适用范围

介绍 “允许本地登录 ”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。

此策略设置确定哪些用户可以在设备上启动交互式会话。 用户必须具有此用户权限才能通过基于 Windows 的成员设备或域控制器上运行的远程桌面服务会话登录。

注意： 如果具有 “允许通过远程桌面服务登录” 权限，则没有此权限的用户仍然可以在设备上启动远程交互式会话。

常量：SeInteractiveLogonRight

默认情况下，以下组的成员在工作站和服务器上具有此权限：

默认情况下，以下组的成员在域控制器上具有此权限：

计算机配置\策略\Windows 设置\安全设置\本地策略\用户权限分配

下表列出了最新受支持的 Windows 版本的实际和有效的默认策略值。 默认值也列在策略的属性页上。

无需重启设备即可实现此更改。

帐户所有者下次登录时，对帐户的用户权限分配所做的任何更改将生效。

修改此设置可能会影响与客户端、服务和应用程序的兼容性。 从默认域控制器的策略中删除成员设备和域中域控制器上的组件和程序使用的服务帐户时，请谨慎。 删除登录到域中成员设备的控制台的用户或安全组，或删除本地安全帐户管理器中定义的服务帐户 (SAM) 成员设备或工作组设备的数据库时，也请谨慎。 如果要授予用户帐户在本地登录到域控制器的能力，则必须使该用户成为已具有 “允许登录本地 系统”权限的组的成员，或授予该用户帐户的权限。 域中的域控制器共享默认域控制器组策略对象 (GPO) 。 向帐户授予 “允许本地登录 ”权限时，即允许该帐户在本地登录到域中的所有域控制器。 如果 GPO 的 “允许本地登录 ”设置中列出了“用户组”，则所有域用户可以在本地登录。 “用户”内置组包含“域用户”作为成员。

组策略设置按以下顺序通过 GPO 应用，这将在下一组策略更新时覆盖本地计算机上的设置：

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

具有 “允许本地登录 ”用户权限的任何帐户都可以登录到设备的控制台。 如果不将此用户权限限制为必须登录到计算机控制台的合法用户，则未经授权的用户可以下载并运行恶意软件以提升其权限。

对于域控制器，请将 “仅允许本地登录 ”用户权限分配给管理员组。 对于其他服务器角色，除了管理员之外，还可以选择添加备份操作员。 对于最终用户计算机，还应将此权限分配给用户组。 或者，可以将“帐户操作员”、“服务器操作员”和“来宾”等组分配给 “拒绝本地登录 ”用户权限。

如果删除这些默认组，则可以限制分配给环境中特定管理角色的用户的功能。 如果已安装可选组件（如 ASP.NET 或 IIS），则可能需要将 “允许本地登录 ”用户权限分配给这些组件所需的其他帐户。 IIS 要求将此用户权限分配给 IUSR_ 帐户。 应确认委托的活动不会受到对 允许登录本地 用户权限分配所做的任何更改的不利影响。