shutdown -a lokal verbieten, auch für admins

[m@rtin 10]

hallo,

 

fragt bite nicht nach dem sinn dieses konstruktes:

ich möchte in meinem (private) netz den gebrauch von shutdown -a auf definerten einzelnen rechnern verbieten, und das auch für die lokalen administratoren. hintergrund: bestimmte rechner dürfen zwingend nur noch zu bestimmten zeiten arbeiten, da sonst der strom geklaut wird (Raum wird stromlos über nacht). Ich will garantieren dass der Rechner sauber runterfährt (shutdown-Command via at-job des DC).

 

kann man irgendwie das shutdown -a verbieten ? oder würde es schon reichen die shutdown.exe zu löschen ??? - ahh, das geht mal wieder bei xp prof nicht, die datei wird beim aufruf wieder hergestellt :(

 

hat jemand eine idee ?

viele grüße, martin

[ChristianHemker 10]

Hallo,

 

du könntest per Software Restriction Policy eine Pfad- oder Hashregel verwenden, die die Ausführung von shutdown.exe komplett untersagt.

 

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx

[XP-Fan 220]

@ChristianHemker

Wie soll er dann den PC remote mit Windows Boardmitteln herunterfahren ?

 

@m@rtin

Ich würde aber ähnlichen Weg vorschlagen, halt nur mit dem Unterschied die Sicherheit auf die Shutdown.exe in soweit einzustellen, das nur der Domänen Admin drauf Zugriff hat. Dann kann dieser noch das Tool nutzen, die restlichen Admins aber nicht mehr.

Hinweis: Admins dürfen aber Sicherheitsberechtingungen ändern ... wenn die wissen wie es geht. :rolleyes:

[m@rtin 10]

hallo christian,

 

vielen dank für den link ! ich bin gerade dabei mich mal einzulesen, das klingt aber recht interessant und auch vielfälltig einsetzbar.

 

halllo xp-fan,

 

die idee, die berechtigungen der datei zu verschieben, hatte ich auch schon. leider hab ich praktisch erleben müssen was du theoretisch ja schon angesprochen hast. man hat sich angelesen wie der rechner runtergefahren werden kann, hat auch schön den entpsrechenden Parameter "-a" gefunden, und ausgehebelt wars ;)

[overlord 10]

ich möchte in meinem (private) netz

ADS?

 

hintergrund: bestimmte rechner dürfen zwingend nur noch zu bestimmten zeiten arbeiten, da sonst der strom geklaut wird (Raum wird stromlos über nacht).

du meinst eher die Rechner "müssen" in dieser Zeit an sein?! ..damit niemand Strom klaut....macht irgendwie sonst kein Sinn....

 

Ich will garantieren dass der Rechner sauber runterfährt

Sind die Rechner weggesperrt?...Was ist beim Drücken des Powerbuttons...oder Netzstecker?...wenn ich Strom brauch, knipps ich das Ding aus...hol mir Strom...und mach den Rechner wieder an... oder?

[ChristianHemker 10]

@m@rtin:

Er möchte doch nur das auf den Zielrechnern shutdown nicht ausgeführt werden kann. Auf dem Quellrechner muss shutdown natürlich weiterhin erlaubt sein.

Oder meinst du damit das auf dem Zielrechner shutdown ausgeführt wird wenn ich diesen remote herunterfahren möchte?

[m@rtin 10]

@ overlord

 

- ADS (win2k3) vorhanden

- die rechner stehen an einem stromkreis, der nachts abgeschaltet wird. da dran ist nichts zu drehen. ergo möchte ich die rechner in der früh per bios-clock oder WOL aufwecken, und sie abends, kurz vor dem Strom-Abdrehen, vom Server aus, herunterfahren.

- weggesperrt sind die Rechner nicht, aber ehrlichgesagt hab ich keinen bock abends um 22:00 noch ne Runde zu machen um die Büchsen abzuschalten.

 

@Christian

 

shutdown wird vom server aus ausgeführt, so zumindest ist es angedacht, und sendet das shutdown-signal an die zielrechner, die shutdown.exe nicht ausführen können sollen.

 

martin

[overlord 10]

- weggesperrt sind die Rechner nicht, aber ehrlichgesagt hab ich keinen bock abends um 22:00 noch ne Runde zu machen um die Büchsen abzuschalten.

..ich hatte es so verstanden, dass du zwecks "Stromklau-Schutz" verhindern willst, dass jemand die Rechner während der Dienstzeit runterfährt.

Also warum sollte man einem Admin tagsüber das Herunterfahren verbieten?!...

[Monarch 10]

..ich hatte es so verstanden, dass du zwecks "Stromklau-Schutz" verhindern willst, dass jemand die Rechner während der Dienstzeit runterfährt.

Also warum sollte man einem Admin tagsüber das Herunterfahren verbieten?!...

 

Er will shutdown -a verbieten, also dass ein geplanter Shutdown abgebrochen werden kann ;)

[ChristianHemker 10]

Habe mich oben vielleicht nicht richtig augedrückt.

Ich wollte eigentlich fragen ob der ZielPC shutdown.exe ausführen können muss, damit ich ihn remote per shutdown.exe runterfahren kann.

Wenn er es ausführen können muss, würde mein Lösungsansatz mit den Restriction Policies ja nicht funktionieren können.

Wenn sie es nicht ausführen können müssen bleibe ich bei meinem Lösungsansatz :)

[XP-Fan 220]

Hallo,

 

wenn deine User also etwas fit sind und noch lokale Adminrechte haben, dann würde ich den Weg mit psshutdown von Sysinternals gehen. Das können die Admins nicht abrechen und dann hast du auch die Kontrolle und die Sicherheit das die Rechner aus sind.

 

Siehe auch:

http://www.sysinternals.com/Utilities/PsShutdown.html

[ShadowByte 10]

Hoi @ all :)

 

Entweder ich verstehe dein Vorhaben falsch, oder es wird versucht ein Kaninchen mit einem Panzer zu erlegen :p

 

Wenn Du eine .bat konfigurierst, die vai scheduler deine Zielcomputer um 22:00 h runterfährt, dann will ich die flinken Hände sehen, die es schaffen genau in dieser 1000´tel Sekunde einen shutdown -a ausführen können :D

 

Um dem Argument "Die user sollen die Möglichkeit erhalten, vor dem shutdown alle Daten zu sichern und Programme zu schließen" von vornherein die Luft auzulassen :

Da sicher allgemein bekannt ist, daß um 22:00 h der Strom weg ist, sollten die user selbstständig mit ausreichender Vorlaufzeit entsprechende Maßnahmen einleiten.

 

Ergo : brauchst du den Schalter -t in deiner shutdown.bat nicht zu setzen, der dem user ein schnell ausgeführtes -a nicht ermöglicht. Schütze die shutdown.bat und den task im scheduler ... fertig (zugegeben, bei Admin-Rechten der anderen user ist das nicht ganz einfach, aber dann wenigstens schon vorsätzliche Manipulation) :wink2:

 

...wie gesagt räume ich die Möglichkeit ein, dein Problem mißverstanden zu haben ... ;)

 

Gruß, ShadowByte.

[m@rtin 10]

Habe mich oben vielleicht nicht richtig augedrückt.

Wenn sie es nicht ausführen können müssen bleibe ich bei meinem Lösungsansatz :)

 

ahh, jetzt hab ichs verstanden ;) ... ich glaube ich werde dieser Fragestellung mal nachgehen. Allerdings wohl eher mit einen Win2k-PC, da XP die shutdown.exe automatisch wiederherstellt wenn ich sie ihm unterm ***** wegzieh ;)

 

@ xp-fan

 

psshutdown klingt super. ich habs nun mal mit der Lösung realisiert und es macht eigetnlich das was ich möchte :), dankeschön !

 

@ ShadowByte

 

prinzipiell hast natürlich recht, in einer 1000tel sekunde ist es unmöglich das -a zu machen. aber generell gehe ich einfach mal davon aus dass die holzhammer-methode nicht sein muss. kann ja auch sein dass irgendwas nicht gespeichertes noch offen is, weil vergessen worden.

 

muchas gracias an alle :)

[ShadowByte 10]

Um deiner "Admin-user-Führsorge" gerecht zu werden, sollte eine "net send .bat" (10 Minuten Vorlaufzeit) mit der höflichen Aufforderung, alle noch geöffneten Daten zu sichern, ausreichend sein. Das wäre dann die "Soft-Variante" der "Holzhammer-Methode". :D

 

Gruß, ShadowByte.