我们需要禁止域管理员帐户直接通过 RDP 访问服务器。我们的策略是以普通用户身份登录,然后使用以管理员身份运行功能。我们如何设置?
有问题的服务器正在运行带有远程桌面会话主机和基于会话的 RD 集合的 Windows Server 2012 R2。允许的用户组不包含域管理员用户,但不知何故他仍然能够登录。
谢谢。
答案1
这似乎就是您正在寻找的: http://support.microsoft.com/kb/2258492
要拒绝用户或组通过 RDP 登录,请明确设置“拒绝通过远程桌面服务登录”权限。为此,请访问组策略编辑器(服务器本地或 OU)并设置此权限:
如果编辑本地策略,则开始 | 运行 | Gpedit.msc 或选择适当的策略并进行编辑。
计算机配置|Windows 设置|安全设置|本地策略|用户权限分配。
找到并双击“拒绝通过远程桌面服务登录”
添加您想要拒绝访问的用户和/或组。
单击确定。
在命令提示符下运行该命令
gpupdate /force /target:computer
或等待下一次策略刷新以使此设置生效。
答案2
我创建了一个简单的工具来执行此操作并结合其他功能,您可以在这里找到解释:https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane
但本质上你可以通过命令行来完成:
Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f