SeRemoteInteractiveLogonDreapta este un privilegiu (puteți acorda acest privilegiu cu următoarea politică: Permiteți conectarea prin Servicii Desktop la distanță). După cum spune documentația:
Această setare de politică determină ce utilizatori sau grupuri pot accesa
ecranul de conectare al unui dispozitiv la distanță printr-un Serviciu Desktop la distanță
conexiune[...]
Grozav! Cu toate acestea, așa cum ați văzut, utilizatorii primesc în continuare un mesaj de eroare, cu excepția cazului în care sunt membri ai utilizatorilor Remote Desktop. Este si asta documentat:
Pentru a utiliza Serviciile Desktop la distanță pentru a vă conecta cu succes la o telecomandă
dispozitiv, utilizatorul sau grupul trebuie să fie membru al utilizatorilor Remote Desktop
sau Administratori și să vi se acorde Permite conectarea prin Remote
Servicii desktop corect.[...]
Ei bine, asta se datorează faptului că există (cel puțin) două straturi:
- The Descriptor de securitate pentru serviciul desktop la distanță: Serviciul Remote Desktop are propria lista de acces.
- The SeRemoteInteractiveLogonDreapta privilegiu
Ordinea este relevantă aici: utilizatorul se conectează mai întâi la Remote Desktop Services, iar dacă acest lucru este permis, atunci Windows va verifica dacă tokenul utilizatorului deține SeRemoteInteractiveLogonRight înainte de a deschide sesiunea utilizatorului.
Poti vedea Descriptor de securitate pentru serviciul desktop la distanță în Win32_TSPermissionsSetarea clasei WMI (StringSecurityDescriptor
pentru RDP-Tcp). De exemplu, puteți da StringSecurityDescriptor cmdlet-ului Powershell ConvertFrom-SddlString
pentru a-i vedea conținutul într-un format mai frumos:
$sddl = Get-WmiObject -class win32_tspermissionssetting -Namspace root\cimv2\terminalservices | unde {$_.TerminalName -eq "RDP-Tcp"} |selectați StringSecurityDescriptor
ConvertFrom-SddlString -Sddl $sddl.StringSecurityDescriptor | selectați -ExpandProperty DiscretionaryAcl
Rezultatul vă va arăta că grupul Utilizatori Desktop la distanță este permis în mod implicit:
[...]
Utilizatori de desktop la distanță: Acces permis
[...]
Practic, acordarea SeRemoteInteractiveLogonDreapta
nu va adăuga utilizatorul/grupul la descriptorul de securitate Desktop la distanță, prin urmare, Serviciile Desktop la distanță refuză conectarea inainte de Windows chiar a trebuit să verifice dacă SeRemoteInteractiveLogonRight a fost acordat.
Puteți adăuga manual utilizatori sau grupuri în descriptorul de securitate Servicii Desktop la distanță cu Adaugă cont metoda: SDDL-ul va fi modificat și vă veți vedea contul/grupul în el. Dacă ai acordat SeRemoteInteractiveLogonDreapta
privilegii, atunci ar trebui să vă puteți conecta (cu excepția cazului în care alte restricții sunt efective pe acest computer sau utilizator, desigur).
Acum, ce se întâmplă dacă adăugați un utilizator în descriptorul de securitate Remote Desktop Service, fără acordare SeRemoteInteractiveLogonDreapta
? Ei bine, Remote Desktop Services va accepta conexiunea, dar veți vedea o eroare când Windows încearcă să vă deschidă sesiunea și, după cum puteți vedea, aceasta nu este o eroare aruncată de clientul RDP, canalul grafic este deschis și eroarea este afișat de computerul de la distanță:
Și asta ne spune jurnalele de auditare de securitate în acest caz (dacă auditați):
Vei nu vezi acest eveniment dacă utilizatorului nu i se permite să se conecteze conform descriptorului de securitate Remote Desktop Service, deoarece operația de conectare eșuează înainte ca Windows să aibă șansa de a verifica privilegiile.
Vă recomand cu tărie să utilizați Utilizatori de desktop la distanță
grup, deoarece acest grup este prezent implicit în descriptorul de securitate al serviciului Desktop la distanță și are permisiunea de a utiliza SeRemoteInteractiveLogonDreapta
privilegiu (cu excepția cazului în care serverul este un DC). Nu ar trebui să vă jucați cu descriptorul de securitate RDS.