Was macht es für einen Sinn, RemoteDesktopUsers ohne die Berechtigung "Über Remotedesktopdienste anmelden" zu haben? [geschlossen]

Vor kurzem hat Microsoft die Standardrichtlinien in Windows Azure-Gastbetriebssystemen (Windows 2008, Windows 2008 R2 und Windows 2012) geändert . Eine der Änderungen besteht darin, dass nur Mitglieder der AdministratorsGruppe über "Anmelden über Remotedesktopdienste zulassen" verfügen und Mitglieder von RemoteDesktopUsersnicht mehr über die Berechtigung verfügen.

Wie macht es nun Sinn? RemoteDesktopUsersist die Gruppe, die die Anmeldung über Remotedesktop zulassen soll. Wenn diese Berechtigung widerrufen wird, macht die Gruppe keinen Sinn.

Was macht es für einen Sinn, RemoteDesktopUsers ohne die Berechtigung "Über Remotedesktopdienste anmelden" zu haben?

Ich denke, die Idee ist, eine abgesperrte Version sofort anzubieten.

Die Gruppe, wie Sie sie erwähnen, macht keinen Sinn, da dies ihr einziger Zweck ist. Sie werden jedoch feststellen, dass dies genau das ist, was sie in diesem Update auch für mehrere andere Richtlinien getan haben.

Als Beispiel

Lokale Anmeldung zulassen: Von: Administratoren, Benutzer, BackupOperators An: Administratoren

Und

Verhalten der Eingabeaufforderung für Standardbenutzer Von: Aufforderung zur Eingabe von Anmeldeinformationen auf dem sicheren Desktop An: Aufforderung zur Eingabe von Anmeldeinformationen.

Als Standardrichtlinie versuchen sie daher, standardmäßig auf eine Umgebung nur für Administratoren zuzugreifen. Warum? Weil sie die Angriffsfläche verkleinern wollen, indem sie die Eskalation von Privilegien erschweren.

Es ist zu diskutieren, ob das Entfernen von Standardgruppen / Benutzern tatsächlich effektiv ist und ob ihre Sicherheitsrichtlinien sinnvoll sind.

Ein weiterer Grund könnte zwischen den Zeilen verborgen sein

[..] wurden implementiert, um Sicherheits- und Compliance-Empfehlungen zu erfüllen . wo manchmal gesunder Menschenverstand verschlungen wird.