Yönetici için RDP erişimi nasıl devre dışı bırakılır

24

Bir sunucuya doğrudan RDP üzerinden erişmek için etki alanı Yönetici hesabına izin vermememiz gerekiyor. Politikamız düzenli kullanıcı olarak oturum açmak ve ardından Yönetici Olarak Çalıştır işlevini kullanmaktır. Bunu nasıl ayarlayabiliriz?

Söz konusu sunucu, Uzak Masaüstü Oturum Ana Bilgisayarı ve Oturum Tabanlı RD Koleksiyonu ile Windows Server 2012 R2 çalıştırıyor. İzin Verilen Kullanıcı grupları, etki alanı Yönetici kullanıcısını içermez, ancak bir şekilde hala oturum açabilir.

Teşekkür ederim.

remote-desktop  windows-terminal-services  windows-server-2012-r2 
r0b0
kaynak
Sen değil. (dolgu maddesi)
kinokijuf
1
Etki Alanı Yöneticisi için birinin ayar izinlerini hiç duymadım ... haha
pulsarjune
Hangi politikaları tam olarak değiştirdiniz, sorunuzu listeleyiniz.
Ramhound
@Ramhound GPO kullanmayı düşünmedim, bunun bir şekilde Remote Desktop Services sekmesini kurmanın meselesi olduğunu düşündüm.
r0b0
1
@pulsarjune Kök girişini ssh ile devre dışı bırakmanın ve sadece su / sudo kullanmanın oldukça yaygın olduğu unix arkaplanından geliyorum. Sanırım bu Windows'ta değil mi?
r0b0

Yanıtlar:

31

Aradığın şey bu gibi görünüyor: http://support.microsoft.com/kb/2258492

Bir kullanıcıyı veya grup oturumunu RDP üzerinden reddetmek için, açıkça "Uzak Masaüstü Hizmetlerinde Oturum Açmayı Reddet" ayrıcalığını ayarlayın. Bunu yapmak için bir grup ilkesi düzenleyicisine erişmek (sunucuya yerel olarak veya bir OU’dan) ve bu ayrıcalığı ayarlamak için:

  1. Başlat | Çalıştır | Yerel politikayı düzenliyorsa ya da uygun politikayı seçip düzenlediyseniz, Gpedit.msc.

  2. Bilgisayar Yapılandırması | Windows Ayarları | Güvenlik Ayarları | Yerel Politikalar | Kullanıcı Hakları Ataması.

  3. "Uzak Masaüstü Hizmetleri ile oturum açmayı reddet" seçeneğini bulun ve çift tıklayın.

  4. Erişmek istediğiniz kullanıcıyı ve / veya grubu ekleyin.

  5. Tamam'ı tıklayın.

  6. Ya gpupdate / force / target: computer komutunu çalıştırın ya da bu ayarın etkili olması için bir sonraki politika yenilemesini bekleyin.

cornasdf
kaynak
Bunu çalışmak için test eden var mı?
Pacerier
3
Ben "oturum açma izin ver" dan Yöneticileri kaldırırken ve "Uzak masaüstü kullanıcıları" grubuna bireysel yöneticilerden eklemek iyi olur
havzasında
@Pacerier Bunu 2012R2'de test ettim ve çalışıyor. Bir sonraki RDP girişimi, Uzak Masaüstü Servisleri aracılığıyla giriş yapma hakkına ihtiyacım olduğunu söyledi. Yine de başka bir kullanıcı olarak RDP yapabildim ve Görev Yöneticisi aracılığıyla Yöneticinin mevcut masaüstü oturumuna bağlanabildim.
mwfearnley
Teşekkür ederim! Aslında yerel olarak oturum açmak için bir kullanıcı adını engellemenin bir yolunu araştırıyordum (yalnızca RDP kullanan bir kullanıcı) ve bunu hemen yanında buldum. Temiz.
Evengard
-3

Bunu yapan ve diğer özellikleri birleştiren basit bir araç yarattım, burada açıklama bulabilirsiniz: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

ama aslında komut satırından yapabilirsiniz:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
kaynak
2
Bu komut , OP tarafından talep edilen yalnızca Etki Alanı Yöneticisi hesabını değil, tüm kullanıcılar için Uzak Masaüstü bağlantılarını devre dışı bırakır .
Reinstate Monica'yı
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.