我正在规划一个仅用于访问 DC 的安全终端架构。
所以我有两台安全的计算机,如果我想连接到 dc,我必须登录到那些计算机
所以我所做的是部署 GPO 来阻止工作站中 ADM 用户的登录,因此我不会在这里详细说明,因为我已经正确配置了。
我需要知道的是阻止 ADM 用户从任何不安全的工作站与 DC 建立 RDP 连接的能力
我的意思是,域管理员可以使用其凭据在我们域中的任何工作站中发起到 dc 的 rdp 连接。我想知道是否可以通过 gpo 来拒绝该操作,而不是阻止网络流量
答案1
Windows 防火墙高级设置允许您将 RDP 限制到某些源 IP。
或者,您可以使用客户端上的证书。
答案2
不,您需要使用基于主机或网络的防火墙。
另外,您可以在用户帐户的帐户中指定“登录到”,并指定“登录工作站”、域控制器/管理计算机。如果您没有那么多,这种方法可能有效。