Score:1

ให้สิทธิ์ผู้ใช้ทางโปรแกรมในการเข้าสู่ระบบโดยใช้เดสก์ท็อประยะไกล

ธง pl

ฉันมีโฮสต์ Windows Server 2022 หลายโฮสต์ที่ต้องจัดการการกำหนดสิทธิ์ของผู้ใช้ผ่านระบบอัตโนมัติ

เมื่อฉันให้สิทธิ์ผู้ใช้โดเมนด้วยตนเอง SeRemoteInteractiveLogonRight สิทธิ์ พวกเขาไม่สามารถเข้าสู่ระบบโดยใช้เดสก์ท็อประยะไกล พวกเขาได้รับข้อผิดพลาดแจ้งว่าไม่ได้รับอนุญาต ถ้าฉันให้พวกเขาเป็นสมาชิกในท้องถิ่น ผู้ใช้เดสก์ท็อประยะไกล กลุ่มก็สามารถเข้าสู่ระบบได้สำเร็จ

เดอะ ผู้ใช้เดสก์ท็อประยะไกล กลุ่มได้รับ SeRemoteInteractiveLogonRight ถูกต้อง แต่ไม่มีสิทธิ์อื่น

กลุ่มนั้นได้รับอนุญาตอะไรอีกบ้างที่ฉันจะต้องให้สิทธิ์แก่ผู้ใช้แต่ละรายด้วยเพื่อเปิดใช้งานความสามารถนี้

joeqwerty avatar
cv flag
การเข้าสู่ระบบผ่าน RDP ต้องการสิทธิ์ของผู้ใช้และการอนุญาต ดูบทความที่เชื่อมโยงเกี่ยวกับวิธีการให้สิทธิ์โดยใช้ WMI... แต่... การเพิ่มผู้ใช้ลงในกลุ่มผู้ใช้เดสก์ท็อประยะไกลโดยทางโปรแกรมจะไม่ง่ายกว่าหรือ - https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/add-user-services-rdp-permissions#:~:text=Open%20Terminal%20Services%20Configuration.,the%20wanted %20users%20และ%20groups
Ritmo2k avatar
pl flag
ไม่มี GUI หรือคลาส wmi ในโฮสต์เหล่านี้ ฉันเชื่อว่าเอกสารอ้างอิงถึงบริการเทอร์มินัลของ Windows (โหมดผู้ใช้หลายคน) ไม่ใช่เดสก์ท็อประยะไกล
joeqwerty avatar
cv flag
บริการเทอร์มินัลและบริการเดสก์ท็อประยะไกลเป็นสิ่งเดียวกัน Microsoft เปลี่ยนชื่อ Terminal Services เป็น Remote Desktop Services ประเด็นของฉันคือการกำหนดสิทธิ์ของผู้ใช้เพียงอย่างเดียวไม่เพียงพอ ผู้ใช้ต้องมีสิทธิ์ที่เหมาะสมด้วย การเพิ่มผู้ใช้ลงในกลุ่มผู้ใช้เดสก์ท็อประยะไกลในเครื่องจะทำทั้งสองอย่างให้สำเร็จ
Ritmo2k avatar
pl flag
ฉันสามารถเพิ่มบัญชี (และสิทธิ์ของผู้ใช้) และเข้าสู่ระบบได้ อย่างไรก็ตาม ฉันเห็นด้วยและคุณพูดถูกว่าการใช้กลุ่มทำให้การกำหนดค่าที่ถูกต้องง่ายขึ้นมาก และฉันได้อัปเดตวิธีการใช้สิ่งอำนวยความสะดวกนั้นแล้ว ฉันได้เปิดกรณีการสนับสนุนเพื่อความรู้ด้านวิชาการเท่านั้น
Score:0
ธง cn

SeRemoteInteractiveLogonRight เป็นสิทธิพิเศษ (คุณสามารถให้สิทธิ์นี้ได้โดยมีนโยบายดังต่อไปนี้: อนุญาตให้เข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล). ตามที่เอกสารระบุว่า:

การตั้งค่านโยบายนี้กำหนดว่าผู้ใช้หรือกลุ่มใดสามารถเข้าถึง หน้าจอเข้าสู่ระบบของอุปกรณ์ระยะไกลผ่านบริการเดสก์ท็อประยะไกล การเชื่อมต่อ[...]

ยอดเยี่ยม! อย่างไรก็ตาม ตามที่คุณเห็น ผู้ใช้ยังคงได้รับข้อความแสดงข้อผิดพลาด เว้นแต่พวกเขาจะเป็นสมาชิกของผู้ใช้เดสก์ท็อประยะไกล มีการจัดทำเป็นเอกสารด้วย:

ในการใช้บริการเดสก์ท็อประยะไกลเพื่อเข้าสู่ระบบระยะไกลได้สำเร็จ อุปกรณ์ ผู้ใช้หรือกลุ่มต้องเป็นสมาชิกของผู้ใช้เดสก์ท็อประยะไกล หรือกลุ่มผู้ดูแลระบบและได้รับอนุญาตให้เข้าสู่ระบบผ่านระยะไกล สิทธิ์บริการเดสก์ท็อป[...]

นี่เป็นเพราะมี (อย่างน้อย) สองชั้น:

  1. เดอะ ตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกล: มีบริการ Remote Desktop ของมันเอง รายการเข้าถึง
  2. เดอะ SeRemoteInteractiveLogonRight สิทธิพิเศษ

ลำดับมีความเกี่ยวข้องที่นี่: ผู้ใช้เชื่อมต่อกับบริการเดสก์ท็อประยะไกลก่อน และหากอนุญาต Windows จะตรวจสอบว่าโทเค็นของผู้ใช้มี SeRemoteInteractiveLogonRight ก่อนเปิดเซสชันของผู้ใช้

คุณสามารถดู ตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกล ใน Win32_TSPermissionsการตั้งค่าคลาส WMI (StringSecurityDescriptor สำหรับ RDP-TCP) ตัวอย่างเช่น คุณสามารถกำหนด StringSecurityDescriptor ให้กับ Powershell cmdlet ConvertFrom-SddlString หากต้องการดูเนื้อหาในรูปแบบที่สวยงามยิ่งขึ้น :

$sddl = Get-WmiObject - คลาส win32_tspermissionssetting - Namespace root\cimv2\terminalservices | โดยที่ {$_.TerminalName -eq "RDP-Tcp"} | เลือก StringSecurityDescriptor

ConvertFrom-SddlString -Sddl $sddl.StringSecurityDescriptor | เลือก -ExpandProperty DiscretionaryAcl

ผลลัพธ์จะแสดงให้คุณเห็นว่ากลุ่มผู้ใช้เดสก์ท็อประยะไกลได้รับอนุญาตตามค่าเริ่มต้น:

[...]
ผู้ใช้เดสก์ท็อประยะไกล: อนุญาตการเข้าถึง
[...]

โดยพื้นฐานแล้วการให้สิทธิ์ SeRemoteInteractiveLogonRight จะไม่เพิ่มผู้ใช้/กลุ่มไปยังตัวบอกเกี่ยวกับความปลอดภัย Remote Desktop ดังนั้น Remote Desktop Services จึงปฏิเสธการเข้าสู่ระบบ ก่อน Windows ต้องตรวจสอบด้วยซ้ำว่าได้รับ SeRemoteInteractiveLogonRight หรือไม่

คุณสามารถเพิ่มผู้ใช้หรือกลุ่มในตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกลด้วยตนเองด้วย เพิ่มบัญชี วิธีการ: SDDL จะถูกแก้ไข และคุณจะเห็นบัญชี/กลุ่มของคุณในนั้น หากคุณได้รับ SeRemoteInteractiveLogonRight คุณควรจะสามารถเข้าสู่ระบบได้ (เว้นแต่ว่าข้อจำกัดอื่นจะมีผลกับคอมพิวเตอร์เครื่องนี้หรือผู้ใช้)

ตอนนี้ จะเกิดอะไรขึ้นถ้าคุณเพิ่มผู้ใช้ในตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกลโดยไม่ได้รับอนุญาต SeRemoteInteractiveLogonRight? บริการเดสก์ท็อประยะไกลจะยอมรับการเชื่อมต่อ แต่คุณจะเห็นข้อผิดพลาดเมื่อ Windows พยายามเปิดเซสชันของคุณ และอย่างที่คุณเห็น นี่ไม่ใช่ข้อผิดพลาดที่เกิดจากไคลเอ็นต์ RDP ช่องสัญญาณกราฟิกเปิดขึ้นและข้อผิดพลาด แสดงโดยคอมพิวเตอร์ระยะไกล:

ไม่สามารถเข้าสู่ระบบได้เนื่องจากสิทธิ์ขาดหายไป ข้อความแสดงข้อผิดพลาดปรากฏขึ้น

และนั่นคือสิ่งที่บันทึกการตรวจสอบความปลอดภัยบอกเราในกรณีนี้ (หากคุณกำลังตรวจสอบ):

รหัสเหตุการณ์ 4625 ล้มเหลวในการเข้าสู่ระบบ RDP

คุณจะ ไม่ ดูเหตุการณ์นี้หากผู้ใช้ไม่ได้รับอนุญาตให้เชื่อมต่อตามคำอธิบายด้านความปลอดภัยของ Remote Desktop Service เนื่องจากการดำเนินการเข้าสู่ระบบล้มเหลวก่อนที่ Windows จะมีโอกาสตรวจสอบสิทธิ์

ฉันขอแนะนำให้คุณใช้ ผู้ใช้เดสก์ท็อประยะไกล เนื่องจากกลุ่มนี้มีอยู่ตามค่าเริ่มต้นในตัวอธิบายความปลอดภัยของบริการ Remote Desktop และได้รับอนุญาตให้ใช้ SeRemoteInteractiveLogonRight สิทธิพิเศษ (เว้นแต่เซิร์ฟเวอร์เป็น DC) คุณไม่จำเป็นต้องเล่นซอกับตัวบ่งชี้ความปลอดภัย RDS

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา