Як відключити доступ RDP для адміністратора

Нам потрібно заборонити обліковому запису адміністратора домену отримувати доступ до сервера безпосередньо через RDP. Наша політика полягає в тому, щоб увійти як звичайний користувач, а потім використовувати функцію Run As Admin. Як ми можемо це встановити?

На розглянутому сервері працює Windows Server 2012 R2 з хостом віддаленого робочого столу та колекцією RD на основі сесії. Дозволені групи користувачів не містять користувача адміністратора домену, але він все одно може ввійти.

Дякую.

remote-desktop windows-terminal-services windows-server-2012-r2

— r0b0
джерело

Ви цього не робите. (наповнювач)

— kinokijuf

Я ніколи не чув про дозвіл налаштування когось для адміністратора домену ... haha

— pulsarjune

Які саме політики ви змінили, перерахуйте їх у своєму запитанні.

— Рамхаунд

@Ramhound Я не думав використовувати GPO, я вважав, що це питання лише якось налаштувати вкладку Служби віддаленого робочого столу.

— r0b0

@pulsarjune Я походжу з фонових зображень Unix, де досить часто вимкнути вхід в систему через ssh і використовувати лише su / sudo. Думаю, це не так у Windows?

— r0b0

Відповіді:

Це здається, що ви шукаєте: http://support.microsoft.com/kb/2258492

Щоб заборонити користувачеві або груповому входу через RDP, явно встановіть привілей "Заборонити вхід через послуги віддаленого робочого столу". Для цього зверніться до редактора групових політик (локального на сервер або від OU) та встановіть цей привілей:

Початок | Виконати | Gpedit.msc якщо редагує локальну політику або обрав відповідну політику та відредагував її.

Конфігурація комп'ютера | Налаштування Windows | Налаштування безпеки | Місцева політика | Призначення прав користувача.

Знайдіть та двічі натисніть "Заборонити вхід через послуги віддаленого робочого столу"

Додайте користувача та / або групу, до якої ви хочете отримати доступ.

Натисніть ОК.

Або запустіть gpupdate / force / target: комп'ютер або зачекайте, поки наступне оновлення політики набуде чинності.

— cornasdf
джерело

Хтось перевіряв це, що це працює?

— Pacerier

Я думаю, що краще видалити адміністраторів із "Дозволити вхід" та додати окремих адміністраторів до групи "Користувачі віддалених настільних ПК"

— басейну

@Pacerier Я тестував це в 2012R2 і він працює. Моя наступна спроба RDP в мені сказала, що мені потрібно право входу через Служби віддаленого робочого столу. Я все ще зміг RDP в якості іншого користувача і зміг підключитися до існуючого сеансу робочого столу адміністратора через диспетчер завдань.

— mwfearnley

Дякую! Я фактично шукав спосіб запобігти локальному входу в ім’я користувача (зробити користувача лише для RDP), і знайшов його безпосередньо поруч із цим. Акуратний.

— Евенгард

-3

Я створив простий інструмент, який виконує це та пару інших функцій, пояснення ви можете знайти тут: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

але по суті це можна зробити за допомогою командного рядка:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f

— Дженане
джерело

Ця команда вимикає підключення віддаленого робочого столу для всіх користувачів, а не лише облікового запису адміністратора домену, як цього вимагає ОП.

— Я кажу, що відновіть Моніку