我有一个域控制器,我想允许某些用户帐户通过远程桌面访问同一域中的某些服务器。
有许多服务器可以通过远程桌面协议访问,但我想限制这些用户只能连接到我允许的服务器,而不是全部。
例如,我有用户“Billy”,我希望他能够通过 RDP 连接到服务器“1”和“2”,但不能连接到服务器“3”。
请解释解决这个问题的好方法。
答案1
限制域用户在域环境中的远程桌面连接
解决方案
要拒绝用户或组通过 RDP 登录,请明确设置“拒绝通过远程桌面服务登录“ 特权。
为此,请访问组策略编辑器(服务器本地或 OU)并设置此权限:
开始|跑步|管理控制台如果编辑本地策略或选择适当的策略并进行编辑。
计算机配置|Windows 设置|安全设定|当地政策|用户权限分配。
查找并双击“拒绝通过远程桌面服务登录“
添加您想要拒绝访问的用户和/或组。
点击好的。
要么运行gpupdate /force /目标:计算机或者等待下一次策略刷新以使此设置生效。
答案2
在这种情况下,对我来说最好的选择就是修改用户 AD 帐户的属性。在“帐户”选项卡下,选择“登录到”,然后您可以指定用户可以登录到哪些计算机。您当然希望允许他们登录到自己的工作站,但您也可以添加他们应该被允许登录的终端服务器。
该方法的缺点是,根据您的环境,用户也不被允许登录其他工作站,除非这些工作站在允许的系统列表中指定。
答案3
我不知道这是否是您要找的答案,但它也许有帮助。
- 转到高级防火墙设置 - 然后进入并搜索 RDP
- 从 scoop 中,你可以指定要通过 RDP 授予访问权限的 IP,输入任意数量的 IP
- 转到 RDP 的属性并选择阻止连接而不是允许
注意:请不要忘记,每个托管公司都有用于技术支持问题的 IP 范围,向他们询问并允许他们,否则您可能难以获得技术支持。
答案4
在 AD 中创建三个安全组;服务器 1、2 和 3,并将特定用户添加到其相关组中。
在每个远程桌面服务器上运行本地安全策略。即运行 secpol.msc
导航到本地策略...用户权限分配编辑策略允许通过远程桌面服务登录。添加您要授予访问权限的特定 AD 组并删除不必要的条目。