Существуют ли риски / недостатки при создании пользователей, которые должны войти в систему с помощью LogonType "Batch"

Я являюсь поставщиком, предоставляющим инструкции для моих пользователей, чтобы охватить ситуацию, когда они хотят создавать пользователей на сервере Windows просто с целью аутентификации.

Примечание. Active Directory не задействована или недоступна.

Эти пользователи не должны иметь никаких других привилегий, никакого интерактивного или сетевого доступа к этому серверу.

Эти пользователи создаются с использованием следующего сценария CMD.

@echo off

echo Create group dbFrontUsers.
net localgroup dbFrontUsers /ADD

for /F "tokens=*" %%A in (UserList.txt) do (
  echo Create user '%%A'
  net user %%A changeM3! /add /comment:"10.5.2011" /fullname:"dbFront User %%A"
  net localgroup "dbFrontUsers" %%A /add
  ntrights -u %%A +r SeDenyNetworkLogonRight
  ntrights -u %%A +r SeDenyInteractiveLogonRight
  ntrights -u %%A +r SeBatchLogonRight
  ntrights -u %%A -r SeDenyBatchLogonRight
  ntrights -u %%A +r SeDenyServiceLogonRight
  ntrights -u %%A +r SeDenyRemoteInteractiveLogonRight
)

Где UserList.txt - текстовый файл, содержащий простой список допустимых имен пользователей. А ntrights - это инструмент для создания ресурсов для настройки прав отдельных пользователей.

Затем мое приложение настроено на проверку всех запросов на вход в систему путем запроса к серверу с использованием LoginType Batch.

Мой вопрос: есть ли у этих пользователей неожиданные привилегии, которыми можно злоупотреблять извне, или это каким-то образом ставит под угрозу хост-сервер?

Чтобы поднять ставку, некоторые из моих клиентов могут намеренно делать это на веб-сервере.