Consenti accesso tramite Servizi Desktop remoto
Si applica a
- Windows 11
- Windows 10
Vengono descritte le procedure consigliate, la posizione, i valori, la gestione dei criteri e le considerazioni sulla sicurezza per l'impostazione consenti l'accesso tramite Servizi Desktop remoto .
Riferimento
Questa impostazione di criterio determina quali utenti o gruppi possono accedere alla schermata di accesso di un dispositivo remoto tramite una connessione a Servizi Desktop remoto. È possibile che un utente stabilisca una connessione di Servizi Desktop remoto a un determinato server, ma non sia in grado di accedere alla console dello stesso server.
Costante: SeRemoteInteractiveLogonRight
Valori possibili
- Elenco di account definito dall'utente
- Non definito
Procedure consigliate
- Per controllare chi può aprire una connessione di Servizi Desktop remoto e accedere al dispositivo, aggiungere o rimuovere utenti dal gruppo Utenti desktop remoto.
Posizione
Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente
Valori predefiniti
Per impostazione predefinita, i membri del gruppo Administrators hanno questo diritto nei controller di dominio, nelle workstation e nei server. Il gruppo Utenti desktop remoto dispone anche di questo diritto nelle workstation e nei server. Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.
| Tipo di server o oggetto Criteri di gruppo | Valore predefinito |
|---|---|
| Criteri di dominio predefiniti | Non definito |
| Criteri controller di dominio predefiniti | Non definito |
| Criteri di sicurezza locali del controller di dominio | Administrators |
| Impostazioni predefinite del server Stand-Alone | Administrators Utenti di Desktop remoto |
| Impostazioni predefinite valide per il controller di dominio | Administrators |
| Impostazioni predefinite valide per il server membro | Administrators Utenti di Desktop remoto |
| Impostazioni predefinite valide per il computer client | Administrators Utenti di Desktop remoto |
Gestione dei criteri
Questa sezione descrive le diverse funzionalità e strumenti disponibili per semplificare la gestione di questo criterio.
Criteri di gruppo
Per usare Servizi Desktop remoto per accedere correttamente a un dispositivo remoto, l'utente o il gruppo deve essere membro del gruppo Utenti o amministratori di Desktop remoto e avere il diritto Consenti accesso tramite Servizi Desktop remoto . È possibile che un utente stabilisca una sessione di Servizi Desktop remoto in un determinato server, ma non sia in grado di accedere alla console dello stesso server.
Per escludere utenti o gruppi, è possibile assegnare il diritto utente Nega accesso tramite Servizi Desktop remoto a tali utenti o gruppi. Prestare tuttavia attenzione quando si usa questo metodo perché è possibile creare conflitti per utenti o gruppi legittimi a cui è stato consentito l'accesso tramite il diritto utente Consenti l'accesso tramite Servizi Desktop remoto .
Per altre informazioni, vedere Nega accesso tramite Servizi Desktop remoto.
Non è necessario riavviare il dispositivo per rendere effettiva questa impostazione di criteri.
Qualsiasi modifica all'assegnazione dei diritti utente per un account diventa effettiva al successivo accesso del proprietario dell'account.
Criteri di gruppo impostazioni vengono applicate tramite oggetti Criteri di gruppo nell'ordine seguente, che sovrascriverà le impostazioni nel computer locale al successivo aggiornamento Criteri di gruppo:
- Impostazioni dei criteri locali
- Impostazioni dei criteri del sito
- Impostazioni dei criteri di dominio
- Impostazioni dei criteri dell'unità organizzativa
Considerazioni sulla sicurezza
Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.
Vulnerabilità
Qualsiasi account con il diritto utente Consenti l'accesso tramite Servizi Desktop remoto può accedere alla console remota del dispositivo. Se non si limita questo diritto utente agli utenti legittimi che devono accedere alla console del computer, gli utenti non autorizzati potrebbero scaricare ed eseguire software dannoso per elevare i loro privilegi.
Contromisura
Per i controller di dominio, assegnare il diritto utente Consenti accesso tramite Servizi Desktop remoto solo al gruppo Administrators. Per altri ruoli e dispositivi del server, aggiungere il gruppo Utenti desktop remoto. Per i server con il servizio ruolo Host sessione Desktop remoto abilitato e non eseguito in modalità server applicazioni, assicurarsi che solo il personale IT autorizzato che deve gestire i computer in remoto appartenga a questi gruppi.
Attenzione: Per i server Host sessione Desktop remoto eseguiti in modalità server applicazioni, assicurarsi che solo gli utenti che richiedono l'accesso al server abbiano account che appartengono al gruppo Utenti desktop remoto perché questo gruppo predefinito ha questo diritto di accesso per impostazione predefinita.
In alternativa, è possibile assegnare il diritto utente Nega accesso tramite Servizi Desktop remoto a gruppi come Operatori account, Operatori server e Guest. Prestare tuttavia attenzione quando si usa questo metodo perché è possibile bloccare l'accesso agli amministratori legittimi che appartengono anche a un gruppo con il diritto utente Nega accesso tramite Servizi Desktop remoto .
Impatto potenziale
La rimozione del diritto utente Consenti l'accesso tramite Servizi Desktop remoto da altri gruppi (o modifiche di appartenenza a questi gruppi predefiniti) potrebbe limitare le capacità degli utenti che eseguono ruoli amministrativi specifici nell'ambiente. È consigliabile verificare che le attività delegate non siano influenzate negativamente.