Acabei de descobrir outro dia que mesmo usuários não administradores podem reiniciar/desligar nosso servidor de terminal Windows Server 2012 R2. Tudo o que eles precisam fazer é clicar na bandeira do Windows no canto inferior esquerdo, depois clicar no botão liga / desliga e todas as opções regulares de energia estão disponíveis para eles!
Como faço para restringir essa permissão?
Use a Diretiva de Grupo.
Crie e vincule um GPO à UO onde estão as contas de computador RDSH.
Habilite o processamento de política de loopback no modo de mesclagem.
Defina a configuração de configuração do usuário na imagem abaixo.
Por padrão, apenas os administradores têm o direito de desligar (ou reinicializar) um servidor Windows. Se esse não for o caso em seu servidor, é provável que você tenha uma política de grupo existente que altere a configuração padrão.
Comece verificando a política de segurança local, caso a configuração tenha sido alterada localmente. Caso contrário, você precisará localizar o GPO que está alterando a configuração "Desligar o sistema" e corrigi-lo ou adicionar um novo GPO para substituí-lo, talvez apenas para esses servidores específicos, dependendo de suas necessidades.
A configuração de política relevante é chamada de "Desligar o sistema" e pode ser encontrada em Configuração do computador -> Configurações do Windows -> Configurações de segurança -> Políticas locais -> Atribuição de direitos do usuário -> Desligar o sistema.