管理者のRDPアクセスを無効にする方法

ドメイン管理者アカウントがRDP経由でサーバーに直接アクセスすることを禁止する必要があります。私たちのポリシーは、通常のユーザーとしてログオンし、管理者として実行機能を使用することです。これをどのように設定できますか？

問題のサーバーは、リモートデスクトップセッションホストとセッションベースのRDコレクションを備えたWindows Server 2012 R2を実行しています。許可されたユーザーグループには、ドメイン管理者ユーザーは含まれませんが、どういうわけかログオンできます。

ありがとうございました。

remote-desktop windows-terminal-services windows-server-2012-r2

— r0b0
ソース

あなたはしません。（フィラー）

— kinokijuf 14年

私は笑...ドメイン管理者のために誰かの設定権限を聞いたことがない

— pulsarjune

質問の中で、どのポリシーを正確に変更したか、リストしてください。

— ラムハウンド14年

@Ramhound GPOの使用は考えていませんでしたが、これは何らかの方法で[リモートデスクトップサービス]タブを設定するだけの問題だと思いました。

— r0b0

@pulsarjune私はUNIXのバックグラウンドから来ましたが、そこではssh経由でrootログインを無効にし、su / sudoのみを使用することが非常に一般的です。これはWindowsの場合ではないでしょうか？

— r0b0 14年

回答:

これはあなたが探しているもののようです：http : //support.microsoft.com/kb/2258492

RDPを介したユーザーまたはグループのログオンを拒否するには、「リモートデスクトップサービスによるログオンの拒否」特権を明示的に設定します。これを行うには、グループポリシーエディター（サーバーに対してローカルまたはOUから）にアクセスし、この特権を設定します。

スタート| 実行| ローカルポリシーを編集する場合、または適切なポリシーを選択して編集する場合は、Gpedit.msc。

コンピューターの構成| Windows設定| セキュリティ設定| ローカルポリシー| ユーザー権利の割り当て。

「リモートデスクトップサービスによるログオンの拒否」を見つけてダブルクリックします

アクセスを拒否するユーザーおよび/またはグループを追加します。

[OK]をクリックします。

gpupdate / force / target：computerを実行するか、この設定が有効になるまで次のポリシー更新を待ちます。

— コーナスド
ソース

誰でもこれが機能することをテストしましたか？

— パセリエ

私はそれが「ログオンを許可する」から管理者を削除し、「リモートデスクトップユーザー」グループに個別の管理者を追加する方が良いと思います

— 流域

@Pacerier 2012R2でこれをテストしましたが、動作します。RDPへの次の試みで、リモートデスクトップサービスを介してサインインする権利が必要であることがわかりました。ただし、別のユーザーとしてRDPを使用でき、タスクマネージャーを使用して管理者の既存のデスクトップセッションに接続できました。

— mwfearnley

ありがとうございました！実際に、ユーザー名がローカルでログインするのを防ぐ方法を探していて（RDPのみのユーザーを作成しています）、このユーザー名の隣にそれを見つけました。きちんとした。

— エベンガード

-3

これを行う簡単なツールと他の機能を組み合わせて作成しました。ここで説明を見つけることができます：https : //www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

ただし、基本的にはコマンドラインから実行できます。

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f

— ジェナン
ソース

このコマンドは、OPによって要求されたドメイン管理者アカウントだけでなく、すべてのユーザーのリモートデスクトップ接続を無効にします。

— 私は、