私が指定しない限り、デフォルトではRDPが管理者以外のユーザーにマシンへのRDPを許可しないことを知っています。ただし、管理者以外のユーザーは、コンソールでマシンにログオンできます。
「ローカルログオンを許可する」を確認していましたGPOユーザー権利の割り当てのセキュリティ設定グループの下のセキュリティ設定で、デフォルトでは次のようにローカルログオンが可能です。
これは、デフォルトで「ドメインユーザー」がサーバーへのコンソールアクセスのメンバーである「ユーザー」グループのすべてのユーザーを許可するセキュリティリスクではありませんか?マイクロソフトがユーザーおよびゲストグループにサーバーへのアクセスを許可する理由を常に知りました。
このセキュリティポリシーからゲストとユーザーの両方を削除することは、サーバーのベストプラクティスになると思います。
あなたはあなた自身の質問に正しく答えたと思います。ユーザーおよびゲストアカウントには、serversに対する「ローカルログオンを許可する」権限は付与せず、管理者(および必要に応じてバックアップオペレーター)のみに付与してください。
セキュリティ対策が記載されたMS KBAは次のとおりです。
https://technet.Microsoft.com/en-us/library/dn221980.aspx
見積もり:
「ドメインコントローラーの場合、ローカルログオンを許可するユーザー権利を管理者グループにのみ割り当てます。他のサーバーの役割では、管理者に加えてバックアップオペレーターを追加することを選択できます。エンドユーザーのコンピューターでは、この権利をユーザーグループ。
または、アカウントオペレーター、サーバーオペレーター、ゲストなどのグループをローカルログオンの拒否ユーザー権利に割り当てることもできます。