Cómo deshabilitar el acceso RDP para el administrador

24

Necesitamos no permitir que la cuenta de administrador de dominio acceda a un servidor directamente a través de RDP. Nuestra política es iniciar sesión como usuario normal y luego usar la funcionalidad de ejecución como administrador. ¿Cómo podemos configurar esto?

El servidor en cuestión ejecuta Windows Server 2012 R2 con Host de sesión de escritorio remoto y Colección de RD basada en sesión. Los grupos de usuarios permitidos no contienen el usuario administrador del dominio, pero de alguna manera todavía puede iniciar sesión.

Gracias.

r0b0
fuente
Usted no (relleno)
kinokijuf
1
Nunca he oído hablar de los permisos de configuración de alguien para el Administrador de dominio ... jaja
pulsarjune
Qué políticas modificó exactamente, enumerelas en su pregunta.
Ramhound
@Ramhound No pensé en usar GPO, pensé que esto era solo cuestión de configurar de alguna manera la pestaña Servicios de escritorio remoto.
r0b0
1
@pulsarjune Vengo de unix de fondo donde es bastante común deshabilitar el inicio de sesión raíz a través de ssh y solo uso su / sudo. Este no es el caso en Windows, supongo.
r0b0

Respuestas:

31

Esto parece ser lo que estás buscando: http://support.microsoft.com/kb/2258492

Para denegar el inicio de sesión de un usuario o grupo a través de RDP, establezca explícitamente el privilegio "Denegar inicio de sesión a través de servicios de escritorio remoto". Para hacerlo, acceda a un editor de políticas de grupo (ya sea local para el servidor o desde una unidad organizativa) y establezca este privilegio:

  1. Inicio | Correr | Gpedit.msc si edita la política local o elige la política adecuada y la edita.

  2. Configuración de la computadora | Configuraciones de Windows | Configuraciones de seguridad | Políticas locales | Asignación de derechos de usuario.

  3. Busque y haga doble clic en "Denegar inicio de sesión a través de Servicios de escritorio remoto"

  4. Agregue el usuario y / o el grupo al que le gustaría acceder.

  5. Haga clic en Aceptar.

  6. Ejecute gpupdate / force / target: computer o espere la próxima actualización de la política para que esta configuración surta efecto.

cornasdf
fuente
¿Alguien ha probado que esto funcione?
Pacerier
3
Creo que es mejor eliminar Administradores de "Permitir inicio de sesión" y agregar administradores individuales al grupo "Usuarios de escritorio remoto"
lavabo
@Pacerier He probado esto en 2012R2 y funciona. Mi siguiente intento de RDP me dijo que necesitaba el derecho de iniciar sesión a través de los Servicios de escritorio remoto. Sin embargo, todavía podía ingresar a RDP como otro usuario, y pude conectarme a la sesión de escritorio existente del Administrador a través del Administrador de tareas.
mwfearnley
¡Gracias! En realidad estaba buscando una forma de evitar que un nombre de usuario inicie sesión localmente (creando un usuario solo RDP), y lo encontré justo al lado de este. Ordenado.
Evengard el
-3

Creé una herramienta simple que hace esto y un par de otras características, puede encontrar la explicación aquí: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

pero esencialmente puedes hacerlo a través de la línea de comando:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
fuente
2
Este comando deshabilita las conexiones de Escritorio remoto para todos los usuarios, no solo la cuenta del Administrador de dominio según lo solicitado por el OP.
Digo reinstalar a Mónica