Cómo deshabilitar el acceso RDP para el administrador

24

Necesitamos no permitir que la cuenta de administrador de dominio acceda a un servidor directamente a través de RDP. Nuestra política es iniciar sesión como usuario normal y luego usar la funcionalidad de ejecución como administrador. ¿Cómo podemos configurar esto?

El servidor en cuestión ejecuta Windows Server 2012 R2 con Host de sesión de escritorio remoto y Colección de RD basada en sesión. Los grupos de usuarios permitidos no contienen el usuario administrador del dominio, pero de alguna manera todavía puede iniciar sesión.

Gracias.

remote-desktop windows-terminal-services windows-server-2012-r2 r0b0
fuente
Usted no (relleno)
kinokijuf
1
Nunca he oído hablar de los permisos de configuración de alguien para el Administrador de dominio ... jaja
pulsarjune
Qué políticas modificó exactamente, enumerelas en su pregunta.
Ramhound
@Ramhound No pensé en usar GPO, pensé que esto era solo cuestión de configurar de alguna manera la pestaña Servicios de escritorio remoto.
r0b0
1
@pulsarjune Vengo de unix de fondo donde es bastante común deshabilitar el inicio de sesión raíz a través de ssh y solo uso su / sudo. Este no es el caso en Windows, supongo.
r0b0

Respuestas:

31

Esto parece ser lo que estás buscando: http://support.microsoft.com/kb/2258492

Para denegar el inicio de sesión de un usuario o grupo a través de RDP, establezca explícitamente el privilegio "Denegar inicio de sesión a través de servicios de escritorio remoto". Para hacerlo, acceda a un editor de políticas de grupo (ya sea local para el servidor o desde una unidad organizativa) y establezca este privilegio:

  1. Inicio | Correr | Gpedit.msc si edita la política local o elige la política adecuada y la edita.

  2. Configuración de la computadora | Configuraciones de Windows | Configuraciones de seguridad | Políticas locales | Asignación de derechos de usuario.

  3. Busque y haga doble clic en "Denegar inicio de sesión a través de Servicios de escritorio remoto"

  4. Agregue el usuario y / o el grupo al que le gustaría acceder.

  5. Haga clic en Aceptar.

  6. Ejecute gpupdate / force / target: computer o espere la próxima actualización de la política para que esta configuración surta efecto.

cornasdf
fuente
¿Alguien ha probado que esto funcione?
Pacerier
3
Creo que es mejor eliminar Administradores de "Permitir inicio de sesión" y agregar administradores individuales al grupo "Usuarios de escritorio remoto"
lavabo
@Pacerier He probado esto en 2012R2 y funciona. Mi siguiente intento de RDP me dijo que necesitaba el derecho de iniciar sesión a través de los Servicios de escritorio remoto. Sin embargo, todavía podía ingresar a RDP como otro usuario, y pude conectarme a la sesión de escritorio existente del Administrador a través del Administrador de tareas.
mwfearnley
¡Gracias! En realidad estaba buscando una forma de evitar que un nombre de usuario inicie sesión localmente (creando un usuario solo RDP), y lo encontré justo al lado de este. Ordenado.
Evengard el
-3

Creé una herramienta simple que hace esto y un par de otras características, puede encontrar la explicación aquí: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

pero esencialmente puedes hacerlo a través de la línea de comando:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
fuente
2
Este comando deshabilita las conexiones de Escritorio remoto para todos los usuarios, no solo la cuenta del Administrador de dominio según lo solicitado por el OP.
Digo reinstalar a Mónica