Локальный вход в систему

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Локальный вход в систему.

Справочные материалы

Этот параметр политики определяет, какие пользователи могут запускать интерактивный сеанс на устройстве. Пользователи должны иметь это право, чтобы выполнять вход в систему через сеанс служб удаленных рабочих столов или служб терминалов, который запущен на рядовом устройстве с Windows или контроллере домена.

Примечание  

Пользователи, не имеющие этого права, по-прежнему смогут запускать удаленный интерактивный сеанс на устройстве, если им предоставлено право Разрешить вход через службу удаленных рабочих столов.

 

Константа: SeInteractiveLogonRight

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

По умолчанию это право на рабочих станциях и серверах имеют члены следующих групп.

  • Администраторы.

  • Операторы архива.

  • Пользователи.

По умолчанию это право на контроллерах домена имеют члены следующих групп.

  • Операторы учетных записей.

  • Администраторы.

  • Операторы архива.

  • Операторы печати.

  • Операторы сервера.

Рекомендации

  1. Предоставьте это право только зарегистрированным пользователям, которые должны входить в консоль устройства.

  2. При выборочном удалении групп по умолчанию можно ограничить возможности пользователей, которым назначены определенные роли администрирования в организации.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Операторы учетных записей

Администраторы

Операторы архива

Операторы печати

Операторы сервера

Параметры автономного сервера по умолчанию

Администраторы

Операторы архива

Пользователи

Действующие параметры контроллера домена по умолчанию

Операторы учетных записей

Администраторы

Операторы архива

Операторы печати

Операторы сервера

Действующие параметры рядового сервера по умолчанию

Администраторы

Операторы архива

Пользователи

Действующие параметры клиентского компьютера по умолчанию

Администраторы

Операторы архива

Пользователи

 

Управление политикой

Для реализации этого изменения перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Будьте осторожны при удалении из политики контроллера домена по умолчанию учетных записей служб, которые используются компонентами и программами на рядовых устройствах и на контроллерах домена. Также следует соблюдать осторожность при удалении пользователей или групп безопасности, выполняющих вход в консоль рядовых устройств в домене, или удалении учетных записей служб, определенных в локальной базе данных диспетчера учетных записей безопасности (SAM) рядовых устройств или устройств рабочих групп.

Чтобы предоставлять учетной записи пользователя возможность локального входа на контроллер домена, этого пользователя необходимо сделать членом группы, которая уже имеет право Локальный вход в систему, или предоставить это право конкретной учетной записи.

Контроллеры домена в домене совместно используют объект групповой политики (GPO) контроллеров домена по умолчанию. Предоставляя учетной записи право Локальный вход в систему, вы разрешаете этой учетной записи выполнять локальный вход на все контроллеры домена в домене.

Если группа "Пользователи" указана в параметре Локальный вход в систему для GPO, локально входить в систему смогут все пользователи домена. Встроенная группа "Пользователи" содержит группу "Пользователи домена" в качестве члена.

Групповая политика

Параметры групповой политики применяются через объект групповой политики (GPO) в указанном ниже порядке, который переопределит параметры на локальном компьютере во время следующего обновления групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта.

  3. Параметры политики домена.

  4. Параметры политики подразделений

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Любую учетную запись с правом пользователя Локальный вход в систему можно использовать для входа в консоль устройства. Если это право пользователя не ограничено только зарегистрированными пользователями, которые должны входить в консоль компьютера, неавторизованные пользователи могут скачивать и запускать вредоносные программы, чтобы повысить свой привилегии.

Меры противодействия

На контроллерах домена назначьте право пользователя Локальный вход в систему только группе "Администраторы". Для других ролей сервера к группе "Администраторы" можно добавить группу "Операторы архива". На компьютерах конечных пользователей это право также следует назначить группе "Пользователи".

Кроме того, группам, таким как "Операторы учетных записей", "Операторы сервера", и "Гости", можно назначить право пользователя Запретить локальный вход.

Возможные последствия

При удалении этих групп по умолчанию можно ограничить возможности пользователей, которым назначены определенные роли администрирования в организации. Если установлены дополнительные компоненты, такие как ASP.NET или IIS, может потребоваться назначить право пользователя Локальный вход в систему дополнительным учетным записям, необходимым этим компонентам. Для использования служб IIS требуется, чтобы это право пользователя было назначено учетной записи IUSR_<ComputerName>. Вам следует удостовериться, что делегированные действия не затронуты изменениями, вносимыми в назначения прав пользователя Локальный вход в систему.

Связанные разделы

Назначение прав пользователя

 

 

Показ: