沒有“通過遠端桌面服務登錄”權限的 RemoteDesktopUsers 有什麼意義？

最近，Microsoft 更改了Windows Azure 來賓作業系統（Windows 2008、Windows 2008 R2 和 Windows 2012）中的預設策略。其中一項更改是，現在只有Administrators組成員擁有“允許通過遠端桌面服務登錄”，並且成員RemoteDesktopUsers不再擁有該權限。

現在它有什麼意義？RemoteDesktopUsers是允許通過遠端桌面登錄的組，如果撤銷此權限，則該組沒有意義。

沒有“通過遠端桌面服務登錄”權限的 RemoteDesktopUsers 有什麼意義？

我想這個想法是提供一個開箱即用的更鎖定版本。

您提到的組沒有意義，因為這是它的唯一目的，但您會注意到這正是他們在此更新中對其他幾項政策所做的事情。

舉個例子

允許本地登錄：從：管理員、使用者、BackupOperators到： 管理員

和

標準使用者的提升提示行為從： 在安全桌面上提示輸入憑據到： 提示輸入憑據。

因此，作為預設策略，他們預設嘗試推送到僅限管理員的環境。為什麼？因為他們想通過增加權限提升來縮小攻擊面。

消除預設組/使用者是否真的有效以及他們的安全策略是否有意義，都需要進行討論。

另一個原因可能隱藏在字裡行間

$$ .. $$已實施以滿足安全性和合規性建議。有時常識被吞噬。

引用自：https://serverfault.com/questions/518364