ฉันมีโฮสต์ Windows Server 2022 หลายโฮสต์ที่ต้องจัดการการกำหนดสิทธิ์ของผู้ใช้ผ่านระบบอัตโนมัติ
เมื่อฉันให้สิทธิ์ผู้ใช้โดเมนด้วยตนเอง SeRemoteInteractiveLogonRight สิทธิ์ พวกเขาไม่สามารถเข้าสู่ระบบโดยใช้เดสก์ท็อประยะไกล พวกเขาได้รับข้อผิดพลาดแจ้งว่าไม่ได้รับอนุญาต ถ้าฉันให้พวกเขาเป็นสมาชิกในท้องถิ่น ผู้ใช้เดสก์ท็อประยะไกล กลุ่มก็สามารถเข้าสู่ระบบได้สำเร็จ
เดอะ ผู้ใช้เดสก์ท็อประยะไกล กลุ่มได้รับ SeRemoteInteractiveLogonRight ถูกต้อง แต่ไม่มีสิทธิ์อื่น
กลุ่มนั้นได้รับอนุญาตอะไรอีกบ้างที่ฉันจะต้องให้สิทธิ์แก่ผู้ใช้แต่ละรายด้วยเพื่อเปิดใช้งานความสามารถนี้
SeRemoteInteractiveLogonRight เป็นสิทธิพิเศษ (คุณสามารถให้สิทธิ์นี้ได้โดยมีนโยบายดังต่อไปนี้: อนุญาตให้เข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล). ตามที่เอกสารระบุว่า:
การตั้งค่านโยบายนี้กำหนดว่าผู้ใช้หรือกลุ่มใดสามารถเข้าถึง หน้าจอเข้าสู่ระบบของอุปกรณ์ระยะไกลผ่านบริการเดสก์ท็อประยะไกล การเชื่อมต่อ[...]
ยอดเยี่ยม! อย่างไรก็ตาม ตามที่คุณเห็น ผู้ใช้ยังคงได้รับข้อความแสดงข้อผิดพลาด เว้นแต่พวกเขาจะเป็นสมาชิกของผู้ใช้เดสก์ท็อประยะไกล มีการจัดทำเป็นเอกสารด้วย:
ในการใช้บริการเดสก์ท็อประยะไกลเพื่อเข้าสู่ระบบระยะไกลได้สำเร็จ อุปกรณ์ ผู้ใช้หรือกลุ่มต้องเป็นสมาชิกของผู้ใช้เดสก์ท็อประยะไกล หรือกลุ่มผู้ดูแลระบบและได้รับอนุญาตให้เข้าสู่ระบบผ่านระยะไกล สิทธิ์บริการเดสก์ท็อป[...]
นี่เป็นเพราะมี (อย่างน้อย) สองชั้น:
ลำดับมีความเกี่ยวข้องที่นี่: ผู้ใช้เชื่อมต่อกับบริการเดสก์ท็อประยะไกลก่อน และหากอนุญาต Windows จะตรวจสอบว่าโทเค็นของผู้ใช้มี SeRemoteInteractiveLogonRight ก่อนเปิดเซสชันของผู้ใช้
คุณสามารถดู ตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกล ใน Win32_TSPermissionsการตั้งค่าคลาส WMI (StringSecurityDescriptor สำหรับ RDP-TCP) ตัวอย่างเช่น คุณสามารถกำหนด StringSecurityDescriptor ให้กับ Powershell cmdlet ConvertFrom-SddlString หากต้องการดูเนื้อหาในรูปแบบที่สวยงามยิ่งขึ้น :
$sddl = Get-WmiObject - คลาส win32_tspermissionssetting - Namespace root\cimv2\terminalservices | โดยที่ {$_.TerminalName -eq "RDP-Tcp"} | เลือก StringSecurityDescriptor
ConvertFrom-SddlString -Sddl $sddl.StringSecurityDescriptor | เลือก -ExpandProperty DiscretionaryAcl
ผลลัพธ์จะแสดงให้คุณเห็นว่ากลุ่มผู้ใช้เดสก์ท็อประยะไกลได้รับอนุญาตตามค่าเริ่มต้น:
[...]
ผู้ใช้เดสก์ท็อประยะไกล: อนุญาตการเข้าถึง
[...]
โดยพื้นฐานแล้วการให้สิทธิ์ SeRemoteInteractiveLogonRight จะไม่เพิ่มผู้ใช้/กลุ่มไปยังตัวบอกเกี่ยวกับความปลอดภัย Remote Desktop ดังนั้น Remote Desktop Services จึงปฏิเสธการเข้าสู่ระบบ ก่อน Windows ต้องตรวจสอบด้วยซ้ำว่าได้รับ SeRemoteInteractiveLogonRight หรือไม่
คุณสามารถเพิ่มผู้ใช้หรือกลุ่มในตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกลด้วยตนเองด้วย เพิ่มบัญชี วิธีการ: SDDL จะถูกแก้ไข และคุณจะเห็นบัญชี/กลุ่มของคุณในนั้น หากคุณได้รับ SeRemoteInteractiveLogonRight คุณควรจะสามารถเข้าสู่ระบบได้ (เว้นแต่ว่าข้อจำกัดอื่นจะมีผลกับคอมพิวเตอร์เครื่องนี้หรือผู้ใช้)
ตอนนี้ จะเกิดอะไรขึ้นถ้าคุณเพิ่มผู้ใช้ในตัวอธิบายความปลอดภัยของบริการเดสก์ท็อประยะไกลโดยไม่ได้รับอนุญาต SeRemoteInteractiveLogonRight? บริการเดสก์ท็อประยะไกลจะยอมรับการเชื่อมต่อ แต่คุณจะเห็นข้อผิดพลาดเมื่อ Windows พยายามเปิดเซสชันของคุณ และอย่างที่คุณเห็น นี่ไม่ใช่ข้อผิดพลาดที่เกิดจากไคลเอ็นต์ RDP ช่องสัญญาณกราฟิกเปิดขึ้นและข้อผิดพลาด แสดงโดยคอมพิวเตอร์ระยะไกล:
และนั่นคือสิ่งที่บันทึกการตรวจสอบความปลอดภัยบอกเราในกรณีนี้ (หากคุณกำลังตรวจสอบ):
คุณจะ ไม่ ดูเหตุการณ์นี้หากผู้ใช้ไม่ได้รับอนุญาตให้เชื่อมต่อตามคำอธิบายด้านความปลอดภัยของ Remote Desktop Service เนื่องจากการดำเนินการเข้าสู่ระบบล้มเหลวก่อนที่ Windows จะมีโอกาสตรวจสอบสิทธิ์
ฉันขอแนะนำให้คุณใช้ ผู้ใช้เดสก์ท็อประยะไกล เนื่องจากกลุ่มนี้มีอยู่ตามค่าเริ่มต้นในตัวอธิบายความปลอดภัยของบริการ Remote Desktop และได้รับอนุญาตให้ใช้ SeRemoteInteractiveLogonRight สิทธิพิเศษ (เว้นแต่เซิร์ฟเวอร์เป็น DC) คุณไม่จำเป็นต้องเล่นซอกับตัวบ่งชี้ความปลอดภัย RDS
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
