Предотвращение отключения офисных компьютеров пользователями удаленных рабочих столов

Итак, вы работаете из дома из-за COVID-19 и используете удаленный рабочий стол для подключения к офисному компьютеру с Windows 10 через протокол удаленного рабочего стола (RDP). Вы случайно (или, возможно, намеренно) выбираете «Завершение работы», когда нажимаете кнопку «Пуск» в сеансе RDP, и в результате ваш офисный компьютер выключается.
Что теперь? Как заставить ваш офисный компьютер работать, если в офисе нет никого, кто мог бы нажать кнопку питания на вашем компьютере, чтобы снова загрузить его? И что еще более важно, есть ли способ предотвратить подобные вещи, если вы являетесь ИТ-специалистом, отвечающим за управление компьютерами сотрудников в вашей компании?
Использование групповой политики
Это сложно. Один из часто используемых подходов заключается в включении следующего параметра групповой политики:
Этот параметр находится в разделе:
Что он делает, так это запрещает пользователям выбирать «Завершение работы», «Перезагрузка», «Спящий режим» и «Гибернация» либо в меню «Пуск», либо на экране «Безопасность Windows». Вы можете включить эту политику в объекте групповой политики, связанном с подразделением, в котором находятся учетные записи пользователей удаленных сотрудников.
Обратите внимание, что это может не помешать пользователям выключать свои удаленные компьютеры другими способами, например, вызывая команду выключения в командной строке. Но это устраняет самый очевидный способ для пользователя не задумываясь выключить свой офисный ПК, когда он закончит свою работу в течение дня.
Редактирование реестра
Что, если вы хотите скрыть параметр выключения в меню «Пуск», но оставить все остальные параметры, такие как «Перезагрузка», «Спящий режим», «Гибернация», а также параметр «Отключение» для сеанса RDP? Оказывается, вы можете сделать это, отредактировав параметр реестра, но параметр, который вам нужно использовать, будет зависеть от версии Windows 10, на которой работает ваш компьютер. В частности, в Windows 10 v.1803 или более ранней версии установите для следующего значения реестра значение 1:
Но в Windows 10 v.1809 или более поздней версии установите это значение реестра равным 1:
Вот как это выглядит в Windows 10 v.1909:
В управляемой среде вы, конечно, можете использовать настройки групповой политики (GPP) для развертывания подобных настроек реестра на компьютерах пользователей.
Удаление привилегий выключения
Что, если вы действительно хотите, чтобы пользователи не выключали свои компьютеры? Я имею в виду не просто скрыть от них наиболее очевидные способы сделать это, но и лишить их привилегий отключения?
Групповая политика позволяет сделать это, изменив права пользователей на компьютерах, на которые нацелен редактируемый объект групповой политики. Конкретный задействованный параметр можно найти по следующему пути в редакторе групповой политики:
По умолчанию учетные записи пользователей, входящие в группы локальных администраторов, операторов резервного копирования и пользователей, имеют право выключать компьютер. Самый простой способ запретить пользователю выключать свою машину — просто удалить группу пользователей из списка выше. Но прежде чем использовать этот «экстремальный» подход, ознакомьтесь с разделом «Остерегайтесь побочного ущерба» далее в этой статье.
Другие подходы к удаленному доступу к рабочему столу
Затруднить пользователям выключение своих офисных ПК через подключение к удаленному рабочему столу иногда больше проблем, чем пользы, как мы вскоре увидим. Из-за этого некоторые администраторы избегают попыток внедрять такие решения и вместо этого принимают неизбежность того, что компьютеры некоторых сотрудников в конечном итоге будут выключены в конце рабочего дня, а затем пытаются внедрить подход для их автоматической повторной загрузки до утра. прибывает. Один из наиболее распространенных способов сделать это — использовать Wake On Lan (WOL), сетевую технологию, поддерживаемую многими сетевыми адаптерами, которая позволяет удаленно включать компьютер, когда он находится в спящем или спящем режиме или, в некоторых случаях, полностью выключен. WOL работает, позволяя «волшебному пакету» (специально созданному пакету Ethernet) загружать материнскую плату, вызывая запуск операционной системы.
Реализация WOL может быть сложной. Во-первых, для этого требуется, чтобы вы включили функцию WOL в системном BIOS компьютера, поэтому материнская плата вашей системы должна поддерживать эту функцию. Во-вторых, требуется изменить настройки сетевого адаптера машины. Для этого откройте Диспетчер устройств, разверните узел «Сетевые адаптеры» и щелкните правой кнопкой мыши адаптер Ethernet, чтобы выбрать «Свойства». Теперь на вкладке «Дополнительно» убедитесь, что «Пробуждение по пакету Magic» включено следующим образом:
Затем перейдите на вкладку «Управление питанием» и убедитесь, что параметр «Разрешить разбудить компьютер только магическим пакетом» включен:
Теперь, когда вы включили WOL на машине, вам нужна программа, которая может отправить ей волшебный пакет, когда вы хотите загрузить ее, когда машина выключена. Программное обеспечение для управления системами, которое использует ваша компания, вероятно, уже имеет эту функцию; в противном случае вы можете выбирать из множества программ, многие из которых бесплатны. TeamViewer является одним из таких инструментов и часто используется в среде службы поддержки. Следует иметь в виду одну вещь: это называется Wake On не просто так. Некоторые маршрутизаторы блокируют Magic Packet, если он приходит из-за пределов сети — например, отправляя его через Интернет.
Другой подход заключается в том, что на ваших ПК установлены процессоры Intel, поддерживающие технологию Intel Active Management (AMT) платформы Intel vPro, которая позволяет вам удаленно управлять ПК даже в случае его сбоя или выключения.
Запрет доступа к удаленному рабочему столу: остерегайтесь побочного ущерба
Что бы вы ни делали, сначала убедитесь, что вы знаете о любых трудностях или проблемах, которые могут возникнуть при внедрении решения, которое затрудняет или делает невозможным выключение удаленными пользователями своих офисных компьютеров через RDP. Самое большое соображение здесь заключается в том, как это может повлиять на поддержку службы поддержки для этих удаленных работников. Например, иногда пользователь, работающий из дома и использующий удаленный рабочий стол для доступа к своему офисному компьютеру, сталкивается с какой-либо проблемой на своем офисном компьютере. Пользователь звонит в службу поддержки, и специалист службы поддержки проводит пользователя через некоторые шаги по устранению неполадок. Пользователь следует этим шагам, но проблема не решена, поэтому специалист службы поддержки переходит на следующий уровень и предлагает пользователю попробовать выполнить старое исправление — перезагрузить офисный компьютер. "Как мне это сделать? ИТ-специалисты убрали этот пункт меню с моей машины». Чесают головы, когда звонок в службу поддержки затягивается, и пользователь отстает в своем рабочем задании.
Просто еще один день в окопах IT.