我已将服务器添加srv09到 Active Directory 帐户的“logOnWorkstations”中adAccount1。该字段中之前有 8 个其他服务器名称,并且帐户可以访问它们,但远程桌面进入新服务器失败,并出现以下错误
"The system administrator has limited the computers you can log on with. [..]"
此事件按预期显示在服务器上
4625 错误事件
failure Reason: User not allowed to logon at this computer.
Status: 0xC000006e
sub status: 0xc0000070
所以我检查了我的广告设置并且它们看起来不错。
get-aduser adAccount1 -properties * | select Logonworkstation
LogonWorkstations
-----------------
srv01,srv02,srv03,srv04,srv05,srv06,srv07,srv08,srv09
我认为 DNS 可能无法正常工作,并检查它在尝试远程桌面连接的客户端计算机nslookup srv09
上都能够正确解析。srv09
我不知道如何进一步解决问题。该服务器与其他服务器位于不同的 Vlan 上,因此我尝试使用 wireshark 进行捕获srv09,但我看到的只是客户端和服务器之间的 rds 流量。有人知道登录过程中如何处理 Logonworkstation 属性吗?域控制器是否向客户端或服务器提供了已批准计算机的列表?
需要明确的是,我的目标是允许 adAccount1 仅访问已识别的 9 台服务器,并且现在它可以访问除一台之外的所有服务器。
答案1
我怀疑您正在尝试设置无法登录工作站的服务器管理员组。原因之一是通过基于角色的访问组来防御 Pass-The-Hash。
实现此目的的方法是将您的管理员放入一个组中。授予该组对服务器的访问权限,并明确拒绝对工作站的访问。将其放入 GPO 中即可。然后,当您获得新管理员时,您将他们的服务器管理员帐户放入一个组中,这样它就拥有所需的所有访问权限,并且无法访问不允许的主机。GPO 强制执行所有这些。
需要澄清的是,您的 GPO 将服务器管理员组放入允许登录的本地计算机上的远程桌面组中。并将其放入所有其他计算机上的本地登录被拒绝组中。此 GPO(或单独的 GPO)还授予本地系统远程桌面组(内置于服务器上)使用远程桌面的权限。
答案2
如果您只想限制谁可以通过 RDP 访问计算机,那么这种方法就很糟糕。您应该创建一个包含该用户的 AD 组,并将该组添加到相关服务器上的远程桌面用户组中。
答案3
您可以尝试保存带有连接设置的 RDP 文件,然后在记事本中编辑它。添加此字符串
enablecredsspsupport:i:0
这将禁用此连接的 CredSSP 安全提供程序的使用。
您可以尝试的第二种解决方案是将源工作站(从中启动 RDP 连接)添加到 Logonworkstations 列表中,但我认为在大多数情况下这不是选项。