本文详细介绍了Windows 10中'允许在本地登录'的安全策略设置,包括最佳实践、默认值和管理注意事项。该策略决定哪些用户有权在设备上进行交互式登录。默认情况下,管理员、备份操作员和用户等组拥有此权限。建议限制此权限以增强安全性,但修改可能影响服务和应用程序的兼容性。务必谨慎操作,防止对关键服务造成影响。
允许在本地登录 - 安全策略设置
04/19/2017
本文内容
适用范围
Windows 10
介绍"允许在本地登录"安全策略设置的最佳方案、位置、值、策略 管理和安全注意事项 。
参考
此策略设置确定哪些用户可以在设备上启动交互式会话。 用户必须具有此用户权限才能通过基于 Windows 的成员设备或域控制器上运行的远程桌面服务会话登录。
注意: 如果没有此权利的用户拥有"允许通过远程桌面服务登录"权利,他们仍可在设备上启动 远程交互式 会话。
常量:SeInteractiveLogonRight
可能值
用户定义的帐户列表
未定义
默认情况下,以下各组的成员在工作站和服务器上具有此权利:
管理员
备份运算符
用户
默认情况下,以下各组的成员在域控制器上拥有此权限:
帐户运算符
管理员
备份运算符
打印运算符
服务器运算符
最佳做法
将该用户权限限制为必须登录到设备控制台的合法用户。
如果有选择地删除默认组,您可以限制分配给组织中特定管理角色的用户的能力。
位置
计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配
默认值
下表列出了最新受支持的 Windows 版本的实际和有效默认策略值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
帐户运算符
管理员
备份运算符
打印运算符
服务器运算符
Stand-Alone服务器默认设置
管理员
备份运算符
用户
域控制器有效默认设置
帐户运算符
管理员
备份运算符
打印运算符
服务器运算符
成员服务器有效默认设置
管理员
备份运算符
用户
客户端计算机有效默认设置
管理员
备份运算符
用户
策略管理
实现此更改不需要重新启动设备。
对帐户的用户权限分配的任何更改在帐户所有者下次登录时生效。
修改此设置可能会影响与客户端、服务和应用程序的兼容性。 从默认域控制器的策略中删除成员设备上和域中域控制器上的组件和程序使用的服务帐户时,请谨慎。 此外,在删除登录到域中成员设备控制台的用户或安全组,或者删除在成员设备或工作组设备的本地安全帐户管理器 (SAM) 数据库中定义的服务帐户时,也要小心。
如果要向用户帐户授予在本地登录域控制器的能力,则必须使该用户成为已拥有"允许在本地登录"系统权限的组的成员,或授予该用户对该帐户的权限。 ****
域中的域控制器共享默认域控制器组策略对象 (GPO) 。 当您向帐户授予"允许在本地 登录 "权限时,即表示允许该帐户在本地登录到域中的所有域控制器。
如果 GPO 的"允许**** 本地登录"设置中列出了"用户"组,则所有域用户都可以在本地登录。 Users 内置组包含 Domain Users 作为成员。
组策略
组策略设置按以下顺序通过 GPO 应用,这将在下次组策略更新时覆盖本地计算机的设置:
本地策略设置
站点策略设置
域策略设置
OU 策略设置
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
具有" 允许在本地登录"用户权限的任何 帐户都可以登录到设备的控制台。 如果不限制此用户对必须登录到计算机控制台的合法用户的权限,未经授权的用户可以下载并运行恶意软件以提升其特权。
对策
对于域控制器,仅 将"允许在本地登录用户 "权限分配给管理员组。 对于其他服务器角色,除了管理员之外,您还可以选择添加备份运算符。 对于最终用户计算机,还应向 Users 组分配此权限。
或者,可以将帐户操作员、服务器操作员和来宾等组分配给"拒绝 在本地登录"用户 权限。
潜在影响
如果删除这些默认组,则可能会限制分配给环境中特定管理角色的用户的能力。 如果已安装可选组件(如 ASP.NET 或 IIS),可能需要为这些组件所需的其他帐户**** 分配"允许本地登录用户"权限。 IIS 要求将该用户权限分配给 IUSR_* < ComputerName > *帐户。 您应该确认委派活动不会受到对"允许登录本地用户权限分配"的任何更改的负面影响。 ****
相关主题
2005
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
