Я планирую архитектуру защищенных терминалов только для доступа к DC.
Итак, у меня есть 2 компьютера, которые безопасны, и если я хочу подключиться к постоянному току, мне придется войти в эти компьютеры.
Итак, что я сделал, так это развернул GPO, блокирующий логины пользователей ADM на рабочих станциях и программном обеспечении, я не буду здесь подробно рассказывать, потому что я правильно настроил его.
Что мне нужно знать, так это заблокировать возможность пользователей ADM устанавливать RDP-подключение к DC с любой рабочей станции, которая не является безопасной.
Я имею в виду, что администратор домена может инициировать соединение rdp с DC, используя свои учетные данные на любой рабочей станции нашего домена. Я хочу знать, можно ли отрицать это с помощью gpo вместо блокировки сетевого трафика
Нет, вам нужно будет использовать брандмауэр на основе хоста или сети.
В качестве альтернативы вы можете указать «Вход в систему» в учетной записи учетной записи пользователя и указать «Рабочие станции входа в систему», контроллеры домена / административные компьютеры. Это может сработать, если у вас их не так много.
Расширенные настройки брандмауэра Windows позволяют ограничить RDP определенными исходными IP-адресами.
В качестве альтернативы вы можете использовать сертификаты на клиентов.