如何为管理员禁用RDP访问

24

我们需要禁止域管理员帐户直接通过RDP访问服务器。我们的政策是以普通用户身份登录,然后使用“以管理员身份运行”功能。我们如何设置呢?

有问题的服务器正在运行Windows Server 2012 R2,带有远程桌面会话主机和基于会话的RD集合。允许的用户组不包含域管理员用户,但是他仍然可以登录。

谢谢。

remote-desktop  windows-terminal-services  windows-server-2012-r2 
00
source
你不知道 (
补白
1
我从未听说有人对域管理员设置权限...哈哈
pulsarjune 2014年
您确实修改了哪些策略,请在问题中列出。
Ramhound 2014年
@Ramhound我没想到要使用GPO,我认为这只是以某种方式设置“远程桌面服务”选项卡的问题。
r0b0 2014年
1
@pulsarjune我来自unix背景,通过ssh禁用root登录并且仅使用su / sudo非常普遍。我想这不是Windows的情况吗?
r0b0 2014年

Answers:

31

这似乎是您要查找的内容:http : //support.microsoft.com/kb/2258492

若要拒绝通过RDP的用户或组登录,请显式设置“通过远程桌面服务拒绝登录”权限。为此,请访问组策略编辑器(服务器本地或从OU)并设置此特权:

  1. 开始| 运行 如果编辑本地策略或选择适当的策略并对其进行编辑,则为Gpedit.msc。

  2. 电脑配置| Windows设置| 安全设置| 当地政策| 用户权限分配。

  3. 查找并双击“通过远程桌面服务拒绝登录”

  4. 添加您要拒绝访问的用户和/或组。

  5. 单击确定。

  6. 运行gpupdate / force / target:computer或等待下一次策略刷新以使此设置生效。

Cornasdf
source
有人测试过这个可以工作吗?
和平者
3
我认为最好将管理员从“允许登录”中删除,然后将单个管理员添加到“远程桌面用户”组中
盆地
@Pacerier我已经在2012R2中对此进行了测试,并且可以正常工作。我下一次尝试RDP的过程告诉我,我需要通过远程桌面服务登录的权利。我仍然能够以另一个用户的身份进入RDP,并且能够通过任务管理器连接到管理员的现有桌面会话。
mwfearnley
谢谢!我实际上正在寻找一种防止用户名本地登录的方法(成为仅RDP用户),但我发现它就在该用户名旁边。整齐。
Evengard
-3

我创建了一个简单的工具来执行此操作,并结合了其他功能,您可以在此处找到说明:https//www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

但实际上您可以通过命令行执行此操作:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
杰纳内
source
2
该命令禁用所有用户的远程桌面连接,不仅禁用OP请求的域管理员帐户。
我说恢复莫妮卡
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.