我有几台 Windows Server 2022 主机,需要通过自动化管理用户权限分配。
当我手动授予域用户SeRemoteInteractiveLogonRight权限时,他们无法使用远程桌面登录,他们收到一条错误消息,指出他们未获得授权。如果我授予他们本地远程桌面用户组的成员资格,他们就可以成功登录。
远程桌面用户组被授予SeRemoteInteractiveLogonRight权限,但没有其他权限。
该组还授予了哪些其他权限,我还需要授予个人用户以启用该功能?
我有几台 Windows Server 2022 主机,需要通过自动化管理用户权限分配。
当我手动授予域用户SeRemoteInteractiveLogonRight权限时,他们无法使用远程桌面登录,他们收到一条错误消息,指出他们未获得授权。如果我授予他们本地远程桌面用户组的成员资格,他们就可以成功登录。
远程桌面用户组被授予SeRemoteInteractiveLogonRight权限,但没有其他权限。
该组还授予了哪些其他权限,我还需要授予个人用户以启用该功能?
SeRemoteInteractiveLogonRight是一个权限(您可以使用以下策略授予此权限:允许通过远程桌面服务登录)。正如文档所说:
伟大的!但是,如您所见,除非他们是远程桌面用户的成员,否则用户仍会收到错误消息。这也被记录在案:
嗯,这是因为(至少)有两层:
这里的顺序是相关的:用户首先连接到远程桌面服务,如果允许,Windows 将在打开用户会话之前检查用户的令牌是否持有 SeRemoteInteractiveLogonRight。
您可以在Win32_TSPermissionsSetting WMI 类(对于 RDP-Tcp)中看到远程桌面服务安全描述符。例如,您可以将 StringSecurityDescriptor 提供给 Powershell cmdlet ,以便以更漂亮的格式查看其内容:
StringSecurityDescriptor
ConvertFrom-SddlString
输出将显示默认情况下允许远程桌面用户组:
基本上,授予
SeRemoteInteractiveLogonRight
不会将用户/组添加到远程桌面安全描述符,因此,远程桌面服务在Windows 甚至必须检查是否授予 SeRemoteInteractiveLogonRight之前拒绝登录。您可以使用AddAccount方法在远程桌面服务安全描述符中手动添加用户或组:SDDL 将被修改,您将在其中看到您的帐户/组。如果您授予了
SeRemoteInteractiveLogonRight
权限,那么您应该能够登录(当然,除非其他限制对这台计算机或用户有效)。现在,如果您在远程桌面服务安全描述符中添加一个用户,而不授予 ,会发生什么
SeRemoteInteractiveLogonRight
?好吧,远程桌面服务将接受连接,但是当 Windows 尝试打开会话时,您会看到一个错误,并且如您所见,这不是 RDP 客户端抛出的错误,图形通道已打开并且错误由远程计算机显示:在这种情况下,这就是安全审计日志告诉我们的内容(如果您正在审计):
如果根据远程桌面服务安全描述符不允许用户连接,您将看不到此事件,因为在 Windows 有机会检查权限之前登录操作失败。
我强烈建议您使用该
Remote Desktop Users
组,因为该组默认存在于远程桌面服务安全描述符中,并且允许使用该SeRemoteInteractiveLogonRight
权限(除非服务器是 DC)。您不需要摆弄 RDS 安全描述符。