是否应该从Windows服务器中删除“用户”组“允许本地登录”安全GPO设置？

Question

我知道，在默认情况下，RDP不允许任何非管理员用户将RDP放入机器，除非我们指定它。但是非管理员用户可以在控制台上登录到机器上。

我查看了用户权限分配安全设置组下的“允许在本地登录”GPO安全设置，默认情况下，以下内容可以在本地登录：

• 在工作站和服务器上:管理员、备份操作员、超级用户、用户和来宾。
• 在域控制器上:帐户操作员、管理员、备份操作符和打印操作符。

在默认情况下，“域用户”是控制台访问服务器的成员，允许“用户”组中的任何人访问服务器，这不是一种安全风险吗？我一直很好奇，为什么微软允许用户和来宾群访问服务器。

我认为从这个安全策略中删除Guest和用户将是服务器的最佳实践。

Answer 1

我相信你自己回答了你的问题。用户和来宾帐户不应该在服务器上拥有“允许本地登录”的权限，只有管理员(如果需要的话还有备份操作符)。

以下是描述安全对策的MS KBA：

https://technet.microsoft.com/en-us/library/dn221980.aspx

引用：

“对于域控制器，只将”允许本地登录“用户权限分配给Administrators组。对于其他服务器角色，除了管理员之外，还可以选择添加备份操作符。对于最终用户计算机，还应该将此权限分配给”用户组“。或者，您可以指定组，如帐户操作员、服务器操作员和来宾，以拒绝本地用户权限。”