Запретить локальный вход Deny log on locally

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для параметра локальной политики безопасности «Запретить вход». Describes the best practices, location, values, policy management, and security considerations for the Deny log on locally security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи не могут войти непосредственно в консоль устройства. This policy setting determines which users are prevented from logging on directly at the device’s console.

Константа: SeDenyInteractiveLogonRight Constant: SeDenyInteractiveLogonRight

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Не определено Not defined

Рекомендации Best practices

1. Назначьте локальному пользователю право запретить вход в систему локальной гостевой учетной записи, чтобы ограничить доступ потенциально неавторизованной учетной записи. Assign the Deny log on locally user right to the local guest account to restrict access by potentially unauthorized users.
2. Проверьте изменения этого параметра политики в **** сочетании с параметром локальной политики «Разрешить вход в систему», чтобы определить, подчиняется ли учетная запись пользователя обеим политикам. Test your modifications to this policy setting in conjunction with the Allow log on locally policy setting to determine if the user account is subject to both policies.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Не определено Not defined
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Не определено Not defined
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Не определено Not defined
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Не определено Not defined

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Если применить этот параметр политики к группе «Все», никто не сможет войти локально. If you apply this policy setting to the Everyone group, no one will be able to log on locally.

Групповая политика Group Policy

Этот параметр политики перемежает параметр локальной политики «Разрешить вход в систему», если к учетной записи пользователя налагаются обе политики. **** This policy setting supersedes the Allow log on locally policy setting if a user account is subject to both policies.

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Для входа в консоль устройства можно использовать любую учетную запись с возможностью локального входа. Any account with the ability to log on locally could be used to log on at the console of the device. Если это право пользователя не ограничено только законными пользователями, которым необходимо войти в консоль устройства, неавторизованные пользователи могут скачать и запустить вредоносное ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, которое повышает их права. If this user right is not restricted to legitimate users who must log on to the console of the device, unauthorized users might download and run malicious software that elevates their user rights.

Противодействие Countermeasure

Назначьте локальному пользователю право «Запретить вход» локальной гостевой учетной записи. Assign the Deny log on locally user right to the local Guest account. Если установлены необязательные компоненты, например ASP.NET, может потребоваться назначить это право пользователю дополнительным учетным записям, которые необходимы этим компонентам. If you have installed optional components such as ASP.NET, you may want to assign this user right to additional accounts that are required by those components.

Возможное влияние Potential impact

Если вы **** назначите право «Запретить вход на локальном компьютере» дополнительным учетным записям, можно ограничить возможности пользователей, которым назначены определенные роли в вашей среде. If you assign the Deny log on locally user right to additional accounts, you could limit the abilities of users who are assigned to specific roles in your environment. Однако это право пользователя должно быть явно назначено учетной записи ASPNET на устройстве, настроенном с ролью веб-сервера. However, this user right should explicitly be assigned to the ASPNET account on device that are configured with the Web Server role. Необходимо подтвердить, что делегирование действий не оказывает отрицательного влияния. You should confirm that delegated activities are not adversely affected.

CopyPaste

Простыми словами о сложном

7 июл. 2014 г.

Этот метод входа запрещено использовать

Привет. Имея контроллер домена (КД), под управление вин 2012 р2 Мне нужно было разрешить одному из созданных на КД пользователей (назвал я его rds1) вход на этот же КД (локальный вход).

Выйдя с учетной записи администратора КД пытаюсь войти под rds1 и получаю «Этот метод входа запрещено использовать».

Это все сделано продумано корпорацией MS, потому как, для чего обычному пользователю входить на КД?! Обычный пользователь без проблем может зайти и под TS ролями или RDS службой, а локальный вход по умолчанию для простых пользователей запрещен.

Покажу как разрешить вход локального пользователя;

· Открыл gpmc.msc после чего выбрал Объекты групповой политики

· Выбирал политику Default Domain Controllers Policy и нажал Изменить

· Перешел по пути Конфигурация компостера – политики – конфигурация windows –параметры безопасности — локальные политики – назначение прав пользователя – открыл параметр локальный вход в систему

· Добавил пользователя rds1 в разрешение локального входа

· Сделал gpupdate /force в cmd

Теперь могу делать win+l на кд и входить под rds1

Этот метод входа запрещено использовать»

Ответы

Вы делаете неправильно.

После выбора политики нужно через локальное меню по команде «Изменить» запустить ее редактор,

перейти в узел Конфигурация компьютера/Политики/Конфигурация Windows/Параметры безопасности/Локальные политики/Назначение прав пользователя, найти там политику Локальный вход в систему и отредактировать её.

PS Названия разделов политики пишу по памяти, могут быть некоторые неточности.

• Предложено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 8 июля 2014 г. 13:55
• Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 17 июля 2014 г. 11:09

Все ответы

Проверьте групповые политики.

Может быть ошибочно указали группу для применения.

Куда глядеть в групповых подскажите?

профан в этом деле, так что извините. Дефолтные групповые у меня и только единственная политика которая отвечает за возможность управления подключенных клиентов через терминалы

сервер, поднят домен, в нем созданные пользователи, которые будут подключаться к TS, так вот пользователи могут подключаться к TS, а когда я после win+l хочу зайти под пользовательской учеткой (это я имел ввиду под словом «локально») то получаю ошибку. Админ учетка без данной ошибки входит в свою учетку.

Да, был доступ, заходил без проблем под пользователем.

Смотрите в консоли управления групповой политикой, узел результирующая политика, какая именно политика устанавливает у вас право пользователя Logon locally. Скорее всего, это Default Domain Controller Policy: в ней, насколько я помню, это право по умолчанию предоставляется только ряду привилегированных групп (Adminstrators, Server Opertors и т.п.), но не всем пользователям (Users, Domain Users).

Когда найёте эту политику — можете её поменять и после её применния (вручную — gpupdate, но на КД она и сама применяется весьма часто) пользователи смогут заходить локально.

Этот метод входа запрещено использовать»

Ответы

Вы делаете неправильно.

После выбора политики нужно через локальное меню по команде «Изменить» запустить ее редактор,

перейти в узел Конфигурация компьютера/Политики/Конфигурация Windows/Параметры безопасности/Локальные политики/Назначение прав пользователя, найти там политику Локальный вход в систему и отредактировать её.

PS Названия разделов политики пишу по памяти, могут быть некоторые неточности.

• Предложено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 8 июля 2014 г. 13:55
• Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 17 июля 2014 г. 11:09

Все ответы

Проверьте групповые политики.

Может быть ошибочно указали группу для применения.

Куда глядеть в групповых подскажите?

профан в этом деле, так что извините. Дефолтные групповые у меня и только единственная политика которая отвечает за возможность управления подключенных клиентов через терминалы

сервер, поднят домен, в нем созданные пользователи, которые будут подключаться к TS, так вот пользователи могут подключаться к TS, а когда я после win+l хочу зайти под пользовательской учеткой (это я имел ввиду под словом «локально») то получаю ошибку. Админ учетка без данной ошибки входит в свою учетку.

Да, был доступ, заходил без проблем под пользователем.

Смотрите в консоли управления групповой политикой, узел результирующая политика, какая именно политика устанавливает у вас право пользователя Logon locally. Скорее всего, это Default Domain Controller Policy: в ней, насколько я помню, это право по умолчанию предоставляется только ряду привилегированных групп (Adminstrators, Server Opertors и т.п.), но не всем пользователям (Users, Domain Users).

Когда найёте эту политику — можете её поменять и после её применния (вручную — gpupdate, но на КД она и сама применяется весьма часто) пользователи смогут заходить локально.