什么是 Remote Desktop Users 权限?
-
定义: Remote Desktop Users 是一个内置安全组,允许其成员使用远程桌面连接(Remote Desktop Connection, RDC)登录到计算机。
-
作用: 提供远程访问权限,支持用户从另一台设备通过网络登录到目标计算机的桌面环境。
-
SID: 其安全标识符(SID)为 S-1-5-32-555。
Remote Desktop Users 权限的具体能力
Remote Desktop Users 组的权限专注于远程登录,默认包括:
-
远程桌面访问:
-
登录权限: 可以通过 RDP(如 mstsc)远程连接到计算机。
-
桌面控制: 远程控制目标计算机的桌面、运行程序和访问资源。
-
-
文件和文件夹管理:
-
默认权限:
-
取决于登录账户所属的其他组(如 Users 或 Administrators)。
-
如果属于 Users 组,可以访问自己的用户文件夹(如 C:\Users\用户名)。
-
-
限制:
- 无独立的文件系统权限,权限继承自账户身份。
-
-
系统配置:
- 无权修改系统设置,除非账户同时属于 Administrators 组。
-
特权:
- 拥有 SeRemoteInteractiveLogonRight(通过远程桌面登录的权限),由系统分配。
与 Administrators、Users 和其他组的关系
-
与 Administrators 的对比:
-
Administrators: 拥有完全控制权,默认可通过 RDP 登录。
-
Remote Desktop Users: 仅限于远程登录,权限由账户身份决定。
-
-
与 Users 的对比:
-
Users: 标准用户无权通过 RDP 登录,除非加入此组。
-
Remote Desktop Users: 明确授权远程访问。
-
-
与 Network 的对比:
-
Network: 用于网络资源访问(如文件共享)。
-
Remote Desktop Users: 用于完整的桌面登录。
-
-
与 TrustedInstaller 的关系:
- 无权修改受 TrustedInstaller 保护的系统文件。
Remote Desktop Users 权限的特点
-
默认成员: 默认情况下,该组为空,需手动添加用户。
-
特定性: 权限仅适用于远程桌面登录,不影响本地登录或其他功能。
-
安全性: 通过限制远程访问用户,增强系统安全性。
如何管理 Remote Desktop Users 权限?
-
查看组成员:
- 打开“计算机管理”(compmgmt.msc)→ 本地用户和组 → 组 → Remote Desktop Users。
-
添加成员:
-
管理员可以将用户账户添加到此组:
-
右键 Remote Desktop Users → 添加到组 → 选择用户。
-
命令行:net localgroup "Remote Desktop Users" 用户名 /add。
-
-
-
启用远程桌面:
-
控制面板 → 系统 → 远程设置 → 勾选“允许远程连接到此计算机”。
-
确保选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”(推荐)。
-
-
分配特权:
-
本地安全策略(secpol.msc)→ 本地策略 → 用户权限分配 → “允许通过远程桌面服务登录”:
- 默认分配给 Administrators 和 Remote Desktop Users。
-
-
验证权限:
- 添加后,用户可以使用远程桌面客户端(mstsc)连接。
实际应用场景
-
远程办公: 员工被加入此组,从家中登录公司电脑。
-
技术支持: IT 人员远程访问用户设备进行维护。
-
服务器管理: 在非 Administrators 用户中,授权特定人员远程登录服务器。
注意事项
-
权限依赖账户: 远程登录后的权限由用户所属组决定(如 Users 或 Administrators)。
-
安全性: 建议启用网络级别身份验证(NLA),并使用强密码。
-
防火墙: 确保 RDP 端口(默认 3389)在防火墙中开放。
总结
Remote Desktop Users 权限是为远程桌面登录设计的特殊权限,允许成员通过 RDP 访问系统。它不定义具体资源权限,而是依赖登录账户的身份(如 Users 或 Administrators),低于 TrustedInstaller 的系统保护级别。默认组为空,需手动配置,适用于远程管理和访问场景。