Como desativar o acesso RDP para administrador

24

Precisamos proibir a conta de administrador do domínio para acessar um servidor diretamente via RDP. Nossa política é fazer logon como usuário comum e, em seguida, usar a funcionalidade Executar como administrador. Como podemos configurar isso?

O servidor em questão está executando o Windows Server 2012 R2 com host de sessão da área de trabalho remota e coleta de RD com base em sessão. Grupos de usuários permitidos não contêm o usuário administrador do domínio, mas de alguma forma ele ainda pode fazer logon.

Obrigado.

remote-desktop windows-terminal-services windows-server-2012-r2 r0b0
fonte
Você não (filler)
kinokijuf 26/03
1
Eu nunca ouvi falar de permissões configurações alguém para o administrador de domínio ... haha
pulsarjune
Quais políticas exatamente você modificou, listou-as na sua pergunta.
Ramhound 26/03
@ Ramhound Eu não pensei em usar o GPO, pensei que isso era apenas uma questão de configurar a guia Serviços de Área de Trabalho Remota de alguma forma.
r0b0
1
@pulsarjune Venho do fundo unix, onde é bastante comum desativar o login root via ssh e usar apenas su / sudo. Não é esse o caso no Windows, suponho?
r0b0

Respostas:

31

Parece ser o que você está procurando: http://support.microsoft.com/kb/2258492

Para negar um logon de usuário ou grupo via RDP, defina explicitamente o privilégio "Negar logon através dos Serviços de Área de Trabalho Remota". Para fazer isso, acesse um editor de política de grupo (local para o servidor ou de uma OU) e defina este privilégio:

  1. Iniciar | Executar | Gpedit.msc se estiver editando a política local ou escolher a política apropriada e editá-la.

  2. Configuração do computador | Configurações do Windows | Configurações de segurança | Políticas locais | Cessão de direitos do usuário.

  3. Localize e clique duas vezes em "Negar logon pelos Serviços de Área de Trabalho Remota"

  4. Adicione o usuário e / ou o grupo que você gostaria de acessar.

  5. Clique OK.

  6. Execute gpupdate / force / target: computer ou aguarde a próxima atualização de política para que essa configuração entre em vigor.

cornasdf
fonte
Alguém testou isso para estar funcionando?
Pacerier
3
Eu acho que é melhor remover os administradores de "Permitir logon" e adicionar administradores individuais ao grupo "Usuários da área de trabalho remota"
bacia
@Pacerier Testei isso em 2012R2 e funciona. Minha próxima tentativa de fazer o RDP me disse que precisava do direito de entrar através dos Serviços de Área de Trabalho Remota. Eu ainda era capaz de fazer o RDP como outro usuário e consegui me conectar à sessão da área de trabalho existente do administrador através do Gerenciador de tarefas.
Mwfearnley 09/02
Obrigado! Na verdade, eu estava procurando uma maneira de impedir que um nome de usuário se conectasse localmente (criando um usuário apenas para RDP), e encontrei-o ao lado deste. Arrumado.
Evengard 03/04
-3

Eu criei uma ferramenta simples que faz isso e acopla outros recursos, você pode encontrar explicações aqui: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

mas essencialmente você pode fazer isso através da linha de comando:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
fonte
2
Este comando desabilita as conexões da Área de Trabalho Remota para todos os usuários, não apenas a conta de Administrador de Domínio, conforme solicitado pelo OP.
Eu digo Restabelecer Monica