관리자에 대해 RDP 액세스를 비활성화하는 방법

RDP를 통해 서버에 직접 액세스하려면 도메인 관리자 계정을 허용하지 않아야합니다. 우리의 정책은 일반 사용자로 로그온 한 다음 관리자 권한으로 실행 기능을 사용하는 것입니다. 우리는 이것을 어떻게 설정할 수 있습니까?

해당 서버에서 원격 데스크톱 세션 호스트 및 세션 기반 RD 수집 기능이있는 Windows Server 2012 R2를 실행하고 있습니다. 허용 된 사용자 그룹에는 도메인 관리자가 없지만 어떻게 든 여전히 로그온 할 수 있습니다.

고맙습니다.

remote-desktop windows-terminal-services windows-server-2012-r2

— r0b0
소스

당신은하지 않습니다. (filler)

— kinokijuf

도메인 관리자의 권한 설정에 대해 들어 본 적이 없습니다 ... haha

— pulsarjune

정확히 어떤 정책을 수정하고 질문에 나열하십시오.

— Ramhound

@Ramhound GPO 사용을 생각하지 못했습니다. 어떻게 든 원격 데스크톱 서비스 탭을 설정하는 문제라고 생각했습니다.

— r0b0

@pulsarjune 나는 유닉스 배경에서 왔는데 ssh를 통해 루트 로그인을 비활성화하고 su / sudo 만 사용하는 것이 일반적입니다. 내가 생각하는 Windows에서는 그렇지 않습니다.

— r0b0

답변:

이것은 당신이 찾고있는 것 같습니다 : http://support.microsoft.com/kb/2258492

RDP를 통한 사용자 또는 그룹 로그온을 거부하려면 "원격 데스크톱 서비스를 통한 로그온 거부"권한을 명시 적으로 설정하십시오. 이렇게하려면 그룹 정책 편집기 (서버 로컬 또는 OU에서 로컬)에 액세스하고이 권한을 설정하십시오.

시작 | 실행 | 로컬 정책을 편집하거나 적절한 정책을 선택하여 편집하는 경우 Gpedit.msc

컴퓨터 구성 | Windows 설정 | 보안 설정 | 지역 정책 | 사용자 권한 할당.

"원격 데스크톱 서비스를 통한 로그온 거부"를 찾아 두 번 클릭하십시오.

액세스를 거부 할 사용자 및 / 또는 그룹을 추가하십시오.

확인을 클릭하십시오.

gpupdate / force / target : computer를 실행하거나이 설정이 적용되도록 다음 정책 새로 고침을 기다리십시오.

— cornasdf
소스

누구나 작동하는지 테스트 했습니까?

— Pacerier

나는 "로그온 허용"에서 관리자를 제거하고 "원격 데스크톱 사용자"그룹에 개별 관리자를 추가하는 것이 좋습니다 생각

— 유역

@Pacerier 2012R2에서 이것을 테스트했으며 작동합니다. 다음에 RDP를 시도 할 때 원격 데스크톱 서비스를 통해 로그인 할 권리가 필요하다고 말했습니다. 그래도 다른 사용자로 RDP에 접속할 수 있었고 작업 관리자를 통해 관리자의 기존 데스크탑 세션에 연결할 수있었습니다.

— mwfearnley

고맙습니다! 실제로 사용자 이름을 로컬로 로그인하지 못하게하는 방법을 찾고 있었으며 (RDP 전용 사용자 만들기) 바로 옆에 있습니다. 산뜻한.

— Evengard

-3

이 작업을 수행하고 다른 기능을 결합하는 간단한 도구를 만들었습니다. https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

그러나 기본적으로 명령 줄을 통해 수행 할 수 있습니다.

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f

— 제 나네
소스

이 명령은 OP에서 요청한 도메인 관리자 계정뿐만 아니라 모든 사용자에 대한 원격 데스크톱 연결을 비활성화합니다 .

— 나는 복구합니다 Monica Monica