Как отключить доступ RDP для администратора

24

Нам нужно запретить учетную запись администратора домена для доступа к серверу напрямую через RDP. Наша политика - войти в систему как обычный пользователь, а затем использовать функцию «Запуск от имени администратора». Как мы можем это настроить?

Рассматриваемый сервер работает под управлением Windows Server 2012 R2 с узлом сеанса удаленного рабочего стола и коллекцией удаленных рабочих столов на основе сеансов. Группы разрешенных пользователей не содержат администратора домена, но каким-то образом он все еще может войти в систему.

Спасибо.

remote-desktop windows-terminal-services windows-server-2012-r2 r0b0
источник
Вы не (наполнитель)
киноюф
1
Я никогда не слышал о чьих-то настройках разрешений для администратора домена ... хаха
pulsarjune
Какие именно политики вы изменили, перечислите их в своем вопросе.
Ramhound
@Ramhound Я не думал об использовании GPO, я думал, что это всего лишь вопрос настройки вкладки Remote Desktop Services.
r0b0
1
@pulsarjune Я родом из Unix, где довольно часто отключают root-вход через ssh и используют только su / sudo. Это не тот случай в Windows, я полагаю?
r0b0

Ответы:

31

Похоже, это то, что вы ищете: http://support.microsoft.com/kb/2258492

Чтобы запретить пользователю или групповой вход через RDP, явным образом установите привилегию «Запретить вход через службы удаленных рабочих столов». Для этого зайдите в редактор групповой политики (локальный для сервера или из подразделения) и установите эту привилегию:

  1. Начало | Запустить | Gpedit.msc, если редактируете локальную политику или выбираете соответствующую политику и редактируете ее.

  2. Конфигурация компьютера | Настройки Windows | Настройки безопасности | Местные Политики | Назначение прав пользователя.

  3. Найдите и дважды щелкните «Запретить вход через службы удаленных рабочих столов».

  4. Добавьте пользователя и / или группу, доступ к которой вы хотите запретить.

  5. Нажмите ОК

  6. Запустите gpupdate / force / target: computer или дождитесь следующего обновления политики, чтобы этот параметр вступил в силу.

cornasdf
источник
Кто-нибудь проверял, чтобы это работало?
Пейсер
3
Я думаю, что лучше удалить администраторов из «Разрешить вход» и добавить отдельных администраторов в группу «Пользователи удаленного рабочего стола»
таз
@Pacerier Я протестировал это в 2012R2, и это работает. Моя следующая попытка входа в RDP показала, что мне нужно право войти через службы удаленных рабочих столов. Я все еще был в состоянии использовать RDP в качестве другого пользователя и смог подключиться к существующему сеансу администратора с помощью диспетчера задач.
mwfearnley
Спасибо! Я на самом деле искал способ предотвратить локальное имя пользователя (делая пользователя только для RDP), и я нашел его рядом с этим. Ухоженная.
Эвенгард
-3

Я создал простой инструмент, который делает это и пара других функций, вы можете найти объяснение здесь: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

но по сути вы можете сделать это через командную строку:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
источник
2
Эта команда отключает подключения к удаленному рабочему столу для всех пользователей, а не только для учетной записи администратора домена в соответствии с запросом OP.
Я говорю Восстановить Монику