Какой смысл иметь RemoteDesktopUsers без привилегии «входить через службы удаленных рабочих столов»? [закрыто]

Недавно Microsoft изменила политики по умолчанию в гостевых ОС Windows Azure (Windows 2008, Windows 2008 R2 и Windows 2012). Одним из изменений является то, что теперь только члены Administratorsгруппы имеют «Разрешить вход в систему через службы удаленных рабочих столов», а участники RemoteDesktopUsersбольше не имеют привилегий.

Теперь, как это имеет смысл? RemoteDesktopUsersэто группа, предназначенная для разрешения входа через удаленный рабочий стол, и если эта привилегия отозвана, группа не имеет смысла.

Какой смысл иметь RemoteDesktopUsers без привилегии «входить через службы удаленных рабочих столов»?

Я предполагаю, что идея состоит в том, чтобы предложить более закрытую версию из коробки.

Упомянутая вами группа не имеет смысла, так как это ее единственная цель, но вы заметите, что именно это они и сделали в этом обновлении и для некоторых других политик.

Например

Разрешить вход в систему локально: От: Администраторы, Пользователи, BackupOperators Кому: Администраторы

А также

Поведение запроса на повышение прав для обычных пользователей. От: Запрос учетных данных на защищенном рабочем столе. Кому: Запрос учетных данных.

Таким образом, в качестве политики по умолчанию они пытаются использовать только среду администратора. Почему? Потому что они хотят уменьшить поверхность атаки, усложнив повышение привилегий.

Необходимо обсудить, действительно ли эффективно удаление групп / пользователей по умолчанию и имеют ли смысл их политики безопасности.

Другая причина может быть скрыта между строк

[..] были реализованы в соответствии с рекомендациями безопасности и соответствия . где иногда здравый смысл пожирается.