Anmelden über Remotedesktopdienste zulassen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Anmelden über Remotedesktopdienste zulassen beschrieben.
Referenzen
Mit dieser Richtlinieneinstellung können Sie festlegen, welche Benutzer oder Gruppen den Anmeldebildschirm eines Remotegeräts über eine Remotedesktopdienste-Verbindung aufrufen können. Es besteht die Möglichkeit, dass Benutzer zwar eine Remotedesktopdienste-Verbindung mit einem bestimmten Server herstellen, sich aber nicht auf der Konsole dieses Servers anmelden können.
Konstante: SeRemoteInteractiveLogonRight
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Sie können steuern, welche Benutzer eine Remotedesktopdienste-Verbindung öffnen und sich auf dem Gerät anmelden können, indem Sie der Gruppe „Remotedesktopbenutzer“ Benutzer hinzufügen oder Benutzer daraus entfernen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Standardmäßig besitzen Mitglieder der Gruppe „Administratoren“ dieses Recht auf Domänencontrollern, Arbeitsstationen und Servern. Die Gruppe „Remotedesktopbenutzer“ hat dieses Recht ebenfalls auf Arbeitsstationen und Servern.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren |
Standardeinstellungen für eigenständige Server |
Administratoren Remotedesktopbenutzer |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Remotedesktopbenutzer |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Remotedesktopbenutzer |
Richtlinienverwaltung
In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Gruppenrichtlinie
Um sich mit Remotedesktopdiensten erfolgreich auf einem Remotegerät anmelden zu können, muss der Benutzer oder die Gruppe ein Mitglied der Gruppe „Remotedesktopbenutzer“ oder „Administratoren“ sein und über das Recht Anmelden über Remotedesktopdienste zulassen verfügen. Es besteht die Möglichkeit, dass Benutzer zwar eine Remotedesktopdienste-Sitzung mit einem bestimmten Server herstellen, sich aber nicht auf der Konsole dieses Servers anmelden können.
Um Benutzer oder Gruppen auszuschließen, können Sie das Benutzerrecht Anmelden über Remotedesktopdienste verweigern diesen Benutzern oder Gruppen direkt zuweisen. Diese Methode ist jedoch mit Vorsicht anzuwenden, da sie bei berechtigten Benutzern oder Gruppen, die Zugriff über das Benutzerrecht Anmelden über Remotedesktopdienste zulassen haben, Konflikte verursachen kann.
Weitere Informationen finden Sie unter Anmelden über Remotedesktopdienste verweigern.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinieneinstellungen werden über GPOs in der folgenden Reihenfolge angewendet (was dazu führt, dass die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden):
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Jedes Konto mit dem Benutzerrecht Anmelden über Remotedesktopdienste zulassen kann sich auf der Remotekonsole des Geräts anmelden. Wenn Sie dieses Benutzerrecht nicht auf berechtigte Benutzer beschränken, die sich auf der Konsole des Computers anmelden müssen, können nicht autorisierte Benutzer Schadsoftware herunterladen und ausführen, um ihre Berechtigungen zu erweitern.
Gegenmaßnahme
Weisen Sie das Benutzerrecht Anmelden über Remotedesktopdienste zulassen für Domänencontroller nur der Gruppe „Administratoren“ zu. Fügen Sie für andere Serverrollen und Geräte die Gruppe „Remotedesktopbenutzer“ hinzu. Stellen Sie bei Servern, auf denen der Rollendienst „Remotedesktop-Sitzungshost“ aktiviert ist und die nicht im Anwendungsservermodus ausgeführt werden, sicher, dass ausschließlich autorisierte IT-Mitarbeiter, die diese Computer remote verwalten müssen, Mitglieder dieser Gruppe sind.
Achtung
Stellen Sie bei Remotedesktop-Sitzungshostservern, die im Anwendungsservermodus ausgeführt werden, sicher, dass nur Benutzer, die Zugriff auf den Server benötigen, über Konten verfügen, die Mitglied der Gruppe „Remotedesktopbenutzer“ sind. Diese integrierte Gruppe verfügt standardmäßig über diese Anmeldeberechtigung.
Sie können das Benutzerrecht Anmelden über Remotedesktopdienste verweigern auch Gruppen wie „Konten-Operatoren“, „Serveroperatoren“ und „Gäste“ zuweisen. Sie können das Benutzerrecht Anmelden über Remotedesktopdienste verweigern auch Gruppen wie „Konten-Operatoren“, „Serveroperatoren“ und „Gäste“ zuweisen.
Mögliche Auswirkung
Wenn Sie das Benutzerrecht Anmelden über Remotedesktopdienste zulassen aus anderen Gruppen entfernen (oder sich die Mitgliedschaft in diesen Standardgruppen ändert), beschränken Sie möglicherweise die Berechtigungen von Benutzern mit bestimmten Verwaltungsrollen in Ihrer Umgebung. Sie müssen sich vergewissern, dass delegierte Aktivitäten nicht beeinträchtigt werden.