Дополнительные привилегии пользователей службы терминалов


Для поддержки работы старых программ совместно со службами терминалов, пользователям предоставляются дополнительные привилегии, которые можно аннулировать.

В ОС Windows предоставляются два дополнительных шаблона безопасности: NOTSSID.INF и DEFLTSV.INF. Шаблон NOTSSID.INF удаляет дополнительные привилегии, а шаблон DEFLTSV.INF, в свою очередь, присваивают привилегиям параметры, принятые по умолчанию. Для аннулирования привилегий сделайте следующее.

  1.  Начните сеанс работы с командной строкой (CMD.EXE).

  2.  Перейдите в папку %systemroot%securitytemplates:

cd /d %systemroot%securitytemplates

  3.  Внесите в систему информацию из файла NOTSSID.INF:

secedit /configure /db notssid.sb /cfg notssid.inf /verbose

Для возврата привилегий, принятых по умолчанию, сделайте следующее.

  1.  Начните сеанс работы с командной строкой (CMD.EXE).

  2.  Перейдите в папку %systemroot%inf.

cd /d %systemroot%inf

  3.  Внесите в систему информацию из файла DEFLTSV.INF:

secedit /configure /cfg defltsv.inf /db defltsv.sb /log defltsv.log /verbose

Описываемые изменения можно внести непосредственно в системный реестр. Это позволит отменить запись пользователей, зарегистрированных с помощью служб терминалов, в группу TERMINAL SERVER USERS, благодаря чему предотвращается предоставление пользователям дополнительных разрешений.

  1.  Откройте редактор системного реестра (REGEDIT.EXE).

  2.  Перейдите к разделу HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server.

  3.  Дважды кликните на записи TSUserEnabled.

  4.  Присвойте записи значение 1, чтобы все пользователи, которые зарегистрировались с помощью службы терминалов, записывались в в группу Terminal Server Users и значение 0, чтобы пользователи не входили в данную группу.

  5.  Кликните на кнопке OK.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*