Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: Pauls 12. 08. 2019, 19:44:35
-
Dobrý den, můžu poprosit jestli někdo neznáte možnost jak ve Windows 7 docílit toho, že když někdo chce vypnout nebo restartovat počítač tak pouze tím způsobem, že vyskočí okínko a on musí zadat určité správné heslo pro vypnutí PC? Napadá mě třeba nějaký script, existuje?
Našel jsem pouze možnost, že přes GPO zmizí některé možnosti z nabídky Vypnout a to není zrovna to "pravé ořechové" čeho chci docílit.
-
Ahoj, primo to nepujde. Bude zapotrebi bud nejaky software, ktery to umi a nebo (ja bych to tak resil) odebrat shutdown pres gpo z nabidek u uzivatelu, kteri maji zadavat heslo. Vytvorit program, ktery bude vyzadovat zadani hesla a umisit pres gpo na napr. plochu.
-
Jeste doplnim - zkus AutoIt.
-
Bohužel já programovat neumím, spíše by se mi prosím šiklo něco už vytvořeného a funkčního pro mou situaci.
-
Odebrat vsem prava na vypnuti, vytvorit noveho (fiktivniho) uzivatele s pravy na vypnuti (username xxx), dat vsem na plochu zastupce na
runas /noprofile /user:xxx "shutdown /t 0"zepta se to na heslo uzivatele xxx.
-
Případně můžete vyzkoušet takovou moji GUI rychlovku:
https://github.com/MartinDrab/PasswordedShutdown/releases
-
Můžu poprosit co znamenají jednotlivé položky toho příkazu runas /noprofile /user:xxx "shutdown /t 0"
To runas slouží k čemu ve Windows, to je ten proces (úloha), který se spustí, kdyz zmáčknu v nabídce Start Vypnout?
Ten parametr noprofile dělá co? A to shutdown to musí být v uvozovkách? Co to vlastně je ten shutdown když to není parametr příkazu, co značí ty uvozovky?
Jinak, díky za ten příkaz a za ten GUI program.
-
To runas slouží k čemu ve Windows, to je ten proces (úloha), který se spustí, kdyz zmáčknu v nabídce Start Vypnout?
Základem je, že máte neprivilegovaného uživatele. Tj. musí se jednat o člena skupiny Users, nikoliv Administrators. Pokud je někdo administratorem na PC, pak se mu zabránit nedá.
Tedy:
1. Neprivilegovaný uživatel.
2. Pomocí group policy (gpedit.msc) zabránit vypnutí neprivilegovaným uživatelům.
3. Vypínat pomocí runas, který oprávnění povýší.
-
Vypnúť, alebo reštartovať počítač je možné vytrhnutím elektrického kábla zo zásuvky. To obíde potrebu zadania akého-koľvek hesla. Človek, ktorý potrebuje ten počítač vypnúť, alebo reštartovať to tak spraví ak sa mu na obrazovke objaví niečo na zadanie hesla. To, len či sa nerieši ako užívateľovi znepríjemniť aj to, čo by normálne malo fungovať.
-
Co nevím zda ještě funguje, to je dvakrát stisknout CTRL+ALT+DEL.
Co vím že stále funguje je podržet chvíli tlačítko "power".
Oboje vedlo k okamžitému restartu nebo vypnutí, ovšem programy se neukončily korektně a občas se poškodil nějaký soubor. Pokud tedy uživatelé mají přístup k HW, může být zablokování restartu a vypnutí trochu kontraproduktivní.
-
2. Pomocí group policy (gpedit.msc) zabránit vypnutí neprivilegovaným uživatelům.
Jen pozor na to, že pokud odeberete oprávnění k vypnutí počítače skupině Users (kam patří nejen neprivilegovaní uživatelé) a máte zapnuté UAC, bude i člen skupiny Administrators muset projít UAC dialogem, aby mohl počítač vpnout. Řešením je oprávnění Shutdown přidat přímo uživatelům, kteří mají na vypnutí právo.
Co nevím zda ještě funguje, to je dvakrát stisknout CTRL+ALT+DEL.
Nemyslím, že funguje. Pokud oprávnění shutdown nemáte, tak vás pokusy o restart/vypnutí maximálně odhlásí.
Co vím že stále funguje je podržet chvíli tlačítko "power".
Tohle jde AFAIK zcela mimo systém. Ale třeba má OP fyzickou bezpečnost nějak pořešenou (třeba se jedná o nějaký terminál, kde je pro nepovolané problém dostat se k tlačítku power či k napájecímu kabelu).
To runas slouží k čemu ve Windows, to je ten proces (úloha), který se spustí, kdyz zmáčknu v nabídce Start Vypnout?
Ne. Příkaz runas spustí vámi zadaný příkaz pod vámi zadaným uživatelem. Argumentem /user specifikujete jméno uživatele. /noprofile znamená, že nechcete načítat jeho uživatelský profil (pro volání příkazu shutdown to prostě není potřeba).
Shutdown je příkaz, který umí vypnout/restartovat/hibernovat či odhlásit uživatele. Parametr /t 0 udává, že akce má být provedena okamžitě (v časovém limitu 0 vteřin).
-
Díky.
A dle tohoto: Jen pozor na to, že pokud odeberete oprávnění k vypnutí počítače skupině Users (kam patří nejen neprivilegovaní uživatelé) a máte zapnuté UAC, bude i člen skupiny Administrators muset projít UAC dialogem, aby mohl počítač vpnout. Řešením je oprávnění Shutdown přidat přímo uživatelům, kteří mají na vypnutí právo.
Odebral jsem oprávnění skupině Users, skupina Administrators toto oprávnění na vypnutí má.
UAC je zapnutá na nejvyšší úroveň. A uživatel skupiny Administrators může počítač vypnout aniž by se objevil dialog UAC, jak zmiňuješ, čím to?
Co nevím zda ještě funguje, to je dvakrát stisknout CTRL+ALT+DEL.
Dvakrát ctrl+alt+delete nic nedělá, respektive po prvním se zobrazí okno Windows s těmi pěti volbami a po druhém zmáčknutí se nic neděje.
/noprofile znamená, že nechcete načítat jeho uživatelský profil (pro volání příkazu shutdown to prostě není potřeba).
Tím myslíš, jako že, se nepřepnu na účet (na jeho plochu), který vypíná PC?
Co znamenají ty 2x dvojité uvozovky v: runas /noprofile /user:xxx "shutdown /t 0"
?
Pořadí po runas je striktní nebo lze něco prohodit, ty parametry nebo příkaz shutdown v ""?
-
Odebral jsem oprávnění skupině Users, skupina Administrators toto oprávnění na vypnutí má.
UAC je zapnutá na nejvyšší úroveň. A uživatel skupiny Administrators může počítač vypnout aniž by se objevil dialog UAC, jak zmiňuješ, čím to?
Hm, možná jsem někde udělal chybu při testování, takže mi vyšel špatný výsledek. Testoval jsem na Windows 10 (Sedmičky tu aktuálně nemám k dispozici). Ale jak již bylo řečeno, uživateli ze skupiny Administrators se v důsledku nedá ve vypnutí počítače zabránit, protože si dokáže oprávnění Shutdown znovu přiřadit (to je jen jedna z možností).
Tím myslíš, jako že, se nepřepnu na účet (na jeho plochu), který vypíná PC?
Asi tak. Ten program shutdown se pustí na ploše aktuálně přihlášeného uživatele (jako by byl spuštěn běžným způsobem).
Co znamenají ty 2x dvojité uvozovky v:
To znamená, že text, co je v uvozovkách, bude předán příkazu (runas) jako jeden argument příkazové řádky, i když obsahuje mezery (ty standardně slouží jako oddělovače mezi parametry).
Co se týče přehazování parametrů, řekl bych, že půjde přehodit /user a /noprofile, ale že "shutdown /t 0" bude muset být poslední. Viz shutdown /?.
-
Díky. A lze ve Windows zadávat příkazy nebo parametry jako v Linuxu i v plném tvaru zapomocí -- nebo to umí jenom Linuxová OS?
A co se týče slova parametr a argument, není v tom nějaký rozdíl? Mám takový pocit, že jsem někde četl, že korektně by se to nemělo zaměňovat a že každé znamená trošku něco jiného.
-
Díky. A lze ve Windows zadávat příkazy nebo parametry jako v Linuxu i v plném tvaru zapomocí -- nebo to umí jenom Linuxová OS?
Nelze, protože ty příkazy to obvykle nepodporují. Bohužel (ale třeba pro to existuje nějaký historický důvod) se místo pomlček uchylují k lomítkům (/). Ale to je nepodstatný detail.
A co se týče slova parametr a argument, není v tom nějaký rozdíl? Mám takový pocit, že jsem někde četl, že korektně by se to nemělo zaměňovat a že každé znamená trošku něco jiného.
To je možné, nicméně je berte v mém příspěvku jako synonyma.
-
Díky. A lze ve Windows zadávat příkazy nebo parametry jako v Linuxu i v plném tvaru zapomocí -- nebo to umí jenom Linuxová OS?
Na linuxu to není pravidlem, je spousta programů, které mají jen krátké varianty. Je to jakýsi zvyk, který zdaleka ne všichni dodržují.
Windows jde v tomto ohledu o něco dál než linux, ale jen co se týká příkazů které jsou v PoweShellu, tam je konvence striktně daná.
-
Bohužel (ale třeba pro to existuje nějaký historický důvod) se místo pomlček uchylují k lomítkům (/). Ale to je nepodstatný detail.
to kdyz v Microsoftu vymejsleli ze misto zabehleho unixoidniho / pro oddeleni adresaru "musej" "vymyslet" neco jineho asi padla rec i na parametry u kterejch zjistili ze obracene - je porad - takze misto toho pouzili to lomitko co nepouzili pro adresare ;-)
-
to kdyz v Microsoftu vymejsleli ze misto zabehleho unixoidniho / pro oddeleni adresaru "musej" "vymyslet" neco jineho asi padla rec i na parametry u kterejch zjistili ze obracene - je porad - takze misto toho pouzili to lomitko co nepouzili pro adresare ;-)
Hm, vypadá to, že ne :-).
https://blogs.msdn.microsoft.com/larryosterman/2005/06/24/why-is-the-dos-path-character/
-
Díky.
A jak by se řešilo to zakázání (odepření) možnosti Vypnout konkrétnímu uživateli nebo skupině na Windows Home, kde není gpedit.msc dostupný?
-
[
to kdyz v Microsoftu vymejsleli ze misto zabehleho unixoidniho / pro oddeleni adresaru "musej" "vymyslet" neco jineho
Jste si jist ze to nestalo ve firme Seattle Computer Products ??