「リモートデスクトップサービスを介したログオン」権限なしでRemoteDesktopUsersを使用する意味は何ですか？[閉まっている]

最近、MicrosoftはWindows AzureゲストOS（Windows 2008、Windows 2008 R2およびWindows 2012）のデフォルトポリシーを変更しました。変更の1つは、Administratorsグループのメンバーのみが「リモートデスクトップサービスを介したログオンを許可する」を持ち、メンバーにRemoteDesktopUsersは特権がなくなったことです。

さて、それはどういう意味ですか？RemoteDesktopUsersリモートデスクトップ経由のログオンを許可することを目的としたグループです。この権限が取り消された場合、グループは意味がありません。

「リモートデスクトップサービスを介したログオン」権限なしでRemoteDesktopUsersを使用する意味は何ですか？

アイデアは、よりロックダウンされたバージョンを箱から出して提供することだと思います。

あなたが言及しているグループは、それが唯一の目的であるため意味をなさないが、これは、他のいくつかのポリシーについても、このアップデートで彼らが行ったこととまったく同じであることに気付くでしょう。

例として

ローカルでのログオンを許可する：送信者： Administrators、Users、BackupOperators To： Administrators

そして

標準ユーザーに対する昇格時のプロンプトの動作開始： セキュアデスクトップ で資格情報を要求する宛先：資格情報を要求する。

したがって、デフォルトのポリシーとして、彼らはデフォルトで管理者のみの環境にプッシュしようとしています。どうして？特権の昇格を困難にすることで攻撃対象を縮小したいからです。

デフォルトのグループ/ユーザーを削除することが実際に効果的であるかどうか、およびそれらのセキュリティポリシーが理にかなっているかどうかについて話し合う必要があります。

行間に別の理由が隠されている可能性があります

[..]セキュリティとコンプライアンスの推奨事項を満たすために実装されています。時には常識がむさぼり食われるところ。