Frage So deaktivieren Sie den RDP-Zugriff für den Administrator


Wir müssen dem Domänenadministratorkonto verbieten, direkt über RDP auf einen Server zuzugreifen. Unsere Richtlinie besteht darin, sich als normaler Benutzer anzumelden und dann die Funktion "Als Administrator ausführen" zu verwenden. Wie können wir das aufstellen?

Der betreffende Server führt Windows Server 2012 R2 mit Remotedesktop-Sitzungshost und sitzungsbasierter RD-Sammlung aus. Erlaubte Benutzergruppen enthalten nicht den Domänenadministratorbenutzer, aber er kann sich trotzdem anmelden.

Vielen Dank.


22
2018-03-26 10:03


Ursprung


Du nicht. (Füllstoff) - kinokijuf
Ich habe noch nie von jemandem Einstellungsrechte für den Domain Admin gehört ... haha - pulsarjune
Welche Richtlinien genau haben Sie geändert, listen Sie sie in Ihrer Frage auf. - Ramhound
@Ramhound Ich habe nicht daran gedacht, GPO zu verwenden, ich dachte, dass es nur darum geht, die Registerkarte Remotedesktopdienste irgendwie einzurichten. - r0b0
@pulsarjune Ich komme aus dem Unix-Hintergrund, wo es üblich ist, root-Login über ssh zu deaktivieren und nur su / sudo zu verwenden. Das ist nicht der Fall in Windows, nehme ich an? - r0b0


Antworten:


Das scheint genau das zu sein, wonach Sie suchen: http://support.microsoft.com/kb/2258492

Um die Anmeldung eines Benutzers oder einer Gruppe per RDP zu verweigern, setzen Sie explizit die Einstellung "Ablehnen"   Anmeldung über die Berechtigung "Remotedesktopdienste"   Gruppenrichtlinieneditor (entweder lokal für den Server oder von einer Organisationseinheit) und festgelegt   dieses Privileg:

  1. Start | Lauf | Gpedit.msc, wenn Sie die lokale Richtlinie bearbeiten oder die entsprechende Richtlinie auswählen und bearbeiten.

  2. Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisung von Benutzerrechten

  3. Suchen Sie und doppelklicken Sie auf "Anmeldung über Remotedesktopdienste verweigern"

  4. Fügen Sie den Benutzer und / oder die Gruppe hinzu, auf die Sie zugreifen möchten.

  5. OK klicken.

  6. Führen Sie entweder gpupdate / force / target: computer aus oder warten Sie auf die nächste Richtlinienaktualisierung, damit diese Einstellung wirksam wird.


26
2018-03-26 11:34



Wer hat das getestet um zu arbeiten? - Pacerier
Ich denke, es ist besser, Administratoren von "Anmeldung zulassen" zu entfernen und einzelne Administratoren der Gruppe "Remote-Desktop-Benutzer" hinzuzufügen - basin
@Pacerier Ich habe das in 2012R2 getestet und es funktioniert. Mein nächster Versuch, RDP zu verwenden, sagte mir, dass ich das Recht benötige, mich über Remote Desktop Services anzumelden. Ich konnte RDP dennoch als weiteren Benutzer verwenden und konnte über den Task-Manager eine Verbindung zur vorhandenen Desktop-Sitzung des Administrators herstellen. - mwfearnley
Vielen Dank! Ich suchte tatsächlich nach einem Weg, um zu verhindern, dass sich ein Benutzername lokal anmeldet (indem ich einen RDP-Benutzer verwende), und ich fand ihn direkt neben diesem. Ordentlich. - Evengard


Ich habe ein einfaches Tool erstellt, das dies tut und andere Features koppelt. Hier finden Sie eine Erklärung: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

aber im Wesentlichen können Sie es über die Befehlszeile tun:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f

-3
2018-05-19 17:44



Dieser Befehl deaktiviert Remotedesktopverbindungen für alles Benutzer, nicht nur das vom Administrator angeforderte Domänenadministratorkonto. - Twisty Impersonator