שלום לכולם
יש לנו שרת 2003 שנותן לכולם גישה למשאבים בחברה מרחוק ע"י חיוג VPN ומשם לTERMINAL SERVER 2003
הבעיה שלי היא שיש לנו תוכנת הנהלת חשבונות "חצופה" שדורשת שעל המחשב שהיא רצה יהיה למשתמש שמחובר כרגע חברות בקבוצת הPOWER USERS המקומית של המחשב.
טוב אז בתחנות זה לא נורא ולא ממש מפריע
אבל אם אני נותן להם הרשאה POWER USER בשרת 2003 כדי להריץ שמה את התוכנה
הם יכולים (ואני לא חושש מכוונת זדון אלה מטעות מישתמש) לעשות כיבוי למחשב כי יש להם הרשאה חזקה על השרת.

יש למישהו עצה ? ?

תודה מראש

יש לכם דומיין? חשבת להגדיר GPO או שהתוכנה תפעל אוטמטית בזמן הכניסה ל TS (תסתכל במאפייני החשבון)

תכין לכולם לינק שיריץ את התוכנה באמצות runas ואז הם ייצרכו לתת את הסיסמה של המשתמש שמריץ אותה.
תדאג שמשתמש הזה (נקרא לו "AccMgr") יהיה power user על השרת שלך
בתוך הactive directory תסמן לו את האפשרות must logon interactievly using smart card כדי למנוע אפשרות שמשתמש ייתחבר לשרת אלא רק באמצ' runas (ייתכן שעיתי בניסוח, אני לא זוכר את זה בע"פ)
אם אני לא טועה, החל מXP יש לrunas את היכולת /savecred שנותן לך אופצייה להכניס את הסיסמה פעם אחת, והיא נשמרת כל זמן שהמחשב פתוח.
הדבר הבא שתצטרך לעשות יהיה להגביל את AccMgr כך שיוכל להריץ רק את התוכנה של הנהלת חשבונות שלך, ואת זה תוכל לעשות דרך הGPO, לא לשכוח לבטל את הפשרות של לכבות ת המחשב או לעשות בכלל כל פעולה אחרת... העיקר שיהיה power user

בסוף יצרתי OU חדש
ושמתי את כל מי שאמור להיכנס מרחוק שמה - שמתי להם GP חדשה שתגביל את הכיבוי ושאר ירקות

registry editing tool
והתקנת תוכנות.

ובפעם הבאה... אל תעשה דברים כאלו, זה פחות מסודר, זה מסוכן מבחינת אבטחה, וזה פשוט לא נראה יפה