windows 2012 TS mystical shutdown

Завели мы терминальный сервер на платформе windows 2012. Подключили к нему тонких клиентов и вроде бы все хорошо, но стал этот терминальник изредка выключатся. Пользователи в правах ограничены — кнопок «выключить» у залогиненого юзера нет. Но оказалось что в домене есть политика — которая позволяет пользователю не прошедшему авторизацию выключать компьютер.

Чтобы найти локальную политику нужно запустить gpedit.msc и в дереве выбрать — «конфигурация windows — Параметры безопасности — Локальные политики — Параметры безопасности».  И найти политику «Завершение работы: Разрешить завершение работы системы без выполнения входа в систему».

У меня эта политика была запрещена для редактирования. rsop.msc показал что ее переопределяет default domain policy. И действительно — на контроллере домена политика «shutdown: allow system to be shut down without having to log on» была определена в состоянии enable.

снял галку, обновил политики и смог отредактировать локальную политику сервера как надо — т.е. отключить пользователям возможность shutdown. Правда дальнейшее исследование показало что непривелигерованный пользователь все равно может выполнить команду shutdown -s и она сработает. Но с этой историей разбираться будем в следующий раз.

https://social.technet.microsoft.com/Forums/ru-RU/4eee9b6e-611e-4b3d-a56f-c48b3deac084/-?forum=WS8ru