Điểm:1

Lập trình cấp cho người dùng khả năng đăng nhập bằng máy tính từ xa

lá cờ pl

Tôi có một số máy chủ Windows Server 2022 mà tôi cần quản lý việc chỉ định quyền người dùng thông qua tự động hóa.

Khi tôi cấp thủ công cho người dùng tên miền SeRemoteInteractiveLogonRight quyền, họ không thể đăng nhập bằng máy tính từ xa, họ nhận được lỗi cho biết họ không được ủy quyền. Nếu tôi cấp cho họ tư cách thành viên tại địa phương Người dùng máy tính từ xa nhóm, họ có thể đăng nhập thành công.

Các Người dùng máy tính từ xa nhóm được cấp SeRemoteInteractiveLogonRight đúng, nhưng không có quyền khác.

Nhóm đó đã được cấp quyền nào khác mà tôi cũng cần cấp cho từng người dùng để kích hoạt khả năng này?

joeqwerty avatar
lá cờ cv
Đăng nhập qua RDP yêu cầu quyền VÀ quyền của người dùng. Xem bài viết được liên kết về cách cấp quyền bằng WMI... NHƯNG... việc thêm người dùng vào nhóm Người dùng Máy tính Từ xa theo chương trình sẽ không dễ dàng hơn sao? - https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/add-user-services-rdp-permissions#:~:text=Open%20Terminal%20Services%20Configuration.,the%20wanted %20users%20and%20groups.
Ritmo2k avatar
lá cờ pl
Cả GUI và lớp wmi đều không tồn tại trong các máy chủ này, tôi tin rằng tài liệu đó đề cập đến các dịch vụ đầu cuối của Windows (chế độ nhiều người dùng), chứ không phải máy tính từ xa.
joeqwerty avatar
lá cờ cv
Dịch vụ đầu cuối và Dịch vụ máy tính từ xa là giống nhau. Microsoft đã đổi tên Dịch vụ đầu cuối thành Dịch vụ máy tính từ xa. Quan điểm của tôi là chỉ gán quyền cho người dùng thôi là chưa đủ. (Những) người dùng cũng phải có quyền thích hợp. Việc thêm người dùng vào nhóm Người dùng máy tính từ xa cục bộ sẽ hoàn thành cả hai.
Ritmo2k avatar
lá cờ pl
Tôi đã có thể thêm tài khoản (và quyền của người dùng) và đăng nhập. Tuy nhiên, tôi đồng ý và bạn đúng rằng việc sử dụng nhóm giúp đơn giản hóa rất nhiều việc cấu hình chính xác và tôi đã cập nhật phương pháp sử dụng cơ sở đó. Tôi đã mở một trường hợp hỗ trợ chỉ dành cho khía cạnh học thuật của kiến ​​thức.
Điểm:0
lá cờ cn

SeRemoteInteractiveLogonRight là một Đặc quyền (bạn có thể cấp đặc quyền này với chính sách sau: Cho phép đăng nhập thông qua Remote Desktop Services). Như tài liệu nói:

Cài đặt chính sách này xác định người dùng hoặc nhóm nào có thể truy cập vào màn hình đăng nhập của thiết bị từ xa thông qua Remote Desktop Services sự liên quan[...]

Tuyệt quá! Tuy nhiên, như bạn đã thấy, người dùng vẫn nhận được thông báo lỗi trừ khi họ là thành viên của Remote Desktop Users. Đó cũng là tài liệu:

Để sử dụng Dịch vụ Máy tính Từ xa để đăng nhập thành công vào điều khiển từ xa thiết bị, người dùng hoặc nhóm phải là thành viên của Remote Desktop Users hoặc nhóm Quản trị viên và được cấp quyền Cho phép đăng nhập qua Remote Quyền Dịch vụ Máy tính để bàn.[...]

Chà, điều này là do có (ít nhất) hai lớp:

  1. Các Bộ mô tả bảo mật Dịch vụ Máy tính Từ xa: Dịch vụ Remote Desktop có của riêng nó danh sách truy cập.
  2. Các SeRemoteInteractiveLogonRight đặc quyền

Thứ tự có liên quan ở đây: Trước tiên, người dùng kết nối với Dịch vụ máy tính từ xa và nếu điều này được cho phép, thì Windows sẽ kiểm tra xem mã thông báo của người dùng có giữ SeRemoteInteractiveLogonRight trước khi mở phiên của người dùng hay không.

Bạn có thể nhìn thấy Bộ mô tả bảo mật Dịch vụ Máy tính Từ xa bên trong Win32_TSPermissionsĐặt lớp WMI (StringSecurityDescriptor cho RDP-Tcp). Ví dụ: bạn có thể cung cấp StringSecurityDescriptor cho lệnh ghép ngắn Powershell ConvertFrom-SddlString để xem nội dung của nó ở định dạng đẹp hơn:

$sddl = Get-WmiObject -class win32_tspermissionssetting -Namespace root\cimv2\terminalservices | trong đó {$_.TerminalName -eq "RDP-Tcp"} |select StringSecurityDescriptor

ConvertFrom-SddlString -Sddl $sddl.StringSecurityDescriptor | chọn -ExpandProperty DiscretionaryAcl

Đầu ra sẽ cho bạn thấy rằng nhóm Remote Desktop Users được cho phép theo mặc định:

[…]
Người dùng máy tính từ xa: AccessAllowed
[…]

Về cơ bản, cấp SeRemoteInteractiveLogonRight sẽ không thêm người dùng/nhóm vào bộ mô tả bảo mật Máy tính Từ xa, vì vậy, Dịch vụ Máy tính Từ xa từ chối đăng nhập trước Windows thậm chí phải kiểm tra xem SeRemoteInteractiveLogonRight có được cấp hay không.

Bạn có thể thêm người dùng hoặc nhóm theo cách thủ công trong bộ mô tả bảo mật Dịch vụ Máy tính Từ xa bằng Thêm tài khoản phương pháp: SDDL sẽ được sửa đổi và bạn sẽ thấy tài khoản/nhóm của mình trong đó. Nếu bạn cấp SeRemoteInteractiveLogonRight đặc quyền, thì bạn sẽ có thể đăng nhập (tất nhiên trừ khi các hạn chế khác có hiệu lực đối với máy tính hoặc người dùng này).

Bây giờ, điều gì sẽ xảy ra nếu bạn thêm người dùng vào bộ mô tả bảo mật Dịch vụ Máy tính Từ xa mà không cấp SeRemoteInteractiveLogonRight? Chà, Dịch vụ Máy tính Từ xa sẽ chấp nhận kết nối, nhưng bạn sẽ thấy lỗi khi Windows cố mở phiên của bạn và như bạn có thể thấy, đây không phải là lỗi do máy khách RDP gây ra, kênh đồ họa được mở và lỗi được hiển thị bởi máy tính từ xa:

Không thể đăng nhập vì thiếu đặc quyền, hiển thị thông báo lỗi

Và đó là những gì nhật ký kiểm tra bảo mật cho chúng tôi biết trong trường hợp này (nếu bạn đang kiểm tra):

ID sự kiện 4625 đăng nhập RDP không thành công

bạn sẽ không phải xem sự kiện này nếu người dùng không được phép kết nối theo bộ mô tả bảo mật Dịch vụ Máy tính Từ xa vì thao tác đăng nhập không thành công trước khi Windows có cơ hội kiểm tra các đặc quyền.

Tôi thực sự khuyên bạn nên sử dụng Người dùng máy tính từ xa nhóm, vì nhóm này hiện diện theo mặc định trong bộ mô tả bảo mật dịch vụ Máy tính Từ xa và được phép sử dụng SeRemoteInteractiveLogonRight đặc quyền (trừ khi máy chủ là DC). Bạn không cần phải loay hoay với bộ mô tả bảo mật RDS.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.