描述当前设置:我们让工作人员通过 Windows VPN 服务器 (RAS) 进行远程操作。有没有办法强制执行一条规则,阻止任何人以域管理员身份登录服务器/工作站,即使他们知道密码?
答案1
首先,最终用户永远不应该知道域管理员密码,如果知道,您可能应该更改它。否则,他们应该是值得信赖的,您不必担心这个问题。域管理员和(本地)管理员自动成为远程桌面用户本地和域组的一部分,我认为您无法轻易删除它们,甚至根本无法删除它们。
每KB323381打开 Active Directory 用户和计算机,右键单击用户,拨入(选项卡),取消勾选允许访问。文章说,RAS 服务器上的设置控制所有用户是否有权访问(详见下文),因此您可能需要更改该设置,以便只有指定的用户才有权访问:
- 单击“开始”,指向“管理工具”,然后单击“路由和远程访问”。
- 双击 Your_Server_Name,然后单击“远程访问策略”。
- 右键单击“与 Microsoft 路由和远程访问服务器的连接”,然后单击“属性”。
- 单击“授予远程访问权限”,然后单击“确定”。
在我的 2016 域林中,右键单击 AD 用户并转到远程桌面服务配置文件,我有一个复选框可以帮助您“拒绝此用户登录远程桌面会话主机服务器的权限”