Windows-Server-2008
沒有“通過遠端桌面服務登錄”權限的 RemoteDesktopUsers 有什麼意義?
最近,Microsoft 更改了Windows Azure 來賓作業系統(Windows 2008、Windows 2008 R2 和 Windows 2012)中的預設策略。其中一項更改是,現在只有
Administrators
組成員擁有“允許通過遠端桌面服務登錄”,並且成員RemoteDesktopUsers
不再擁有該權限。現在它有什麼意義?
RemoteDesktopUsers
是允許通過遠端桌面登錄的組,如果撤銷此權限,則該組沒有意義。沒有“通過遠端桌面服務登錄”權限的 RemoteDesktopUsers 有什麼意義?
我想這個想法是提供一個開箱即用的更鎖定版本。
您提到的組沒有意義,因為這是它的唯一目的,但您會注意到這正是他們在此更新中對其他幾項政策所做的事情。
舉個例子
允許本地登錄:從:管理員、使用者、BackupOperators到: 管理員
和
標準使用者的提升提示行為從: 在安全桌面上提示輸入憑據到: 提示輸入憑據。
因此,作為預設策略,他們預設嘗試推送到僅限管理員的環境。為什麼?因為他們想通過增加權限提升來縮小攻擊面。
消除預設組/使用者是否真的有效以及他們的安全策略是否有意義,都需要進行討論。
另一個原因可能隱藏在字裡行間
$$ .. $$已實施以滿足安全性和合規性建議。有時常識被吞噬。