Разрешить вход в систему через службу удаленных рабочих столов
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Разрешить вход в систему через службу удаленных рабочих столов.
Справочные материалы
Этот параметр политики определяет, какие пользователи или группы имеют право входа в систему удаленного устройства через подключение к службам удаленных рабочих столов. Пользователь может установить подключение служб удаленных рабочих столов к определенному серверу, но не сможет войти в консоль этого сервера.
Константа: SeRemoteInteractiveLogonRight
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
- Чтобы контролировать, какие пользователи могут открывать подключение служб удаленных рабочих столов и входить в систему устройства, добавьте пользователей в группу "Пользователи удаленного рабочего стола" или удалите их из нее.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию члены группы "Администраторы " имеют это право на контроллерах домена, рабочих станциях и серверах. Группа "Пользователи удаленного рабочего стола" также имеет это право на рабочих станциях и серверах.
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Администраторы |
Параметры автономного сервера по умолчанию |
Администраторы Пользователи удаленного рабочего стола |
Действующие параметры контроллера домена по умолчанию |
Администраторы |
Действующие параметры рядового сервера по умолчанию |
Администраторы Пользователи удаленного рабочего стола |
Действующие параметры клиентского компьютера по умолчанию |
Администраторы Пользователи удаленного рабочего стола |
Управление политикой
В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.
Групповая политика
Чтобы использовать службы удаленных рабочих столов для успешного входа в систему удаленного устройства, пользователь или группа должны входить в группу "Пользователи удаленного рабочего стола" или "Администраторы" и иметь право Разрешить вход в систему через службу удаленных рабочих столов. Пользователь может установить сеанс служб удаленных рабочих столов с определенным сервером, но не сможет войти в консоль этого сервера.
Чтобы исключить пользователей или группы, им можно назначать право пользователя Запретить вход в систему через службу удаленных рабочих столов. Однако при использовании этого способа следует соблюдать осторожность, поскольку могут возникнуть конфликты для зарегистрированных пользователей или групп, которым доступ предоставлен с помощью права Разрешить вход в систему через службу удаленных рабочих столов.
Дополнительные сведения см. в статье Запретить вход в систему через службу удаленных рабочих столов.
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Параметры групповой политики применяются через объект групповой политики (GPO) в указанном ниже порядке, который переопределит параметры на локальном компьютере во время следующего обновления групповой политики.
Параметры локальной политики
Параметры политики сайта.
Параметры политики домена.
Параметры политики подразделений
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Любая учетная запись с правом пользователя Разрешить вход в систему через службу удаленных рабочих столов может использоваться для входа в удаленную консоль устройства. Если это право пользователя не ограничено только зарегистрированными пользователями, которые должны входить в консоль компьютера, неавторизованные пользователи могут скачивать и запускать вредоносные программы, чтобы повысить свой привилегии.
Меры противодействия
На контроллерах домена назначьте право Разрешить вход в систему через службу удаленных рабочих столов только группе "Администраторы". Для остальных ролей сервера и устройств добавьте группу "Пользователи удаленного рабочего стола". На серверах с включенной службой роли узла сеансов удаленных рабочих столов (RD) и не работающих в режиме сервера приложений убедитесь, что в эти группы входят только авторизованные ИТ-специалисты, управляющие компьютерами в удаленном режиме.
Внимание
На серверах узла сеансов удаленных рабочих столов, работающих в режиме сервера приложений, убедитесь, что учетные записи, входящие в группу "Пользователи удаленного рабочего стола", имеют только пользователи, которым требуется доступ к серверу, так как этой встроенной группе это право входа предоставлено по умолчанию.
Кроме того, право пользователя Запретить вход в систему через службу удаленных рабочих столов можно назначить группам, таким как "Операторы учетных записей", "Операторы сервера" и "Гости". Однако при использовании этого способа следует соблюдать осторожность, так как можно запретить доступ зарегистрированным администраторам, которые также входят в группу, которая имеет право пользователя Запретить вход в систему через службу удаленных рабочих столов.
Возможные последствия
Удаление права пользователя Разрешить вход в систему через службу удаленных рабочих столов из других групп (или изменение членства в этих группах по умолчанию) может ограничить возможности пользователей, принадлежащих к определенным ролям администрирования в вашей среде. Необходимо убедиться в отсутствии негативного влияния на делегированные действия.