具有RemoteDesktopUsers而不具有“通过远程桌面服务登录”特权的感觉是什么?[关闭]

8

最近,Microsoft更改了 Windows Azure Guest OS(Windows 2008,Windows 2008 R2和Windows 2012)中的默认策略。更改之一是现在只有Administrators组成员具有“允许通过远程桌面服务登录”,而组成员RemoteDesktopUsers不再具有特权。

现在有什么意义呢?RemoteDesktopUsers是旨在允许通过远程桌面登录的组,如果撤消了此特权,则该组毫无意义。

具有RemoteDesktopUsers而不具有“通过远程桌面服务登录”特权的感觉是什么?

windows-server-2008  windows-server-2008-r2  group-policy  remote-desktop  windows-server-2012 
锋利的牙齿
source
您是否可以将“通过远程桌面服务登录”权限重新分配给该RemoteDesktopUsers组?
布伦南·尼奥
@BrennanNeoh:也许吧,但这并没有使更改变得更有意义。
Sharptooth 2013年
我唯一能想到的是,由于管理员通常是Azure中RemoteDesktopUsers组中的唯一管理员,因此该组是多余的。
内森·C

Answers:

1

我想这个想法是要提供开箱即用的锁定版本。

您提到的组没有意义,因为这是其唯一目的,但是您会注意到,这也是他们在本次更新中针对其他几项策略所做的。

举个例子

允许本地登录:发件人:管理员,用户,BackupOperators 收件人: 管理员

标准用户的提升提示的行为自: 在安全桌面上 提示输入凭据至:提示输入凭据。

因此,作为默认策略,他们尝试在默认情况下推送到仅限管理员的环境。为什么?因为他们想通过增加特权升级来缩小攻击面。

消除默认组/用户是否真的有效以及它们的安全策略是否有意义尚有待商conversation。

线之间可能隐藏了另一个原因

已实施[..]以满足安全性和合规性建议。有时吞噬常识。

用户
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.