O que dá aos usuários permissão para efetuar logon no Windows Server?

Navegue suas respostas
2

Sou relativamente novo no Windows Server e gostaria que alguém confirmasse se meu entendimento das permissões necessárias para os usuários fazerem logon em um servidor Windows 2008 R2 em um domínio do Windows está correto:

  1. Qualquer pessoa no grupo Administradores pode efetuar login no servidor fisicamente no servidor ou por meio de uma janela mstsc remota, especificando seu nome de usuário na janela Logon.

  2. O grupo Administradores pode fazer tudo o que os outros grupos podem.

  3. Qualquer pessoa no grupo Área de Trabalho Remota pode executar o mstsc a partir de um computador cliente e ver a tela de logon do servidor.

  4. Qualquer pessoa no grupo de usuários pode fazer login no servidor em sua tela de login.

Portanto, os seguintes cenários são verdadeiros:

  1. O usuário DOMAIN\JOHN está nos Usuários da Área de Trabalho Remota no grupo DOMAIN\SERVER1 , mas não no grupo de usuários nesse servidor. O usuário DOMAIN\JANE está no grupo de usuários, mas não no grupo Usuários da Área de Trabalho Remota.

    • John pode iniciar um mstsc de DOMAIN\PC1 as DOMAIN\JOHN e ele verá a tela de login, mas não poderá fazer login como DOMAIN\JOHN , mas poderá fazer login como DOMAIN\JANE .

  2. O usuário DOMAIN\JAMES está no grupo Administradores em DOMAIN\SERVER1 , mas não no grupo Usuários ou Usuários da Área de Trabalho Remota. Ele poderá iniciar uma sessão mstsc em DOMAIN\SERVER1 de DOMAIN\PC2 as DOMAIN\JAMES e ver a tela de login e efetuar login como DOMAIN\JAMES .

  3. O usuário DOMAIN\JACK está no grupo Usuários em DOMAIN\SERVER1 , mas não no grupo Usuários da Área de Trabalho Remota. Jack pode obter acesso ao servidor, mas somente através de acesso físico ao próprio servidor (porque ele não pode acessar o servidor via RDP).

  4. O usuário DOMAIN\JILL está conectado em DOMAIN\PC1 , executa mstsc, insere o nome de usuário DOMAIN\JOHN nas configurações de logon do mstsc, vê a tela de login do servidor e insere DOMAIN\JANE e a área de trabalho do servidor é exibida. / p>

Desculpe se isso parece bastante trivial, mas é do meu conhecimento ler um pouco e seria ótimo se alguém pudesse confirmar se estou correto.

    
por SEarle1986 23.02.2017 / 13:19

1 resposta

0

Depende.

A resposta às suas perguntas depende se os usuários e grupos que você está considerando têm os direitos de usuário necessários para fazer logon no computador.

A permissão para fazer logon no Windows Server é controlada por duas Política de Grupo configurações. Ambos estão localizados em:

Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment

Se, em vez disso, você estiver editando a Diretiva de grupo local ( GP do domínio), as configurações são encontradas em:

Local Policies/User Rights Assignment

As duas configurações e suas funções são as seguintes:

1. "Permitir logon localmente"

De acordo com o TechNet :

This policy setting determines which users can start an interactive session on the computer.

Em outras palavras, isso controla quem pode fazer logon através do console "físico" do computador. No caso de uma máquina virtual, isso seria um logon através da interface de gerenciamento da máquina virtual.

O artigo acima confirma que esse direito não é necessário para estabelecer uma sessão da Área de Trabalho Remota:

Users who do not have this right are still able to start a remote interactive session on the computer if they have the Allow logon through Remote Desktop Services right.

A menos que o computador seja membro do domínio ou computador do Controlador de domínio:

Users must have this user right to log on over a Remote Desktop Services or Terminal Services session that is running on a Windows-based member computer or domain controller.

2. "Permitir logon pelos serviços de área de trabalho remota"

De acordo com o TechNet :

This policy setting determines which users or groups can access the logon screen of a remote computer through a Remote Desktop Services connection. It is possible for a user to establish a Remote Desktop Services connection to a particular server but not be able to log on to the console of that same server.

O motivo pelo qual um usuário pode estabelecer uma sessão da Área de Trabalho Remota, mas não poder fazer logon no console, é porque ela exige o direito "Permitir logon local", o que, conforme mencionado acima, não é necessário em todos casos para logon remotamente.

Os artigos do TechNet relacionados acima explicam quais usuários e grupos recebem esses direitos de logon por padrão. No entanto, editando essas duas configurações que podem ser alteradas. É por esse motivo que a resposta às suas perguntas depende de como o seu servidor (e o domínio em que está) está configurado.

    
por 25.02.2017 / 22:21

Tags

A intercalação do nó NUMA não funciona para o MariaDB hostname [privado / dovecot-lmtp]: 550 5.1.1 [email protected] O usuário não existe: [email protected]