Jak wyłączyć dostęp RDP dla administratora

24

Musimy zabronić konta administratora domeny dostępu do serwera bezpośrednio przez RDP. Naszą zasadą jest logowanie się jako zwykły użytkownik, a następnie korzystanie z funkcji Uruchom jako administrator. Jak możemy to skonfigurować?

Na tym serwerze działa system Windows Server 2012 R2 z hostem sesji usług pulpitu zdalnego i kolekcją RD opartą na sesji. Dozwolone grupy użytkowników nie zawierają administratora domeny, ale jakoś nadal może się zalogować.

Dziękuję Ci.

remote-desktop windows-terminal-services windows-server-2012-r2 r0b0
źródło
Ty nie. (wypełniacz)
kinokijuf
1
Nigdy nie słyszałem o ustawieniach uprawnień administratora domeny ... haha
pulsarjune
Które zasady dokładnie zmodyfikowałeś, podaj je w swoim pytaniu.
Ramhound
@Ramhound Nie myślałem o użyciu GPO, myślałem, że to tylko kwestia skonfigurowania karty usług pulpitu zdalnego.
r0b0
1
@pulsarjune Pochodzę z unixowego środowiska, w którym dość często wyłącza się logowanie roota przez ssh i używam tylko su / sudo. Tak nie jest w Windowsie?
r0b0

Odpowiedzi:

31

Wygląda na to, że szukasz: http://support.microsoft.com/kb/2258492

Aby odmówić logowania użytkownika lub grupy za pośrednictwem protokołu RDP, jawnie ustaw uprawnienie „Odmawiaj logowania za pośrednictwem usług pulpitu zdalnego”. Aby to zrobić, uzyskaj dostęp do edytora zasad grupy (lokalnie na serwerze lub z jednostki organizacyjnej) i ustaw to uprawnienie:

  1. Start | Uruchom | Gpedit.msc, jeśli edytujesz politykę lokalną lub wybierasz odpowiednią politykę i edytujesz ją.

  2. Konfiguracja komputera | Ustawienia systemu Windows | Ustawienia bezpieczeństwa | Lokalne zasady | Przypisywanie praw użytkownika.

  3. Znajdź i kliknij dwukrotnie „Odmów logowania za pośrednictwem usług pulpitu zdalnego”

  4. Dodaj użytkownika i / lub grupę, do której chcesz uzyskać dostęp.

  5. Kliknij OK.

  6. Uruchom gpupdate / force / target: computer lub poczekaj na kolejne odświeżenie zasad, aby to ustawienie zaczęło obowiązywać.

cornasdf
źródło
Ktoś przetestował to pod kątem działania?
Pacerier
3
Myślę, że lepiej jest usunąć Administratorów z „Zezwalaj na logowanie” i dodać poszczególnych administratorów do grupy „Użytkownicy pulpitu zdalnego”
basen
@Pacerier Przetestowałem to w 2012R2 i działa. Moja kolejna próba RDP powiedziała mi, że potrzebuję prawa do zalogowania się za pośrednictwem usług pulpitu zdalnego. Nadal byłem w stanie RDP jako inny użytkownik i mogłem połączyć się z istniejącą sesją pulpitu administratora za pomocą Menedżera zadań.
mwfearnley
Dziękuję Ci! W rzeczywistości szukałem sposobu, aby zapobiec lokalnemu logowaniu się nazwy użytkownika (tworząc użytkownika tylko RDP) i znalazłem ją tuż obok tego. Schludny.
Evengard,
-3

Stworzyłem proste narzędzie, które to robi i kilka innych funkcji, wyjaśnienia znajdziesz tutaj: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

ale zasadniczo można to zrobić za pomocą wiersza polecenia:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
źródło
2
To polecenie wyłącza połączenia pulpitu zdalnego dla wszystkich użytkowników, nie tylko konta administratora domeny, zgodnie z żądaniem PO.
Mówię: Przywróć Monikę