Ich bin Systemadministrator und hier im Unternehmen gibt es einige Benutzer, die lokale Administratorkonten auf ihren PCs haben. Ich muss einige PCs in unserer Domäne neu starten, um eine Softwarebereitstellung abzuschließen.
So komisch das auch klingen mag, es gibt einen bestimmten Benutzer mit einem lokalen Administratorkonto, der sich weigert, seinen Computer neu zu starten. Ich habe ihn höflich darum gebeten, aber er forderte mich stattdessen auf, es zu versuchen.
Bisher ist es mir nicht gelungen. Von CMD-Shutdown-Befehlen bis hin zum Versuch, eine Verbindung zu den Diensten dieses Computers herzustellen, ist alles fehlgeschlagen. Anscheinend hat er RPC-bezogene Dienste und einige andere Dinge deaktiviert, was dies zu einer schwierigen Herausforderung macht. Selbst mit den Domänenberechtigungen scheint die Aufgabe unmöglich.
Kann mir hier jemand weiterhelfen? Wie kann ich einen Remote-Shutdown erzwingen?
Antwort1
Wenn dieser Computer Teil einer Active Directory-Domäne ist, dannErstellen Sie eine geplante Aufgabe zum Neustarten des Computers. Machen Sie es für einen Zeitpunkt in der nahen Zukunft. Der Benutzer wird nicht wissen, was ihn getroffen hat.
(Aber im Ernst: Eine Eskalation dieses Krieges wird für niemanden gut ausgehen. Das Management/die Führung muss einbezogen werden.)
Antwort2
Verfügt Ihr Arbeitgeber über eine Richtlinie zur akzeptablen Nutzung (Acceptable Use Policy, AUP), die die Nutzung von Computern durch Mitarbeiter regelt? Diese könnte Begriffe enthalten wieZu den verbotenen Aktivitäten gehören: Umgehung technischer, administrativer oder prozessbezogener Kontrollen"die er bricht.
Je nachdem, was Ihr Unternehmen tut, wie groß es ist und wie locker alle damit umgehen, ist alles wichtig. Wenn Sie als Unternehmen jedoch mit vertraulichen Informationen arbeiten, verlangen Ihre Verträge möglicherweise, dass alle Arbeitsstationen über aktuelle Antivirenprogramme und Patches verfügen. Wenn Sie keine Remote-Verbindung herstellen können, können Sie dies nicht überprüfen und aufrechterhalten.
Wenn Sie über Software verfügen, die hinsichtlich der Versionen sehr anspruchsvoll ist, und keine Remoteverbindung möglich ist, können Sie nicht sicherstellen, dass auf jedem Computer die richtige Version installiert ist. Zudem besteht für das Unternehmen das Risiko einer Datenbeschädigung.
Wenn Sie über teure Spezialsoftware (medizinisch, juristisch, CAD) verfügen, unterliegt diese wahrscheinlich recht strengen Lizenzvereinbarungen, und wenn Sie keine Verbindung herstellen können, können Sie nicht prüfen, ob die gesamte Software lizenziert ist und keine nicht lizenzierte Software verwendet wird.
Wenn er die ihm zugestandenen Rechte missbraucht und damit das Unternehmen in irgendeiner Weise gefährdet,sollenSprechen Sie mit Ihrem Vorgesetzten, seinem Vorgesetzten oder der Personalabteilung darüber und erinnern Sie ihn an die AUP und ihre Geltung, unabhängig davon, ob Sie einen Neustart auf clevere Weise erzwingen können.
Und Sie könnten für die Durchsetzung der AUP verantwortlich sein, z. B. indem Sie seinen Zugriff auf Dateifreigaben und E-Mail blockieren oder sein Konto sperren.
Wenn keiner der oben genannten Punkte zutrifft und es sich um einen sehr lockeren Arbeitsplatz handelt, sperren Sie sein Konto und seinen E-Mail-Zugriff. Wenn er nicht mehr arbeiten kann und sein Vorgesetzter dies bemerkt und er den Support anruft, fragen Sie ihn, ob er versucht hat, den Computer neu zu starten, und sorgen Sie dafür, dass er wieder funktioniert, wenn er es versucht hat.
Antwort3
Wenn er Sie blockiert hat, wäre der erste Schritt: Setzen Sie seine Einstellungen außer Kraft, indem Sie eine Richtlinie erzwingen und Remote-Kommunikation und -Verwaltung aus dem lokalen Subnetz oder der spezifischen IP-Adresse, von der aus Sie die Befehle ausgeben, auf eine Whitelist setzen. In der Richtlinie können Sie einen Computer identifizieren. Sie würden diese Funktionen im Firewall-Konfigurationsteil der Richtlinie aktivieren. Sie starten das Skript beim Anmelden bei der Domäne.
Wenn er Sie nicht vollständig ausgesperrt hat, lautet der Befehl zum Herunterfahren:
shutdown /r /m \\computername /f
um die vollständigen Befehlszeilenoptionen zu erhalten, geben Sie sie shutdown /?auf einem beliebigen Windows-Computer ein.
Nachdem Sie Zugriff erhalten haben, würde ich sein Konto herabstufen, da er zeigt, dass man ihm diese Zugriffsebene nicht anvertrauen kann. Um festzustellen, welche Anwendungen Administratorzugriff benötigen, können Sie Folgendes verwenden:MACT Microsoft Application Compatibility Toolkit. Dies könnte den Grund für seinen lokalen Administratorzugriff beseitigen