web-dev-qa-db-ja.com

"ユーザー"グループをWindowsサーバーから削除する必要があります "ローカルログオンを許可"セキュリティGPO設定?

私が指定しない限り、デフォルトではRDPが管理者以外のユーザーにマシンへのRDPを許可しないことを知っています。ただし、管理者以外のユーザーは、コンソールでマシンにログオンできます。

「ローカルログオンを許可する」を確認していましたGPOユーザー権利の割り当てのセキュリティ設定グループの下のセキュリティ設定で、デフォルトでは次のようにローカルログオンが可能です。

  • ワークステーションとサーバー:管理者、バックアップオペレーター、パワーユーザー、ユーザー、ゲスト。
  • ドメインコントローラー:アカウントオペレーター、管理者、バックアップオペレーター、および印刷オペレーター。

これは、デフォルトで「ドメインユーザー」がサーバーへのコンソールアクセスのメンバーである「ユーザー」グループのすべてのユーザーを許可するセキュリティリスクではありませんか?マイクロソフトがユーザーおよびゲストグループにサーバーへのアクセスを許可する理由を常に知りました。

このセキュリティポリシーからゲストとユーザーの両方を削除することは、サーバーのベストプラクティスになると思います。

windows-servergroup-policy
6
cflyer

あなたはあなた自身の質問に正しく答えたと思います。ユーザーおよびゲストアカウントには、serversに対する「ローカルログオンを許可する」権限は付与せず、管理者(および必要に応じてバックアップオペレーター)のみに付与してください。

セキュリティ対策が記載されたMS KBAは次のとおりです。

https://technet.Microsoft.com/en-us/library/dn221980.aspx

見積もり:

「ドメインコントローラーの場合、ローカルログオンを許可するユーザー権利を管理者グループにのみ割り当てます。他のサーバーの役割では、管理者に加えてバックアップオペレーターを追加することを選択できます。エンドユーザーのコンピューターでは、この権利をユーザーグループ。

または、アカウントオペレーター、サーバーオペレーター、ゲストなどのグループをローカルログオンの拒否ユーザー権利に割り当てることもできます。

5
Stef Heylen