Как отключить доступ RDP для администратора

Нам нужно запретить учетную запись администратора домена для доступа к серверу напрямую через RDP. Наша политика - войти в систему как обычный пользователь, а затем использовать функцию «Запуск от имени администратора». Как мы можем это настроить?

Рассматриваемый сервер работает под управлением Windows Server 2012 R2 с узлом сеанса удаленного рабочего стола и коллекцией удаленных рабочих столов на основе сеансов. Группы разрешенных пользователей не содержат администратора домена, но каким-то образом он все еще может войти в систему.

Спасибо.

remote-desktop windows-terminal-services windows-server-2012-r2

— r0b0
источник

Вы не (наполнитель)

— киноюф

Я никогда не слышал о чьих-то настройках разрешений для администратора домена ... хаха

— pulsarjune

Какие именно политики вы изменили, перечислите их в своем вопросе.

— Ramhound

@Ramhound Я не думал об использовании GPO, я думал, что это всего лишь вопрос настройки вкладки Remote Desktop Services.

— r0b0

@pulsarjune Я родом из Unix, где довольно часто отключают root-вход через ssh и используют только su / sudo. Это не тот случай в Windows, я полагаю?

— r0b0

Ответы:

Похоже, это то, что вы ищете: http://support.microsoft.com/kb/2258492

Чтобы запретить пользователю или групповой вход через RDP, явным образом установите привилегию «Запретить вход через службы удаленных рабочих столов». Для этого зайдите в редактор групповой политики (локальный для сервера или из подразделения) и установите эту привилегию:

Начало | Запустить | Gpedit.msc, если редактируете локальную политику или выбираете соответствующую политику и редактируете ее.

Конфигурация компьютера | Настройки Windows | Настройки безопасности | Местные Политики | Назначение прав пользователя.

Найдите и дважды щелкните «Запретить вход через службы удаленных рабочих столов».

Добавьте пользователя и / или группу, доступ к которой вы хотите запретить.

Нажмите ОК

Запустите gpupdate / force / target: computer или дождитесь следующего обновления политики, чтобы этот параметр вступил в силу.

— cornasdf
источник

Кто-нибудь проверял, чтобы это работало?

— Пейсер

Я думаю, что лучше удалить администраторов из «Разрешить вход» и добавить отдельных администраторов в группу «Пользователи удаленного рабочего стола»

— таз

@Pacerier Я протестировал это в 2012R2, и это работает. Моя следующая попытка входа в RDP показала, что мне нужно право войти через службы удаленных рабочих столов. Я все еще был в состоянии использовать RDP в качестве другого пользователя и смог подключиться к существующему сеансу администратора с помощью диспетчера задач.

— mwfearnley

Спасибо! Я на самом деле искал способ предотвратить локальное имя пользователя (делая пользователя только для RDP), и я нашел его рядом с этим. Ухоженная.

— Эвенгард

-3

Я создал простой инструмент, который делает это и пара других функций, вы можете найти объяснение здесь: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

но по сути вы можете сделать это через командную строку:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f

— Djenane
источник

Эта команда отключает подключения к удаленному рабочему столу для всех пользователей, а не только для учетной записи администратора домена в соответствии с запросом OP.

— Я говорю Восстановить Монику