- artykuł
- 10/28/2021
- 2 protokół do czytania
-
-
D -
S 
V -
g -
J -
+1
-
dotyczy
- okien 10
opisuje najlepsze praktyki, lokalizację, wartości, Zarządzanie zasadami i kwestie bezpieczeństwa związane z wymuszaniem wyłączenia z ustawień zasad bezpieczeństwa systemu zdalnego.
odniesienie
to ustawienie zabezpieczeń określa, którzy użytkownicy mogą wyłączyć urządzenie ze zdalnej lokalizacji w sieci. To ustawienie umożliwia członkom grupy Administratorzy lub określonym użytkownikom zarządzanie komputerami (w przypadku zadań takich jak restart) ze zdalnej lokalizacji.
stała: SeRemoteShutdownPrivilege
Możliwe wartości
- zdefiniowana przez użytkownika Lista kont
- Administratorzy
najlepsze praktyki
- wyraźnie ograniczają to prawo użytkownika do członków grupy Administratorzy lub innych przypisanych ról, które wymagają tej możliwości, takich jak operacje nieadministracyjne personel.
lokalizacja
Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\przypisanie praw Użytkownika
wartości domyślne
Domyślnie to ustawienie to administratorzy i operatorzy serwerów na kontrolerach domeny oraz Administratorzy na autonomicznych serwerach.
poniższa tabela zawiera rzeczywiste i skuteczne domyślne wartości zasad dla najnowszych obsługiwanych wersji systemu Windows. Wartości domyślne są również wymienione na stronie właściwości zasady.
| typ serwera lub GPO | wartość domyślna |
|---|---|
| domyślna Polityka domen | Nie zdefiniowano |
| Polityka domyślnego kontrolera domen | Administratorzy operatorzy serwerów |
| domyślne ustawienia serwera | Administratorzy |
| skuteczne ustawienia domyślne kontrolera domeny | Administratorzy operatorzy serwerów |
| skuteczne domyślne ustawienia serwera członka | Administratorzy |
| skuteczne domyślne ustawienia komputera klienta | Administratorzy |
Zarządzanie zasadami
w tej sekcji opisano funkcje, narzędzia i wskazówki ułatwiające zarządzanie tymi zasadami.
ponowne uruchomienie komputera nie jest wymagane, aby to ustawienie zasad było skuteczne.
każda zmiana przypisania praw użytkownika do konta staje się skuteczna przy następnym logowaniu właściciela konta.
to ustawienie zasad musi być zastosowane na komputerze, do którego dostęp jest zdalny.
Group Policy
to prawo użytkownika jest zdefiniowane w domyślnym obiekcie Group Policy kontrolera domeny (GPO) oraz w lokalnej polityce bezpieczeństwa stacji roboczych i serwerów.
ustawienia są stosowane w następującej kolejności za pomocą obiektu zasad grupy (GPO), który zastąpi ustawienia na komputerze lokalnym podczas następnej aktualizacji zasad grupy:
- ustawienia zasad lokalnych
- ustawienia zasad witryny
- ustawienia zasad domeny
- ustawienia zasad OU
gdy ustawienie lokalne jest wyszarzone, oznacza to, że GPO obecnie kontroluje to ustawienie.
względy bezpieczeństwa
w tej sekcji opisano, w jaki sposób atakujący może wykorzystać funkcję lub jej konfigurację, jak wdrożyć środki zaradcze i możliwe negatywne konsekwencje wdrożenia środków zaradczych.
Luka
każdy użytkownik, który może wyłączyć urządzenie, może spowodować wystąpienie warunku odmowy usługi. Dlatego to prawo użytkownika powinno być ściśle ograniczone.
środki zaradcze
Ogranicz wymuszanie wyłączenia z uprawnień użytkownika systemu zdalnego do członków grupy Administratorzy lub innych przypisanych ról, które wymagają tej możliwości, takich jak personel operacyjny nieadministracyjny.
potencjalny wpływ
na kontroler domeny, jeśli usuniesz wymuszone zamykanie zdalnego użytkownika systemu bezpośrednio z grupy operatorów serwera, możesz ograniczyć możliwości użytkowników przypisanych do określonych ról administracyjnych w Twoim środowisku. Potwierdzić, że działania delegowane nie mają negatywnego wpływu.
- Przypisanie Praw Użytkownika