관리자에 대해 RDP 액세스를 비활성화하는 방법


24

RDP를 통해 서버에 직접 액세스하려면 도메인 관리자 계정을 허용하지 않아야합니다. 우리의 정책은 일반 사용자로 로그온 한 다음 관리자 권한으로 실행 기능을 사용하는 것입니다. 우리는 이것을 어떻게 설정할 수 있습니까?

해당 서버에서 원격 데스크톱 세션 호스트 및 세션 기반 RD 수집 기능이있는 Windows Server 2012 R2를 실행하고 있습니다. 허용 된 사용자 그룹에는 도메인 관리자가 없지만 어떻게 든 여전히 로그온 할 수 있습니다.

고맙습니다.


당신은하지 않습니다. (filler)
kinokijuf

1
도메인 관리자의 권한 설정에 대해 들어 본 적이 없습니다 ... haha
pulsarjune

정확히 어떤 정책을 수정하고 질문에 나열하십시오.
Ramhound

@Ramhound GPO 사용을 생각하지 못했습니다. 어떻게 든 원격 데스크톱 서비스 탭을 설정하는 문제라고 생각했습니다.
r0b0

1
@pulsarjune 나는 유닉스 배경에서 왔는데 ssh를 통해 루트 로그인을 비활성화하고 su / sudo 만 사용하는 것이 일반적입니다. 내가 생각하는 Windows에서는 그렇지 않습니다.
r0b0

답변:


31

이것은 당신이 찾고있는 것 같습니다 : http://support.microsoft.com/kb/2258492

RDP를 통한 사용자 또는 그룹 로그온을 거부하려면 "원격 데스크톱 서비스를 통한 로그온 거부"권한을 명시 적으로 설정하십시오. 이렇게하려면 그룹 정책 편집기 (서버 로컬 또는 OU에서 로컬)에 액세스하고이 권한을 설정하십시오.

  1. 시작 | 실행 | 로컬 정책을 편집하거나 적절한 정책을 선택하여 편집하는 경우 Gpedit.msc

  2. 컴퓨터 구성 | Windows 설정 | 보안 설정 | 지역 정책 | 사용자 권한 할당.

  3. "원격 데스크톱 서비스를 통한 로그온 거부"를 찾아 두 번 클릭하십시오.

  4. 액세스를 거부 할 사용자 및 / 또는 그룹을 추가하십시오.

  5. 확인을 클릭하십시오.

  6. gpupdate / force / target : computer를 실행하거나이 설정이 적용되도록 다음 정책 새로 고침을 기다리십시오.


누구나 작동하는지 테스트 했습니까?
Pacerier

3
나는 "로그온 허용"에서 관리자를 제거하고 "원격 데스크톱 사용자"그룹에 개별 관리자를 추가하는 것이 좋습니다 생각
유역

@Pacerier 2012R2에서 이것을 테스트했으며 작동합니다. 다음에 RDP를 시도 할 때 원격 데스크톱 서비스를 통해 로그인 할 권리가 필요하다고 말했습니다. 그래도 다른 사용자로 RDP에 접속할 수 있었고 작업 관리자를 통해 관리자의 기존 데스크탑 세션에 연결할 수있었습니다.
mwfearnley

고맙습니다! 실제로 사용자 이름을 로컬로 로그인하지 못하게하는 방법을 찾고 있었으며 (RDP 전용 사용자 만들기) 바로 옆에 있습니다. 산뜻한.
Evengard

-3

이 작업을 수행하고 다른 기능을 결합하는 간단한 도구를 만들었습니다. https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

그러나 기본적으로 명령 줄을 통해 수행 할 수 있습니다.

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f

2
이 명령은 OP에서 요청한 도메인 관리자 계정뿐만 아니라 모든 사용자에 대한 원격 데스크톱 연결을 비활성화합니다 .
나는 복구합니다 Monica Monica
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.