Маючи користувача адміністратора без RDP

Я натрапив на випадок, коли сервер (Windows Server 2012R2 Datacenter Edition x64) повинен мати користувача, який має всі дозволи адміністраторів, крім RDP.

це було б так здорово, якщо ви можете мені допомогти у цій справі.

— Іман Кермані
джерело

Є право (якого я зараз не можу згадати), яке можна встановити за допомогою групової політики, яка забороняє віддалений робочий стіл, навіть для адміністратора. Однак якщо застосувати до групи адміністраторів, це право видалить для всіх адміністраторів. Я б запропонував створити групу для адміністраторів без RDP та видалити це право для цієї групи.

— kronenpj

Погляньте на Ви помітили, що прапорець "Заборонити цьому користувачеві дозволяти входити на сервер хостів віддаленого робочого сеансу" та дотримуйтесь інструкцій, щоб відповідно встановити групову політику для обмеження доступу до віддаленого робочого столу.

Це стосується Windows Server 2012 R2, хоча ця стаття не перерахована, але ви можете легко протестувати, щоб підтвердити всі роботи, як очікувались згодом, за допомогою тестового облікового запису.

РЕЗОЛЮЦІЯ

Щоб заборонити користувачеві або груповому входу через RDP, явно встановіть привілей "Заборонити вхід через послуги віддаленого робочого столу". Для цього зверніться до редактора групових політик (локального на сервер чи від ОУ) та встановіть цей привілей:

Початок | Виконати | Gpedit.msc, якщо редагував локальну політику або обрав відповідну політику та відредагував її.

Конфігурація комп'ютера | Налаштування Windows | Налаштування безпеки | Місцева політика | Призначення прав користувача .

Знайдіть та двічі натисніть " Заборонити вхід через послуги віддаленого робочого столу "

Додайте користувача та / або групу, якій ви хочете заборонити доступ.

Натисніть ОК .

Або запустіть gpupdate / force / target: комп'ютер або зачекайте, поки наступне оновлення політики набуде чинності.

_{джерело}

— Pimp Juice IT
джерело