Разрешить вход в систему через службу удаленных рабочих столов

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Разрешить вход в систему через службу удаленных рабочих столов.

Справочные материалы

Этот параметр политики определяет, какие пользователи или группы имеют право входа в систему удаленного устройства через подключение к службам удаленных рабочих столов. Пользователь может установить подключение служб удаленных рабочих столов к определенному серверу, но не сможет войти в консоль этого сервера.

Константа: SeRemoteInteractiveLogonRight

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  • Чтобы контролировать, какие пользователи могут открывать подключение служб удаленных рабочих столов и входить в систему устройства, добавьте пользователей в группу "Пользователи удаленного рабочего стола" или удалите их из нее.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию члены группы "Администраторы " имеют это право на контроллерах домена, рабочих станциях и серверах. Группа "Пользователи удаленного рабочего стола" также имеет это право на рабочих станциях и серверах.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Параметры автономного сервера по умолчанию

Администраторы

Пользователи удаленного рабочего стола

Действующие параметры контроллера домена по умолчанию

Администраторы

Действующие параметры рядового сервера по умолчанию

Администраторы

Пользователи удаленного рабочего стола

Действующие параметры клиентского компьютера по умолчанию

Администраторы

Пользователи удаленного рабочего стола

 

Управление политикой

В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.

Групповая политика

Чтобы использовать службы удаленных рабочих столов для успешного входа в систему удаленного устройства, пользователь или группа должны входить в группу "Пользователи удаленного рабочего стола" или "Администраторы" и иметь право Разрешить вход в систему через службу удаленных рабочих столов. Пользователь может установить сеанс служб удаленных рабочих столов с определенным сервером, но не сможет войти в консоль этого сервера.

Чтобы исключить пользователей или группы, им можно назначать право пользователя Запретить вход в систему через службу удаленных рабочих столов. Однако при использовании этого способа следует соблюдать осторожность, поскольку могут возникнуть конфликты для зарегистрированных пользователей или групп, которым доступ предоставлен с помощью права Разрешить вход в систему через службу удаленных рабочих столов.

Дополнительные сведения см. в статье Запретить вход в систему через службу удаленных рабочих столов.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Параметры групповой политики применяются через объект групповой политики (GPO) в указанном ниже порядке, который переопределит параметры на локальном компьютере во время следующего обновления групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта.

  3. Параметры политики домена.

  4. Параметры политики подразделений

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Любая учетная запись с правом пользователя Разрешить вход в систему через службу удаленных рабочих столов может использоваться для входа в удаленную консоль устройства. Если это право пользователя не ограничено только зарегистрированными пользователями, которые должны входить в консоль компьютера, неавторизованные пользователи могут скачивать и запускать вредоносные программы, чтобы повысить свой привилегии.

Меры противодействия

На контроллерах домена назначьте право Разрешить вход в систему через службу удаленных рабочих столов только группе "Администраторы". Для остальных ролей сервера и устройств добавьте группу "Пользователи удаленного рабочего стола". На серверах с включенной службой роли узла сеансов удаленных рабочих столов (RD) и не работающих в режиме сервера приложений убедитесь, что в эти группы входят только авторизованные ИТ-специалисты, управляющие компьютерами в удаленном режиме.

Внимание  

На серверах узла сеансов удаленных рабочих столов, работающих в режиме сервера приложений, убедитесь, что учетные записи, входящие в группу "Пользователи удаленного рабочего стола", имеют только пользователи, которым требуется доступ к серверу, так как этой встроенной группе это право входа предоставлено по умолчанию.

 

Кроме того, право пользователя Запретить вход в систему через службу удаленных рабочих столов можно назначить группам, таким как "Операторы учетных записей", "Операторы сервера" и "Гости". Однако при использовании этого способа следует соблюдать осторожность, так как можно запретить доступ зарегистрированным администраторам, которые также входят в группу, которая имеет право пользователя Запретить вход в систему через службу удаленных рабочих столов.

Возможные последствия

Удаление права пользователя Разрешить вход в систему через службу удаленных рабочих столов из других групп (или изменение членства в этих группах по умолчанию) может ограничить возможности пользователей, принадлежащих к определенным ролям администрирования в вашей среде. Необходимо убедиться в отсутствии негативного влияния на делегированные действия.

Связанные разделы

Назначение прав пользователя

 

 

Показ: