Я добавил сервер srv09 в "logOnWorkstations" для учетной записи активного каталога adAccount1. Ранее в поле было указано 8 других имен серверов, и учетная запись может получить к ним доступ, но подключение удаленного рабочего стола к новому серверу завершается неудачно со следующей ошибкой
"The system administrator has limited the computers you can log on with. [..]"
Это событие отображается на сервере, как и ожидалось, как
4625 Событие ошибки с
failure Reason: User not allowed to logon at this computer.
Status: 0xC000006e
sub status: 0xc0000070
Поэтому я проверяю настройки своих объявлений, и они хорошо выглядят.
get-aduser adAccount1 -properties * | select Logonworkstation
LogonWorkstations
-----------------
srv01,srv02,srv03,srv04,srv05,srv06,srv07,srv08,srv09
Я подумал, что, возможно, DNS не работает должным образом и проверил, что nslookup srv09 разрешено правильно на обоих srv09 и клиентский компьютер пытается подключиться к удаленному рабочему столу.
Я не знаю, как решать проблему дальше. Сервер находится на другом Vlan, чем другие серверы, поэтому я попробовал захват Wirehark на srv09, но все, что я вижу, это трафик rds между клиентом и сервером. Кто-нибудь знает, как обрабатывается атрибут Logonworkstation при входе в систему? Проверяет ли контроллер домена список одобренных компьютеров клиенту или серверу?
Чтобы быть ясным, моя цель - разрешить adAccount1 доступ только к 9 идентифицированным серверам, и прямо сейчас он может получить доступ ко всем, кроме одного.
Вы можете попробовать сохранить RDP-файл с настройками подключения, а затем отредактировать его в блокноте. Добавьте эту строку
enablecredsspsupport:i:0
Это отключит использование провайдера безопасности CredSSP для этого соединения.
Второе решение, которое вы можете попробовать, - добавить исходную рабочую станцию (с которой инициировано RDP-соединение) в список Logonworkstations, но я думаю, что в большинстве случаев это не вариант.
Если все, что вам нужно, - это ограничить круг лиц, которые могут подключаться по протоколу RDP к компьютеру, этот метод будет довольно ужасным. Вместо этого вам следует создать группу AD с этим пользователем в ней и добавить эту группу в группу «Пользователи удаленного рабочего стола» на рассматриваемых серверах.
Я подозреваю, что вы пытаетесь создать группу администраторов сервера, которая не может войти на рабочую станцию. Одна из причин - защита от Pass-The-Hash через группы доступа на основе ролей.
Для этого нужно объединить администраторов в группу. Предоставьте этой группе доступ к серверам и явно запретите доступ к рабочим станциям. Поместите это в GPO, и вы получите. Затем, когда вы получаете нового администратора, вы помещаете его учетную запись администратора сервера в одну группу, и у нее есть весь необходимый доступ, и ему запрещен доступ к запрещенным узлам. GPO обеспечивает все это.
Чтобы уточнить, ваш GPO помещает группу администратора сервера в группу удаленного рабочего стола на локальных машинах, где разрешен вход. И он помещает их в локальную группу отказа в входе на все остальные машины. Этот GPO (или отдельный) также дает локальной группе удаленного рабочего стола (встроенной на сервере) разрешения на использование удаленного рабочего стола.