Che senso ha avere RemoteDesktopUsers senza il privilegio di "accesso tramite Servizi Desktop remoto"? [chiuso]

Recentemente Microsoft ha modificato i criteri predefiniti nei sistemi operativi guest Windows Azure (Windows 2008, Windows 2008 R2 e Windows 2012). Una delle modifiche è che ora solo i membri del Administratorsgruppo hanno "Consenti accesso tramite Servizi Desktop remoto" e i membri di RemoteDesktopUsersnon hanno più il privilegio.

Ora, come ha senso? RemoteDesktopUsersè il gruppo destinato a consentire l'accesso tramite Desktop remoto e se questo privilegio viene revocato il gruppo non ha senso.

Che senso ha avere RemoteDesktopUsers senza il privilegio di "accesso tramite Servizi Desktop remoto"?

Immagino che l'idea sia quella di offrire una versione più bloccata e pronta all'uso.

Il gruppo come accennato non ha senso dal momento che è il suo unico scopo, ma noterai che è esattamente quello che hanno fatto in questo aggiornamento anche su diverse altre politiche.

Come esempio

Consenti accesso locale: Da: amministratori, utenti, backupOperatori a: amministratori

E

Comportamento del prompt di elevazione per utenti standard Da: Richiedi credenziali sul desktop sicuro A: Richiedi credenziali.

Pertanto, come criterio predefinito, stanno tentando di inviare un ambiente solo amministratore per impostazione predefinita. Perché? Perché vogliono ridurre la superficie di attacco rendendo più difficile l'escalation dei privilegi.

C'è da discutere se l'eliminazione di gruppi / utenti predefiniti sia effettivamente efficace e se le loro politiche di sicurezza abbiano un senso.

Un altro motivo potrebbe essere nascosto tra le righe

[..] sono stati implementati per soddisfare le raccomandazioni di sicurezza e conformità . dove a volte viene divorato il buon senso.