Отказать в доступе к этому компьютеру из сети
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Отказать в доступе к этому компьютеру из сети.
Справка
Этот параметр безопасности определяет, каким пользователям будет отказано в доступе к устройству из сети.
Константа: SeDenyNetworkLogonRight
Возможные значения
Пользовательский список учетных записей
Гость
Рекомендации
- Поскольку все программы доменных служб Active Directory используют для доступа вход в сеть, следует проявлять осторожность при назначении этого права контроллерам домена.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
Значение по умолчанию для этого параметра на контроллерах домена и изолированных серверах — "Гость".
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Гость |
Параметры автономного сервера по умолчанию |
Гость |
Действующие параметры контроллера домена по умолчанию |
Гость |
Действующие параметры рядового сервера по умолчанию |
Гость |
Действующие параметры клиентского компьютера по умолчанию |
Гость |
Управление политикой
В этом разделе описаны компоненты и инструменты, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Этот параметр заменяет параметр политики Разрешить доступ к компьютеру из сети, если к учетной записи пользователя применяются обе политики.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Пользователи, которые могут входить в систему на устройстве по сети, могут перечислять списки имен учетных записей, групп и общие ресурсы. Пользователи, которым предоставлено разрешение на доступ к общим папкам и файлам, могут подключаться по сети и, возможно, просматривать или изменять данные.
Меры противодействия
Назначайте право Отказать в доступе к этому компьютеру из сети следующим учетным записям:
Анонимный вход
Встроенная учетная запись локального администратора
Локальная учетная запись гостя
Все учетные записи служб
Важным исключением из этого списка являются учетные записи служб, используемые для запуска служб, которым требуется подключиться к устройству по сети. Например, вы настроили общую папку для веб-серверов, в которой вы размещаете содержимое через веб-сайт. Можно разрешить учетной записи, которая используется для запуска служб IIS, вход на сервер с общей папкой из сети. Это право особенно полезно в случаях, когда серверы и рабочие станции, на которых обрабатывается конфиденциальная информация, необходимо настроить в соответствии с нормативными требованиями.
Возможные последствия
Если предоставить право Отказать в доступе к этому компьютеру из сети другим учетным записям, можно тем самым ограничить возможности пользователей в вашей среде, которым назначены особые административные роли. Необходимо убедиться, что при этом не будут затронуты делегированные задачи.