Cách tắt quyền truy cập RDP cho Quản trị viên


24

Chúng tôi cần không cho phép tài khoản Quản trị viên tên miền truy cập trực tiếp vào máy chủ thông qua RDP. Chính sách của chúng tôi là đăng nhập với tư cách là người dùng thông thường và sau đó sử dụng chức năng Run As Admin. Làm thế nào chúng ta có thể thiết lập điều này?

Máy chủ được đề cập đang chạy Windows Server 2012 R2 với Máy chủ phiên máy tính từ xa và Bộ sưu tập RD dựa trên phiên. Các nhóm người dùng được phép không chứa người dùng Quản trị viên tên miền nhưng bằng cách nào đó anh ta vẫn có thể đăng nhập.

Cảm ơn bạn.


Bạn không. (phụ)
kinokijuf

1
Tôi chưa bao giờ nghe nói về quyền cài đặt của ai đó cho Quản trị viên tên miền ... haha
pulsarjune

Những chính sách nào chính xác bạn đã sửa đổi, liệt kê chúng, trong câu hỏi của bạn.
Ramhound

@Ramhound Tôi không nghĩ đến việc sử dụng GPO, tôi nghĩ rằng đây chỉ là vấn đề thiết lập tab Dịch vụ Máy tính Từ xa.
r0b0

1
@pulsarjune Tôi đến từ nền unix, nơi khá phổ biến để vô hiệu hóa đăng nhập root thông qua ssh và chỉ sử dụng su / sudo. Đây không phải là trường hợp tha trong Windows tôi cho rằng?
r0b0

Câu trả lời:


31

Đây dường như là những gì bạn đang tìm kiếm: http://support.microsoft.com/kb/2258492

Để từ chối người dùng hoặc đăng nhập nhóm thông qua RDP, hãy đặt rõ ràng đặc quyền "Từ chối đăng nhập thông qua Dịch vụ máy tính từ xa". Để thực hiện việc này, hãy truy cập trình chỉnh sửa chính sách nhóm (cục bộ vào máy chủ hoặc từ OU) và đặt đặc quyền này:

  1. Bắt đầu | Chạy | Gpedit.msc nếu chỉnh sửa chính sách cục bộ hoặc chọn chính sách phù hợp và chỉnh sửa chính sách đó.

  2. Cấu hình máy tính | Cài đặt Windows | Cài đặt bảo mật | Chính sách địa phương | Chuyển nhượng quyền người dùng.

  3. Tìm và nhấp đúp vào "Từ chối đăng nhập thông qua Dịch vụ Máy tính Từ xa"

  4. Thêm người dùng và / hoặc nhóm mà bạn muốn truy cập.

  5. Nhấp vào ok.

  6. Chạy gpupdate / force / target: máy tính hoặc chờ làm mới chính sách tiếp theo để cài đặt này có hiệu lực.


Bất cứ ai đã thử nghiệm này để được làm việc?
Pacerier

3
Tôi nghĩ sẽ tốt hơn nếu xóa Quản trị viên khỏi "Cho phép đăng nhập" và thêm quản trị viên riêng lẻ vào nhóm "Người dùng máy tính từ xa"
lưu vực

@Pacerier Tôi đã thử nghiệm điều này vào năm 2012R2 và nó hoạt động. Nỗ lực tiếp theo của tôi đối với RDP đã nói với tôi rằng tôi cần quyền đăng nhập thông qua Dịch vụ Máy tính Từ xa. Mặc dù vậy, tôi vẫn có thể RDP với tư cách là một người dùng khác và có thể kết nối với phiên máy tính để bàn hiện tại của Quản trị viên thông qua Trình quản lý tác vụ.
mwfearnley

Cảm ơn bạn! Tôi đã thực sự tìm kiếm một cách để ngăn chặn tên người dùng đăng nhập cục bộ (tạo một người dùng chỉ có RDP) và tôi đã tìm thấy nó ngay bên cạnh tên người dùng này. Khéo léo.
Evengard

-3

Tôi đã tạo một công cụ đơn giản để thực hiện điều này và kết hợp nhiều tính năng khác, bạn có thể tìm thấy lời giải thích tại đây: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

nhưng về cơ bản bạn có thể làm điều đó thông qua dòng lệnh:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f

2
Lệnh này vô hiệu hóa các kết nối Máy tính từ xa cho tất cả người dùng, không chỉ tài khoản Quản trị viên miền theo yêu cầu của OP.
Tôi nói phục hồi Monica
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.