SeRemoteInteractiveLogonRight là một Đặc quyền (bạn có thể cấp đặc quyền này với chính sách sau: Cho phép đăng nhập thông qua Remote Desktop Services). Như tài liệu nói:
Cài đặt chính sách này xác định người dùng hoặc nhóm nào có thể truy cập vào
màn hình đăng nhập của thiết bị từ xa thông qua Remote Desktop Services
sự liên quan[...]
Tuyệt quá! Tuy nhiên, như bạn đã thấy, người dùng vẫn nhận được thông báo lỗi trừ khi họ là thành viên của Remote Desktop Users. Đó cũng là tài liệu:
Để sử dụng Dịch vụ Máy tính Từ xa để đăng nhập thành công vào điều khiển từ xa
thiết bị, người dùng hoặc nhóm phải là thành viên của Remote Desktop Users
hoặc nhóm Quản trị viên và được cấp quyền Cho phép đăng nhập qua Remote
Quyền Dịch vụ Máy tính để bàn.[...]
Chà, điều này là do có (ít nhất) hai lớp:
- Các Bộ mô tả bảo mật Dịch vụ Máy tính Từ xa: Dịch vụ Remote Desktop có của riêng nó danh sách truy cập.
- Các SeRemoteInteractiveLogonRight đặc quyền
Thứ tự có liên quan ở đây: Trước tiên, người dùng kết nối với Dịch vụ máy tính từ xa và nếu điều này được cho phép, thì Windows sẽ kiểm tra xem mã thông báo của người dùng có giữ SeRemoteInteractiveLogonRight trước khi mở phiên của người dùng hay không.
Bạn có thể nhìn thấy Bộ mô tả bảo mật Dịch vụ Máy tính Từ xa bên trong Win32_TSPermissionsĐặt lớp WMI (StringSecurityDescriptor
cho RDP-Tcp). Ví dụ: bạn có thể cung cấp StringSecurityDescriptor cho lệnh ghép ngắn Powershell ConvertFrom-SddlString
để xem nội dung của nó ở định dạng đẹp hơn:
$sddl = Get-WmiObject -class win32_tspermissionssetting -Namespace root\cimv2\terminalservices | trong đó {$_.TerminalName -eq "RDP-Tcp"} |select StringSecurityDescriptor
ConvertFrom-SddlString -Sddl $sddl.StringSecurityDescriptor | chọn -ExpandProperty DiscretionaryAcl
Đầu ra sẽ cho bạn thấy rằng nhóm Remote Desktop Users được cho phép theo mặc định:
[…]
Người dùng máy tính từ xa: AccessAllowed
[…]
Về cơ bản, cấp SeRemoteInteractiveLogonRight
sẽ không thêm người dùng/nhóm vào bộ mô tả bảo mật Máy tính Từ xa, vì vậy, Dịch vụ Máy tính Từ xa từ chối đăng nhập trước Windows thậm chí phải kiểm tra xem SeRemoteInteractiveLogonRight có được cấp hay không.
Bạn có thể thêm người dùng hoặc nhóm theo cách thủ công trong bộ mô tả bảo mật Dịch vụ Máy tính Từ xa bằng Thêm tài khoản phương pháp: SDDL sẽ được sửa đổi và bạn sẽ thấy tài khoản/nhóm của mình trong đó. Nếu bạn cấp SeRemoteInteractiveLogonRight
đặc quyền, thì bạn sẽ có thể đăng nhập (tất nhiên trừ khi các hạn chế khác có hiệu lực đối với máy tính hoặc người dùng này).
Bây giờ, điều gì sẽ xảy ra nếu bạn thêm người dùng vào bộ mô tả bảo mật Dịch vụ Máy tính Từ xa mà không cấp SeRemoteInteractiveLogonRight
? Chà, Dịch vụ Máy tính Từ xa sẽ chấp nhận kết nối, nhưng bạn sẽ thấy lỗi khi Windows cố mở phiên của bạn và như bạn có thể thấy, đây không phải là lỗi do máy khách RDP gây ra, kênh đồ họa được mở và lỗi được hiển thị bởi máy tính từ xa:
Và đó là những gì nhật ký kiểm tra bảo mật cho chúng tôi biết trong trường hợp này (nếu bạn đang kiểm tra):
bạn sẽ không phải xem sự kiện này nếu người dùng không được phép kết nối theo bộ mô tả bảo mật Dịch vụ Máy tính Từ xa vì thao tác đăng nhập không thành công trước khi Windows có cơ hội kiểm tra các đặc quyền.
Tôi thực sự khuyên bạn nên sử dụng Người dùng máy tính từ xa
nhóm, vì nhóm này hiện diện theo mặc định trong bộ mô tả bảo mật dịch vụ Máy tính Từ xa và được phép sử dụng SeRemoteInteractiveLogonRight
đặc quyền (trừ khi máy chủ là DC). Bạn không cần phải loay hoay với bộ mô tả bảo mật RDS.