组策略限制3389登录的绕过方式-Windows系列-PHP中文网

组策略限制3389登录的绕过方式

蓮花仙者

发布： 2025-09-09 08:32:10

原创

596人浏览过

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

症状：

要登录到这台远程计算机，您必须被授予允许通过终端服务登录的权限。默认地，“远程桌面用户”组的成员拥有该权限，如果您不是“远程桌面用户”组或其他拥有该权限的组的成员，或者如果“远程桌面用户”组没有该权限，您必须被手动授予该权限。

2003组策略拒绝远程登录错误

2008组策略拒绝远程登录错误

2012组策略拒绝远程登录错误

原因：

因为目标机器设置了组策略用户权限分配中的“拒绝通过远程桌面服务登录”或“拒绝本地登录”选项，所以在进行远程终端连接时就会出现上图报错提示。

组策略“拒绝通过远程桌面服务登录”

解决方案：

(1) 将目标机器sethc.exe、Utilman.exe等程序替换为cmd.exe或taskmgr.exe，然后在gpedit.msc组策略中修改用户权限分配的“拒绝通过远程桌面服务登录”或“拒绝本地登录”选项。

(2) 通过命令行导出/修改/导入/更新本地组策略。

代码语言：javascript代码运行次数：0运行复制

secedit /export /cfg c:\gp.inf /quiet                     //导出组策略secedit /configure /db c:\gp.sdb /cfg c:\gp.inf /quiet    //导入组策略gpupdate /force     //更新组策略

登录后复制

拒绝本地登陆：

说明：此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置，则前者会取代后者。

代码语言：javascript代码运行次数：0运行复制

SeDenyInteractiveLogonRight = Guest

登录后复制

拒绝通过远程桌面服务登录：

说明：此安全设置确定禁止哪些用户和组作为远程桌面服务客户端登录。

代码语言：javascript代码运行次数：0运行复制

SeDenyRemoteInteractiveLogonRight = Administrator

登录后复制

允许本地登陆：

说明：确定哪些用户可以登录到该计算机。

代码语言：javascript代码运行次数：0运行复制

SeInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551*S-1-5-32-544：Administrators*S-1-5-32-545：Users*S-1-5-32-551：Backup Operators

登录后复制

允许通过远程桌面服务登录：

说明：此安全设置确定哪些用户或组具有作为远程桌面服务客户端登录的权限。

代码语言：javascript代码运行次数：0运行复制

SeRemoteInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-555*S-1-5-32-544：Administrators*S-1-5-32-555：Remote Desktop Users

登录后复制

Windows组策略导出的配置文件：

代码语言：javascript代码运行次数：0运行复制

[System Access]MinimumPasswordAge = 0                  //密码最短留存期MaximumPasswordAge = 42                 //密码最长留存期MinimumPasswordLength = 0               //密码长度最小值PasswordComplexity = 0                  //密码必须符合复杂性要求PasswordHistorySize = 0                 //强制密码历史N个记住的密码LockoutBadCount = 5                     //账户锁定阈值ResetLockoutCount = 30                  //账户锁定时间LockoutDuration = 30                    //复位账户锁定计数器RequireLogonToChangePassword = 0        //下次登录必须更改密码ForceLogoffWhenHourExpire = 0           //强制过期NewAdministratorName = "Administrator"  //管理员账户名称NewGuestName = "Guest"                  //来宾账户名称ClearTextPassword = 0LSAAnonymousNameLookup = 0EnableAdminAccount = 1                  //Administrator是否禁用EnableGuestAccount = 0                  //Guest是否禁用[...SNIP...][Privilege Rights]SeDenyInteractiveLogonRight = GuestSeDenyRemoteInteractiveLogonRight = *S-1-5-32-544SeInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551SeRemoteInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-555SeDenyNetworkLogonRight = GuestSeAssignPrimaryTokenPrivilege = *S-1-5-19,*S-1-5-20,Classic .NET AppPool,DefaultAppPool,PhpMyAdmin_HWS,testing[...SNIP...]

登录后复制

Windows组策略（用户权限分配）常量名：

组策略设置

常量名

作为受信任的调用方访问凭据管理器

SeTrustedCredManAccessPrivilege

从网络访问此计算机

SeNetworkLogonRight

作为操作系统的一部分运行

SeTcbPrivilege

将工作站添加到域

SeMachineAccountPrivilege