Anmelden über Remotedesktopdienste verweigern
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Anmelden über Remotedesktopdienste verweigern beschrieben.
Referenz
Mit dieser Richtlinieneinstellung wird bestimmt, welche Benutzer daran gehindert werden, sich mit Remotedesktopdienste über eine Remotedesktopverbindung am Gerät anzumelden. Es ist möglich, dass ein Benutzer eine Remotedesktopverbindung mit einem bestimmten Server herstellen kann, er jedoch nicht in der Lage ist, sich an der Konsole des Servers anzumelden.
Konstante: SeDenyRemoteInteractiveLogonRight
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Um zu steuern, welche Personen eine Remotedesktopverbindung öffnen und sich beim Gerät anmelden können, fügen Sie der Gruppe „Remotedesktopbenutzer“ Benutzerkonten hinzu, oder entfernen Sie Benutzerkonten aus der Gruppe „Remotedesktopbenutzer“.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Computers ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Die Remote System-Eigenschaft steuert Einstellungen für Remotedesktopdienste (Remoteverbindung mit diesem Computer zulassen/Keine Remoteverbindung mit diesem Computer zulassen) und für Remoteunterstützung (Remoteunterstützungsverbindungen mit diesem Computer zulassen).
Gruppenrichtlinie
Diese Einstellung hat Vorrang vor der Richtlinieneinstellung Anmelden über Remotedesktopdienste zulassen, wenn für ein Benutzerkonto beide Richtlinien gelten.
Gruppenrichtlinieneinstellungen werden in der folgenden Reihenfolge angewendet. Sie überschreiben bei der nächsten Gruppenrichtlinienaktualisierung Einstellungen auf dem lokalen Gerät.
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
Organisationseinheit-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Jedes Konto mit der Berechtigung zum Anmelden über Remotedesktopdienste kann zum Anmelden bei der Remotekonsole des Geräts verwendet werden. Wird dieses Benutzerrecht nicht auf legitime Benutzer beschränkt, die sich an der Konsole des Computers anmelden müssen, können böswillige Benutzer Software herunterladen und ausführen, die ihre Benutzerrechte erhöht.
Gegenmaßnahme
Weisen Sie das Benutzerrecht Anmelden über Remotedesktopdienste verweigern dem systemeigenen lokalen Gastkonto und allen Dienstkonten zu. Wenn Sie optionale Komponenten wie ASP.NET installiert haben, empfiehlt es sich, dieses Benutzerrecht zusätzlichen Konten zuzuweisen, die für diese Komponenten erforderlich sind.
Mögliche Auswirkung
Wenn Sie das Benutzerrecht Anmelden über Remotedesktopdienste verweigern anderen Gruppen zuweisen, beschränken Sie möglicherweise die Fähigkeiten von Benutzern, denen bestimmte Administratorrollen in der Umgebung zugewiesen sind. Von Konten mit diesem Benutzerrecht kann über Remotedesktopdienste und Remoteunterstützung keine Verbindung mit dem Gerät hergestellt werden. Sie müssen sich vergewissern, dass delegierte Aufgaben nicht beeinträchtigt werden.