Puncte:1

Acordați programatic unui utilizator posibilitatea de a se conecta folosind desktopul de la distanță

drapel pl

Am mai multe gazde Windows Server 2022 de care am nevoie pentru a gestiona atribuirea drepturilor de utilizator prin automatizare.

Când acord manual unui utilizator de domeniu SeRemoteInteractiveLogonDreapta cu drepturi, nu se pot conecta folosind desktopul de la distanță, primesc o eroare care spune că nu sunt autorizați. Dacă le acord calitatea de membru în local Utilizatori de desktop la distanță grup, se pot conecta cu succes.

The Utilizatori de desktop la distanță grupului i se acordă SeRemoteInteractiveLogonDreapta drept, dar fără alte drepturi.

Ce altă permisiune a fost acordată acelui grup pe care ar trebui să o acord și utilizatorilor individuali pentru a activa această capacitate?

joeqwerty avatar
drapel cv
Conectarea prin RDP necesită drepturi de utilizator ȘI permisiuni. Consultați articolul legat despre cum să acordați permisiunile folosind WMI... DAR... nu ar fi mai ușor să adăugați în mod programatic utilizatorii la grupul Utilizatori Desktop la distanță? - https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/add-user-services-rdp-permissions#:~:text=Open%20Terminal%20Services%20Configuration.,the%20wanted %20utilizatori%20și%20grupuri.
Ritmo2k avatar
drapel pl
Nici GUI, nici clasa wmi nu există în aceste gazde, cred că documentul se referă la serviciile terminale Windows (modul multi-utilizator), nu desktop la distanță.
joeqwerty avatar
drapel cv
Serviciile terminale și serviciile desktop la distanță sunt același lucru. Microsoft a redenumit Terminal Services în Remote Desktop Services. Ideea mea este că doar atribuirea drepturilor de utilizator nu este suficientă. Utilizatorii trebuie să aibă, de asemenea, permisiunile corespunzătoare. Adăugarea utilizatorilor la grupul local de utilizatori Remote Desktop le realizează pe ambele.
Ritmo2k avatar
drapel pl
Am reușit să adaug un cont (și dreptul de utilizator) și să mă conectez. Cu toate acestea, sunt de acord și aveți dreptate că utilizarea grupului simplifică foarte mult configurația corectă și am actualizat abordarea de a folosi această facilitate. Am deschis un caz de sprijin doar pentru aspectul academic al cunoașterii.
Puncte:0
drapel cn

SeRemoteInteractiveLogonDreapta este un privilegiu (puteți acorda acest privilegiu cu următoarea politică: Permiteți conectarea prin Servicii Desktop la distanță). După cum spune documentația:

Această setare de politică determină ce utilizatori sau grupuri pot accesa ecranul de conectare al unui dispozitiv la distanță printr-un Serviciu Desktop la distanță conexiune[...]

Grozav! Cu toate acestea, așa cum ați văzut, utilizatorii primesc în continuare un mesaj de eroare, cu excepția cazului în care sunt membri ai utilizatorilor Remote Desktop. Este si asta documentat:

Pentru a utiliza Serviciile Desktop la distanță pentru a vă conecta cu succes la o telecomandă dispozitiv, utilizatorul sau grupul trebuie să fie membru al utilizatorilor Remote Desktop sau Administratori și să vi se acorde Permite conectarea prin Remote Servicii desktop corect.[...]

Ei bine, asta se datorează faptului că există (cel puțin) două straturi:

  1. The Descriptor de securitate pentru serviciul desktop la distanță: Serviciul Remote Desktop are propria lista de acces.
  2. The SeRemoteInteractiveLogonDreapta privilegiu

Ordinea este relevantă aici: utilizatorul se conectează mai întâi la Remote Desktop Services, iar dacă acest lucru este permis, atunci Windows va verifica dacă tokenul utilizatorului deține SeRemoteInteractiveLogonRight înainte de a deschide sesiunea utilizatorului.

Poti vedea Descriptor de securitate pentru serviciul desktop la distanță în Win32_TSPermissionsSetarea clasei WMI (StringSecurityDescriptor pentru RDP-Tcp). De exemplu, puteți da StringSecurityDescriptor cmdlet-ului Powershell ConvertFrom-SddlString pentru a-i vedea conținutul într-un format mai frumos:

$sddl = Get-WmiObject -class win32_tspermissionssetting -Namspace root\cimv2\terminalservices | unde {$_.TerminalName -eq "RDP-Tcp"} |selectați StringSecurityDescriptor

ConvertFrom-SddlString -Sddl $sddl.StringSecurityDescriptor | selectați -ExpandProperty DiscretionaryAcl

Rezultatul vă va arăta că grupul Utilizatori Desktop la distanță este permis în mod implicit:

[...]
Utilizatori de desktop la distanță: Acces permis
[...]

Practic, acordarea SeRemoteInteractiveLogonDreapta nu va adăuga utilizatorul/grupul la descriptorul de securitate Desktop la distanță, prin urmare, Serviciile Desktop la distanță refuză conectarea inainte de Windows chiar a trebuit să verifice dacă SeRemoteInteractiveLogonRight a fost acordat.

Puteți adăuga manual utilizatori sau grupuri în descriptorul de securitate Servicii Desktop la distanță cu Adaugă cont metoda: SDDL-ul va fi modificat și vă veți vedea contul/grupul în el. Dacă ai acordat SeRemoteInteractiveLogonDreapta privilegii, atunci ar trebui să vă puteți conecta (cu excepția cazului în care alte restricții sunt efective pe acest computer sau utilizator, desigur).

Acum, ce se întâmplă dacă adăugați un utilizator în descriptorul de securitate Remote Desktop Service, fără acordare SeRemoteInteractiveLogonDreapta? Ei bine, Remote Desktop Services va accepta conexiunea, dar veți vedea o eroare când Windows încearcă să vă deschidă sesiunea și, după cum puteți vedea, aceasta nu este o eroare aruncată de clientul RDP, canalul grafic este deschis și eroarea este afișat de computerul de la distanță:

Nu se poate conecta deoarece privilegiul lipsește, este afișat un mesaj de eroare

Și asta ne spune jurnalele de auditare de securitate în acest caz (dacă auditați):

ID eveniment 4625 a eșuat conectarea RDP

Vei nu vezi acest eveniment dacă utilizatorului nu i se permite să se conecteze conform descriptorului de securitate Remote Desktop Service, deoarece operația de conectare eșuează înainte ca Windows să aibă șansa de a verifica privilegiile.

Vă recomand cu tărie să utilizați Utilizatori de desktop la distanță grup, deoarece acest grup este prezent implicit în descriptorul de securitate al serviciului Desktop la distanță și are permisiunea de a utiliza SeRemoteInteractiveLogonDreapta privilegiu (cu excepția cazului în care serverul este un DC). Nu ar trebui să vă jucați cu descriptorul de securitate RDS.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.