Cara menonaktifkan akses RDP untuk Administrator

24

Kita perlu melarang akun Administrator domain untuk mengakses server secara langsung melalui RDP. Kebijakan kami adalah untuk masuk sebagai pengguna biasa dan kemudian menggunakan fungsi Run As Admin. Bagaimana kita mengatur ini?

Server yang dimaksud menjalankan Windows Server 2012 R2 dengan Host Sesi Jarak Jauh Desktop dan Koleksi RD Berdasarkan Sesi. Grup Pengguna yang Diizinkan tidak mengandung pengguna Administrator domain tetapi entah bagaimana ia masih dapat masuk.

Terima kasih.

remote-desktop windows-terminal-services windows-server-2012-r2 r0b0
sumber
Kamu tidak. (pengisi)
kinokijuf
1
Saya belum pernah mendengar seseorang mengatur izin untuk Admin Domain ... haha
pulsarjune
Kebijakan mana yang tepatnya Anda modifikasi, daftarkan, dalam pertanyaan Anda.
Ramhound
@Ramhound Saya tidak berpikir untuk menggunakan GPO, saya pikir ini hanya masalah pengaturan tab Remote Desktop Services.
r0b0
1
@pulsarjune Saya berasal dari latar belakang unix di mana cukup umum untuk menonaktifkan login root melalui ssh dan hanya menggunakan su / sudo. Ini bukan kasus di Windows saya kira?
r0b0

Jawaban:

31

Ini sepertinya yang Anda cari: http://support.microsoft.com/kb/2258492

Untuk menolak pengguna atau grup masuk melalui RDP, secara eksplisit mengatur hak istimewa "Tolak masuk melalui Layanan Desktop Jarak Jauh". Untuk melakukan ini, akses editor kebijakan grup (baik lokal ke server atau dari OU) dan mengatur hak istimewa ini:

  1. Mulai | Jalankan | Gpedit.msc jika mengedit kebijakan lokal atau memilih kebijakan yang sesuai dan mengeditnya.

  2. Konfigurasi Komputer | Pengaturan Windows | Pengaturan Keamanan | Kebijakan Lokal | Penugasan Hak Pengguna.

  3. Temukan dan klik dua kali "Tolak masuk melalui Layanan Desktop Jarak Jauh"

  4. Tambahkan pengguna dan / atau grup yang ingin Anda akses.

  5. Klik ok.

  6. Jalankan gpupdate / force / target: komputer atau tunggu penyegaran kebijakan berikutnya agar pengaturan ini berlaku.

cornasdf
sumber
Adakah yang menguji ini agar berfungsi?
Pacerier
3
Saya pikir lebih baik untuk menghapus Administrator dari "Izinkan masuk" dan tambahkan admin individu ke grup "Pengguna desktop jarak jauh"
baskom
@Pacerier Saya sudah menguji ini di 2012R2 dan berhasil. Upaya saya berikutnya untuk RDP memberi tahu saya bahwa saya perlu hak untuk masuk melalui Layanan Desktop Jarak Jauh. Saya masih bisa menggunakan RDP sebagai pengguna lain, dan dapat terhubung ke sesi desktop Administrator yang ada melalui Task Manager.
mwfearnley
Terima kasih! Saya sebenarnya mencari cara untuk mencegah nama pengguna untuk masuk secara lokal (membuat pengguna RDP-saja), dan saya menemukannya tepat di sebelah yang ini. Rapi.
Evengard
-3

Saya membuat alat sederhana yang melakukan ini dan beberapa fitur lainnya, Anda dapat menemukan penjelasan di sini: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

tetapi pada dasarnya Anda dapat melakukannya melalui baris perintah:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
sumber
2
Perintah ini menonaktifkan koneksi Remote Desktop untuk semua pengguna, tidak hanya akun Administrator Domain seperti yang diminta oleh OP.
Saya katakan Reinstate Monica