Hallo,

gibt es eine Möglichkeit, das man das Herrunterfahren eines Servers einschränken kann?

Entweder das es nur Domänen-Admins dürfen. Wäre mir am liebsten.

Oder das es nur an der Konsole geschehen darf.

Problem ist, das bei uns die User den Herrunterfahren Button auf dem Terminalserver in den Sitzungen sehen.

sind die als lokale Admins eingerichtet?

hoert sich irgendwie ganz so an...

meines Wissens nach haben normale Teminalserveruser nur die moeglichkeit die Verbindung zu trennen oder sich abzumelden

ansonsten in den GPOs Benutzerkonfiguration -- administrative Vorlagen -- Startmenue und Taskleiste da gibt es den Punkt Befehl Herunterfahren deaktivieren und entfernen

Gruss

d_f

die sind nicht als lokaler admin angemeldet.

und via gpo deaktivieren ist keine gute idee. dann kann der user seinen lokalen pc nicht mehr herrunterfahren, was auch nicht wirklich sinn der sache ist.

Ich bins mal wieder.

Via GPO ist schon ok. Allerdings natürlich die Server in eine eigene OU.

Dann unter Computerkonfiguration - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Herunterfahren des System

Terminalserver als Memberserver ohne AD?

Dann musst du das über GPOs machen.

Einen AD-Server darf ein nicht-Admin nicht herunterfahren.

@chief

jop. ist alles nur geerbt von meinem vorgänger. das sind noch nciht meine installationen.

hmm, ok montag mal probieren das in der gpo zumachen.

Und schonmal Danke

Wenn ich Montag Zeit habe, schau ich mal in das Datev-Terminalkochbuch. Da ist das immer fein erklärt.

Das mit dem TS als Memberserver ist korrekt. Lokale interaktive Anmeldung von Nichtadmins auf einem DC ist nicht möglich. Ein TS muss immer Memberserver sein, nie hochstufen, ansonsten musst du wieder per GPO die Sicherheitsmechanismen kaputtbiegen, die bei der ADS-Installation erstellt wurden.