Windows-技术

Console Logon

By wooblog

什么是 Console Logon 权限?

  • 定义: Console Logon 指的是用户通过本地计算机的物理控制台(即直接坐在设备前使用键盘和屏幕)登录系统的方式。其对应的安全标识(SID)通常归类为交互式登录(S-1-5-4)。

  • 作用: 用于区分本地物理登录与远程登录(如远程桌面 RDP)或非交互式登录(如批处理或服务),并分配相应的权限。

  • 典型场景: 用户在开机后输入用户名和密码登录 Windows,即为 Console Logon。

Console Logon 权限的具体能力

Console Logon 的权限取决于登录用户的账户及其所属组,默认包括:

  1. 文件和文件夹管理:

    • 默认权限:

      • 取决于用户所属组(如 Users、Administrators)。

      • 如果是 Users 组,可以读写自己的文件夹(如 C:\Users\用户名),对系统文件夹只有读取和执行权限。

      • 如果是 Administrators 组,则有完全控制权。

    • 限制: 无独立权限,继承自用户账户。

  2. 系统配置:

    • Users 组:仅限个人设置。

    • Administrators 组:可修改全局设置。

  3. 软件和进程:

    • 可以运行程序,权限由账户决定。

  4. 特权:

    • 默认拥有 SeInteractiveLogonRight(本地登录权限),允许通过控制台登录。

与 Batch、Service 和其他登录类型的对比

  • 与 Batch 的对比:

    • Batch: 非交互式后台任务,无需物理控制台。

    • Console Logon: 交互式本地登录,需用户直接操作。

  • 与 Service 的对比:

    • Service: 服务进程以系统或服务账户运行。

    • Console Logon: 用户通过物理控制台登录。

  • 与 Remote Interactive Logon 的对比:

    • Remote Interactive Logon: 通过远程桌面(RDP)登录。

    • Console Logon: 物理本地登录。

  • 与 Administrators 和 TrustedInstaller 的关系:

    • 权限由账户所属组决定,Console Logon 本身无特殊权限,低于 TrustedInstaller 的系统保护级别。

Console Logon 权限的特点

  • 交互性: 表示用户直接与设备交互,区别于远程或自动化登录。

  • 默认分配: 所有本地账户默认拥有通过控制台登录的权限(除非策略限制)。

  • 动态性: 权限随登录账户变化(如 Users 或 Administrators)。

如何管理 Console Logon 权限?

  1. 查看权限:

    • Console Logon 本身不直接出现在文件权限中,需检查用户账户的组成员身份。

    • 打开“计算机管理”(compmgmt.msc)→ 本地用户和组 → 用户 → 查看账户属性。

  2. 分配特权:

    • 本地安全策略(secpol.msc)→ 本地策略 → 用户权限分配:

      • “本地登录”:默认分配给 Administrators、Users、Guests 等组,控制谁可以通过控制台登录。

      • “拒绝本地登录”:可用于禁止特定用户通过控制台登录。

  3. 限制 Console Logon:

    • 通过组策略(gpedit.msc)或安全策略,移除某些账户的本地登录权限。

  4. 检查登录事件:

    • 事件查看器(eventvwr.msc)→ Windows 日志 → 安全 → 查看登录类型(Logon Type 2 表示交互式登录,通常包括 Console Logon)。

实际应用场景

  • 日常使用: 用户在家用电脑上开机登录,即使用 Console Logon 权限。

  • 权限管理: 企业中通过策略限制某些账户只能远程登录,禁止 Console Logon。

  • 故障排除: 以管理员账户通过控制台登录,修复系统问题。

注意事项

  • 权限依赖账户: Console Logon 无独立权限,实际能力由用户所属组(如 Users 或 Administrators)决定。

  • 与 UAC 的关系: 即使是 Administrators 组的账户,通过控制台登录后,某些操作仍需 UAC 提升。

  • 安全性: 如果设备物理访问未受保护,Console Logon 可能被滥用(需设置强密码或禁用不必要账户)。

总结

Console Logon 权限是指通过本地物理控制台登录系统时的权限状态,与交互式登录相关。它的权限范围完全取决于登录账户所属的安全组(如 Users 提供基本访问,Administrators 提供完全控制),无独立权限定义。相比 Batch(批处理)或 Service(服务)登录,它是交互式的;相比 TrustedInstaller,它权限低于系统保护级别。管理上通过安全策略控制,适用于本地用户操作场景。

Batch
Creator Group

登录

还没有账号吗? 注册

忘记密码?

注册

重设密码

请输入您的用户名或电子邮箱地址。您会收到一封包含创建新密码链接的电子邮件。