Beste mensen,

Ik wil voor BI alleen leesrechten op alle sql-server databases op een server. Dit gaat wel lukken. Het probleem is echter dat ik rechten heb om (per ongeluk) de server af te sluiten. Onze systeembeheerders weten niet hoe ze dat kunnen uitschakelen. Anders gezegd: als ik ingelogd ben op de server met de databases, moet ik niet (onder de startknop) op de shutdown-knop kunnen klikken, maar alleen op de logoff-knop. Kan iemand ons hiermee helpen?

Ten eerste lijkt het er op dat deze gebruikers Local Admin zijn op de server, dit gaat tegen de Security Best practices in, dus het is eigenlijk het beste om eerst te onderzoeken of dit stikt noodzakelijk is, meestal is dit niet het geval. Alleen local Admins hebben de rechten om een shutdown te geven op een server.

Als hier niets aan te doen valt is er de volgende oplossing die wij op alle servers aan hebben staan, om te voorkomen dat servers -per vergissing- worden gereboot of worden geshutdowned tijdens de productie door de admins (Deze vergissing kan bijvoorbeeld gebeuren als een admin zijn eigen PC denkt uit te zetten, maar nog in een RDP sessie zit), dit verwijderd alleen de knoppen uit de GUI (Start menu en de dialoog die je krijgt bij "CTRL ALT DEL" (Of als je op setting windows security klikt in een RDP Sessie) ) vanuit een commandline (CMD) kan een admin nog steeds de server rebooten of uitzetten.

Het hangt er van af of er centraal Group Policies worden gebruikt:

Indien dit niet het geval is:

Het onderstaande vervangt de shutdown knop door een logoff knop in het startmenu

Open Start -> Run

type MMC

voeg de Local Group Policy module toe

Navigeer in de Tree in het linker paneel naar: >User Configuration>Administrative Templates>Start Menu and Taskbar

Hier kan je van alles in het startmenu aan en uit zetten, onder andere de shutdown knop door de policy

 "Disable and Remove Shut Down Command" aan te zetten (Enable)

Dit is een beetje wazig, maar je moet dus de keuze op enabled zetten om de Shutdown  knop te disablen

Nu kan je echter in het geheel niet meer uitloggen, om dit aan te zetten moet er dus een logoff  knop aangezet worden dit doe je door op de zelde manier de policy "add Logoff Button" aan te zetten (Enable). Dit laatste is belangrijk, anders hebben de gebruikers geen eenvoudige mogelijkheid meer om uit te loggen (De mogelijkheid is er nog wel, maar zit dan aardig verstopt in start -> Setting ->Windows Security in een RDP sessie)

Indien er centraal Grouppolicies zijn geregeld kun je met het bovenstaande naar de beheerder van deze GPO's gaan, deze beheerder zou hier voldoende informatie aan moeten hebben om hier een GPO van te maken en deze te activeren voor deze server.

Zoals gezegd, de server kan nog steeds gereboot worden met het volgende commando vanuit de command box (CMD)

tsshutdn 0 /reboot /delay:0  Of voor een shutdown: tsshutdn 0 /powerdown /delay:0

de eerste 0 is de tijd die gewacht word voordat het Shutdown/reboot proces begint, de /Delay: is de tijd dat er een waarschuwing wordt getoond aan de ingelogde gebruikers voordat de shutdown/reboot verder gaat en de processen op de server stopt.

Zie ook http://support.microsoft.com/kb/320188 voor informatie over dit commando