SeRemoteInteractiveLogonRight เป็นสิทธิพิเศษ (คุณสามารถให้สิทธิ์นี้ได้โดยมีนโยบายดังต่อไปนี้: อนุญาตให้เข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล). ตามที่เอกสารระบุว่า:
การตั้งค่านโยบายนี้กำหนดว่าผู้ใช้หรือกลุ่มใดสามารถเข้าถึง
หน้าจอเข้าสู่ระบบของอุปกรณ์ระยะไกลผ่านบริการเดสก์ท็อประยะไกล
การเชื่อมต่อ[...]
ยอดเยี่ยม! อย่างไรก็ตาม ตามที่คุณเห็น ผู้ใช้ยังคงได้รับข้อความแสดงข้อผิดพลาด เว้นแต่พวกเขาจะเป็นสมาชิกของผู้ใช้เดสก์ท็อประยะไกล มีการจัดทำเป็นเอกสารด้วย:
ในการใช้บริการเดสก์ท็อประยะไกลเพื่อเข้าสู่ระบบระยะไกลได้สำเร็จ
อุปกรณ์ ผู้ใช้หรือกลุ่มต้องเป็นสมาชิกของผู้ใช้เดสก์ท็อประยะไกล
หรือกลุ่มผู้ดูแลระบบและได้รับอนุญาตให้เข้าสู่ระบบผ่านระยะไกล
สิทธิ์บริการเดสก์ท็อป[...]
นี่เป็นเพราะมี (อย่างน้อย) สองชั้น:
- เดอะ ตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกล: มีบริการ Remote Desktop ของมันเอง รายการเข้าถึง
- เดอะ SeRemoteInteractiveLogonRight สิทธิพิเศษ
ลำดับมีความเกี่ยวข้องที่นี่: ผู้ใช้เชื่อมต่อกับบริการเดสก์ท็อประยะไกลก่อน และหากอนุญาต Windows จะตรวจสอบว่าโทเค็นของผู้ใช้มี SeRemoteInteractiveLogonRight ก่อนเปิดเซสชันของผู้ใช้
คุณสามารถดู ตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกล ใน Win32_TSPermissionsการตั้งค่าคลาส WMI (StringSecurityDescriptor
สำหรับ RDP-TCP) ตัวอย่างเช่น คุณสามารถกำหนด StringSecurityDescriptor ให้กับ Powershell cmdlet ConvertFrom-SddlString
หากต้องการดูเนื้อหาในรูปแบบที่สวยงามยิ่งขึ้น :
$sddl = Get-WmiObject - คลาส win32_tspermissionssetting - Namespace root\cimv2\terminalservices | โดยที่ {$_.TerminalName -eq "RDP-Tcp"} | เลือก StringSecurityDescriptor
ConvertFrom-SddlString -Sddl $sddl.StringSecurityDescriptor | เลือก -ExpandProperty DiscretionaryAcl
ผลลัพธ์จะแสดงให้คุณเห็นว่ากลุ่มผู้ใช้เดสก์ท็อประยะไกลได้รับอนุญาตตามค่าเริ่มต้น:
[...]
ผู้ใช้เดสก์ท็อประยะไกล: อนุญาตการเข้าถึง
[...]
โดยพื้นฐานแล้วการให้สิทธิ์ SeRemoteInteractiveLogonRight
จะไม่เพิ่มผู้ใช้/กลุ่มไปยังตัวบอกเกี่ยวกับความปลอดภัย Remote Desktop ดังนั้น Remote Desktop Services จึงปฏิเสธการเข้าสู่ระบบ ก่อน Windows ต้องตรวจสอบด้วยซ้ำว่าได้รับ SeRemoteInteractiveLogonRight หรือไม่
คุณสามารถเพิ่มผู้ใช้หรือกลุ่มในตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกลด้วยตนเองด้วย เพิ่มบัญชี วิธีการ: SDDL จะถูกแก้ไข และคุณจะเห็นบัญชี/กลุ่มของคุณในนั้น หากคุณได้รับ SeRemoteInteractiveLogonRight
คุณควรจะสามารถเข้าสู่ระบบได้ (เว้นแต่ว่าข้อจำกัดอื่นจะมีผลกับคอมพิวเตอร์เครื่องนี้หรือผู้ใช้)
ตอนนี้ จะเกิดอะไรขึ้นถ้าคุณเพิ่มผู้ใช้ในตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกลโดยไม่ได้รับอนุญาต SeRemoteInteractiveLogonRight
? บริการเดสก์ท็อประยะไกลจะยอมรับการเชื่อมต่อ แต่คุณจะเห็นข้อผิดพลาดเมื่อ Windows พยายามเปิดเซสชันของคุณ และอย่างที่คุณเห็น นี่ไม่ใช่ข้อผิดพลาดที่เกิดจากไคลเอ็นต์ RDP ช่องสัญญาณกราฟิกเปิดขึ้นและข้อผิดพลาด แสดงโดยคอมพิวเตอร์ระยะไกล:
และนั่นคือสิ่งที่บันทึกการตรวจสอบความปลอดภัยบอกเราในกรณีนี้ (หากคุณกำลังตรวจสอบ):
คุณจะ ไม่ ดูเหตุการณ์นี้หากผู้ใช้ไม่ได้รับอนุญาตให้เชื่อมต่อตามคำอธิบายด้านความปลอดภัยของ Remote Desktop Service เนื่องจากการดำเนินการเข้าสู่ระบบล้มเหลวก่อนที่ Windows จะมีโอกาสตรวจสอบสิทธิ์
ฉันขอแนะนำให้คุณใช้ ผู้ใช้เดสก์ท็อประยะไกล
เนื่องจากกลุ่มนี้มีอยู่ตามค่าเริ่มต้นในตัวอธิบายความปลอดภัยของบริการ Remote Desktop และได้รับอนุญาตให้ใช้ SeRemoteInteractiveLogonRight
สิทธิพิเศษ (เว้นแต่เซิร์ฟเวอร์เป็น DC) คุณไม่จำเป็นต้องเล่นซอกับตัวบ่งชี้ความปลอดภัย RDS