Come disabilitare l'accesso RDP per l'amministratore

24

Dobbiamo impedire all'account Administrator del dominio di accedere a un server direttamente tramite RDP. La nostra politica è di accedere come utente normale e quindi utilizzare la funzionalità Esegui come amministratore. Come possiamo configurarlo?

Il server in questione esegue Windows Server 2012 R2 con Host sessione Desktop remoto e raccolta RD basata su sessione. I gruppi di utenti consentiti non contengono l'utente amministratore del dominio ma in qualche modo è ancora in grado di accedere.

Grazie.

remote-desktop  windows-terminal-services  windows-server-2012-r2 
r0b0
fonte
Non (riempimento)
kinokijuf,
1
Non ho mai sentito parlare delle autorizzazioni di impostazione di qualcuno per il Domain Admin ... haha
pulsarjune,
Quali criteri hai modificato esattamente, elencali nella tua domanda.
Ramhound,
@Ramhound Non pensavo di usare l'oggetto Criteri di gruppo, pensavo che fosse solo questione di configurare la scheda Servizi desktop remoto.
r0b0,
1
@pulsarjune Vengo da unix background dove è abbastanza comune disabilitare il login root tramite ssh e usare solo su / sudo. Questo non è il caso in Windows, suppongo?
r0b0,

Risposte:

31

Questo sembra essere quello che stai cercando: http://support.microsoft.com/kb/2258492

Per negare l'accesso a un utente o un gruppo tramite RDP, impostare esplicitamente il privilegio "Nega accesso tramite Servizi Desktop remoto". Per fare ciò, accedi a un editor di criteri di gruppo (locale sul server o da un'unità organizzativa) e imposta questo privilegio:

  1. Inizia | Esegui | Gpedit.msc se si modifica la politica locale o si sceglie la politica appropriata e si modifica.

  2. Configurazione computer | Impostazioni di Windows | Impostazioni di sicurezza | Politiche locali | Assegnazione dei diritti dell'utente.

  3. Trova e fai doppio clic su "Nega accesso tramite Servizi Desktop remoto"

  4. Aggiungi l'utente e / o il gruppo a cui desideri accedere.

  5. Clicca ok

  6. Esegui gpupdate / force / target: computer o attendi che il prossimo aggiornamento dei criteri abbia effetto su questa impostazione.

cornasdf
fonte
Qualcuno ha testato questo per funzionare?
Pacerier,
3
Penso che sia meglio rimuovere gli amministratori da "Consenti accesso" e aggiungere singoli amministratori al gruppo "Utenti desktop remoto"
bacino
@Pacerier L'ho provato nel 2012R2 e funziona. Il mio prossimo tentativo di RDP mi ha detto che avevo bisogno del diritto di accedere tramite Servizi Desktop remoto. Tuttavia, ero ancora in grado di eseguire il RDP come altro utente ed ero in grado di connettermi alla sessione desktop esistente dell'amministratore tramite Task Manager.
mwfearnley,
Grazie! In realtà stavo cercando un modo per impedire a un nome utente di accedere localmente (facendo un utente solo RDP), e l'ho trovato proprio accanto a questo. Neat.
Evengard
-3

Ho creato uno strumento semplice che fa questo e abbina altre funzionalità, puoi trovare una spiegazione qui: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

ma essenzialmente puoi farlo attraverso la riga di comando:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
fonte
2
Questo comando disabilita le connessioni Desktop remoto per tutti gli utenti, non solo l'account dell'amministratore di dominio come richiesto dall'OP.
Dico Reinstate Monica
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.