart
 Comment: 

Bu tür girişler, tarafından alınan her uzaktan yeniden başlatma komutuna karşılık gelir FILES. 192.168.1.2Bu durumda, shutdownkomutu veren makinenin IP adresidir . Bu nedenle, @ misha256'nın doğru bir şekilde önerdiği gibi, komut aslında uzak makinede tarafından verildiği gibi yürütülüyor Administrator. Bu nedenle mevcut politikalar onu engellemiyor.

Ondan yükseltmeyi başardı Şimdi nerede soru Mikeiçin Administratoryerel makinedeki veya uzak makinede:? Ve elbette, nasıl ve neden oldu ...


gpudate / force komutunu deneyin
Richie Frame

@Richie Frame: Sadece denedim. Hiçbir şeyi değiştirmez. Uzaktaki makineyi yeniden başlatmak yine de politikayı güncellemiş olmalı ...
AnT

Yanıtlar:


4

Suçluyu buldum.

Uzun zaman önce kullanıcı Mike( bir süredir kullanımda olan) uzaktaki FILESmakinedeki idari paylardan birine bağlanmak istedi \\FILES\C$. Bir kullanıcı olarak Mikebağlı FILESolarak bu kullanıcıya ulaşabilmek için Administratoruzak bir Administratorparola girerek Windows'tan kimlik bilgilerini kaydetmesini istemek . Kimlik bilgileri kurtarıldı. Kontrol Paneli'nin Credential Managerappletinde her zaman görünürlerdi Windows Credentials.

Görünüşe göre, shutdownkomut uzak makineden bir "Erişim reddedildi" yanıtı aldığında bu saklanan kimlik bilgilerinden (veya belki de bu saklı kimlik bilgilerinden koşulsuz olarak faydalanır) yararlanır. Bu nasıl Mikekendini yükseltmek başardı FILES\Administratordüzeyde başarıyla uzak makineyi yeniden başlatın.

Depolanan kimlik bilgilerini bir kez kaldırdığımda Credential Manager, Mikehemen beklenen "Erişim reddedildi" yanıtını almaya başladım shutdown.


Bunu düşünmezdim! Bunu bilmek güzel. Başkalarının yararına da cevabınızı gönderdiğiniz için teşekkür ederiz :-)
misha256

0

Hedef makinede oturum açma geçerliyse, hesap tipinin yönetici veya kullanıcı olması farketmez, çünkü standart kullanıcılar istasyonu kapatma veya yeniden başlatma hakkına sahiptir. Bunun istisnası, yalnızca haklar güvenlik politikası yoluyla iptal edilmişse gerçekleşir.


Eh, öncelikle, benim durumumda kapatma hakları gelmiş güvenlik politikası yoluyla iptal edilmiş. Yerel olarak oturum açıldığında Mikeiçine FILESmakineye ben olamaz çünkü yerel olarak kapatmaya Shut down the systempolitika olarak ayarlanır Administrators. Yine de, bir şekilde aynı Mikeşey uzaktan kapatılabilir. Bu hiçbir şekilde anlam ifade etmiyor.
AnT

İkincisi, yerel işlemler ve uzak işlemler genellikle Windows güvenlik politikaları tarafından ayrı ayrı kontrol edilir . Bu yüzden, bu politikanın ayrıca kontrol edilebilir olmasını bekliyorum. Ve Force shutdown from a remote systempolitika adından da anlaşılacağı gibi, özellikle bu amaç için tasarlanmış gibi görünüyor. Ancak, iş gibi görünmüyor.
AnT

Politikalar birbirine bağlıdır ve ayrıca bazı bağımlılıklar vardır. Bu kesinlikle daha fazla test gerektirecektir. Bu durum ilginç olduğu için, iki işletim sistemine sahip olduğum için durumunuzu sanal ortamda taklit etmeye çalışacağım.
aşırı

@AndreyT Bu bir politika konusu değil. Bir şekilde Kapatma uzak makinede Yönetici olarak çalışıyor. Şimdi bunun nasıl olduğunu çözmemiz gerek. Hmmm ...
misha256

@ misha256: Olabilir. Ama nasıl?
AnT
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.