Недавно Microsoft изменила политики по умолчанию в гостевых ОС Windows Azure (Windows 2008, Windows 2008 R2 и Windows 2012). Одним из изменений является то, что теперь только члены Administrators
группы имеют «Разрешить вход в систему через службы удаленных рабочих столов», а участники RemoteDesktopUsers
больше не имеют привилегий.
Теперь, как это имеет смысл? RemoteDesktopUsers
это группа, предназначенная для разрешения входа через удаленный рабочий стол, и если эта привилегия отозвана, группа не имеет смысла.
Какой смысл иметь RemoteDesktopUsers без привилегии «входить через службы удаленных рабочих столов»?
RemoteDesktopUsers
группе?Ответы:
Я предполагаю, что идея состоит в том, чтобы предложить более закрытую версию из коробки.
Упомянутая вами группа не имеет смысла, так как это ее единственная цель, но вы заметите, что именно это они и сделали в этом обновлении и для некоторых других политик.
Например
А также
Таким образом, в качестве политики по умолчанию они пытаются использовать только среду администратора. Почему? Потому что они хотят уменьшить поверхность атаки, усложнив повышение привилегий.
Необходимо обсудить, действительно ли эффективно удаление групп / пользователей по умолчанию и имеют ли смысл их политики безопасности.
Другая причина может быть скрыта между строк
источник