Windows Server 2003 - Shutdown the System
Dopo gli esami (di qualsiasi genere) di solito mi prende la mania dell'ordine.
Questa volta ciò ha implicato una bella formattata all'hard disk del portatile, ormai logoro da mesi di installazioni, disinstallazioni e paciughi vari.
Il primo nodo da sciogliere è stato la scelta del sistema operativo.
La volta precedente avevo ripiegato su XP a causa della mancanza di driver video validi per Windows Server 2003.
Li ho trovati da lì a poco, ma a quel punto non avevo voglia di ricominciare tutto da capo.
L'occasione si è presentata ieri, e voila. Sto pazientemente reinstallando tutto in "ambiente server".
Che non è esattamente la stessa cosa.
Il primo caso di discrepanza l'ho avuto ieri sera, al momento di fare shutdown.
Ora, prima di spiegare cosa è successo, una piccola premessa.
Da alcuni mesi ho preso l'abitudine di usare un utente a bassi privilegi (LUA, per chi ama gli acronimi) nel lavoro quotidiano al PC. Le ragioni sono ovvie e già abbondantemente spiegate, quindi non mi dilungo.
Non avevo però ancora utilizzato un utente non amministratore in ambiente Windows Server.
Anche questo deriva dalle mie (pessime) abitudini di considerare le macchine virtuali (Virtual PC) diverse da una macchina fisica. L'antivirus e gli aggiornamenti li faccio regolarmente su tutte, ma la pratica di utilizzare un utente "User" non l'ho ancora adottata. Risultato: non ho (non avevo) mai avuto esperienza diretta dei privilegi concessi o negati agli utenti in Windows Server 2003.
Ritornando all'argomento del post, ieri sera, prima di andare a dormire, mi è sembrata cosa buona e giusta spegnere il portatile.
Che avevo appena configurato con un utente Administrator ed uno User.
Ok: Alt-F4 e ...
La combo mi presenta solo la possibilità di fare logout. Oh bella !
Ha perfettamente senso.
In fondo siamo (ok, dovremmo essere :-) ) su un server, e non è cosa carina consentire ad un utente a bassi privilegi di arrestare il nostro prezioso servizio di e-commerce. Diverso è su un sistema client, dove tipicamente chi utilizza la macchina è un utente interattivo che, ogni tanto, ha perfino la necessità di spegnerla.
La controprova è stata immediata.
Ho lanciato gpedit.msc (Group Policy Editor): Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.
In un sistema XP il diritto di spegnere la macchina è garantito agli utenti che appartengono ai gruppi Administrators, Power Users, Backup Operators e Users.
In un sistema Windows Server 2003, lo stesso diritto è garantito ai gruppi Administrators, Power Users e Backup Operators.
Lo soluzione è stata semplice: ho creato un gruppo (UsersEx) al quale ho garantito la possibilità di arrestare il sistema, e vi ho inserito il mio LUA.
E il gioco è fatto.
Non so se esistano soluzioni migliori, sia dal punto di vista della praticità che da quello della sicurezza.
In tal caso fatemi sapere :-)