Нам нужно запретить учетной записи администратора домена доступ к серверу напрямую через RDP. Наша политика заключается в том, чтобы войти в систему как обычный пользователь, а затем использовать функцию «Запуск от имени администратора». Как мы можем это настроить?
Рассматриваемый сервер работает под управлением Windows Server 2012 R2 с узлом сеанса удаленного рабочего стола и коллекцией удаленных рабочих столов на основе сеанса. Разрешенные группы пользователей не содержат пользователя-администратора домена, но каким-то образом он все еще может войти в систему.
Спасибо.
Кажется, это то, что вы ищете: http://support.microsoft.com/kb/2258492
Чтобы запретить пользователю или группе вход в систему через RDP, явно установите привилегию «Запретить вход через службы удаленных рабочих столов». Для этого войдите в редактор групповой политики (локальный на сервере или из OU) и установите эту привилегию:
Старт | Беги | Gpedit.msc при редактировании локальной политики или выберите соответствующую политику и отредактируйте ее.
Конфигурация компьютера | Настройки Windows | Настройки безопасности | Местная политика | Распределение прав пользователей.
Найдите и дважды щелкните «Запретить вход через службы удаленных рабочих столов».
Добавьте пользователя и / или группу, к которой вы хотите получить доступ.
Щелкните ОК.
Либо запустите команду
gpupdate /force /target:computerв командной строке или дождитесь следующего обновления политики, чтобы этот параметр вступил в силу.
Я создал простой инструмент, который делает это и несколько других функций, вы можете найти объяснение здесь: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane
но по сути вы можете сделать это через командную строку:
Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f