So deaktivieren Sie den RDP-Zugriff für Administrator

24

Wir müssen dem Domänenadministratorkonto den direkten Zugriff auf einen Server über RDP verweigern. Es ist unsere Richtlinie, sich als normaler Benutzer anzumelden und dann die Funktion "Als Administrator ausführen" zu verwenden. Wie können wir das einrichten?

Auf dem betreffenden Server wird Windows Server 2012 R2 mit Remotedesktop-Sitzungshost und sitzungsbasierter RD-Sammlung ausgeführt. Zugelassene Benutzergruppen enthalten nicht den Domänenadministratorbenutzer, er kann sich jedoch trotzdem anmelden.

Vielen Dank.

r0b0
quelle
Das tust du nicht. (Füller)
Kinokijuf
1
Ich habe noch nie von jemandem gehört, der Berechtigungen für den Domain-
Administrator hat
Welche Richtlinien genau Sie geändert haben, verzeichnen Sie in Ihrer Frage.
Ramhound
@Ramhound Ich dachte nicht an die Verwendung von Gruppenrichtlinienobjekten. Ich dachte, dies sei nur eine Frage der Einrichtung der Registerkarte Remotedesktopdienste.
r0b0
1
@pulsarjune Ich komme aus einem Unix-Hintergrund, in dem es durchaus üblich ist, die Root-Anmeldung über ssh zu deaktivieren und nur su / sudo zu verwenden. Dies ist nicht der Fall in Windows, nehme ich an?
r0b0

Antworten:

31

Dies scheint das zu sein, wonach Sie suchen: http://support.microsoft.com/kb/2258492

Um die Anmeldung eines Benutzers oder einer Gruppe über RDP zu verweigern, legen Sie explizit die Berechtigung "Anmeldung über Remotedesktopdienste verweigern" fest. Greifen Sie dazu auf einen Gruppenrichtlinien-Editor zu (entweder lokal auf dem Server oder von einer Organisationseinheit aus) und legen Sie diese Berechtigung fest:

  1. Start | Führen Sie | aus Gpedit.msc, wenn Sie die lokale Richtlinie bearbeiten oder die entsprechende Richtlinie auswählen und bearbeiten.

  2. Computerkonfiguration | Windows Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisung von Benutzerrechten.

  3. Suchen Sie nach "Anmeldung über Remotedesktopdienste verweigern" und doppelklicken Sie darauf.

  4. Fügen Sie den Benutzer und / oder die Gruppe hinzu, auf die Sie zugreifen möchten.

  5. OK klicken.

  6. Führen Sie entweder gpupdate / force / target: computer aus oder warten Sie auf die nächste Richtlinienaktualisierung, damit diese Einstellung wirksam wird.

cornasdf
quelle
Hat jemand getestet, ob dies funktioniert?
Pacerier
3
Ich denke, es ist besser, Administratoren von "Anmeldung zulassen" zu entfernen und einzelne Administratoren zur Gruppe "Remotedesktopbenutzer" hinzuzufügen
Becken
@ Pacerier Ich habe dies in 2012R2 getestet und es funktioniert. Bei meinem nächsten Versuch, RDP einzuschalten, benötigte ich das Recht, mich über Remotedesktopdienste anzumelden. Ich konnte RDP dennoch als anderer Benutzer ausführen und über den Task-Manager eine Verbindung mit der vorhandenen Desktopsitzung des Administrators herstellen.
Mwfearnley
Vielen Dank! Eigentlich habe ich nach einer Möglichkeit gesucht, um zu verhindern, dass sich ein Benutzername lokal anmeldet (was zu einem reinen RDP-Benutzer führt), und ich habe sie direkt neben dieser gefunden. Ordentlich.
Evengard
-3

Ich habe ein einfaches Tool erstellt, das dies und einige andere Funktionen ausführt. Eine Erklärung finden Sie hier: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

aber im Grunde können Sie es über die Befehlszeile tun:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
quelle
2
Dieser Befehl deaktiviert Remotedesktopverbindungen für alle Benutzer, nicht nur für das vom OP angeforderte Domänenadministratorkonto.
Ich sage Reinstate Monica