Comment désactiver l'accès RDP pour l'administrateur

24

Nous devons interdire au compte d'administrateur de domaine d'accéder à un serveur directement via RDP. Notre politique consiste à ouvrir une session en tant qu'utilisateur normal, puis à utiliser la fonctionnalité Exécuter en tant qu'administrateur. Comment pouvons-nous mettre cela en place?

Le serveur en question exécute Windows Server 2012 R2 avec l'hôte de session Bureau à distance et la collection RD basée sur la session. Les groupes d'utilisateurs autorisés ne contiennent pas l'utilisateur administrateur de domaine, mais il est toujours en mesure de se connecter.

Merci.

remote-desktop windows-terminal-services windows-server-2012-r2 r0b0
la source
Non. (remplissage)
kinokijuf
1
Je n'ai jamais entendu parler des autorisations de paramètres de quelqu'un pour l'administrateur du domaine ... haha
pulsarjune
Quelles politiques avez-vous modifiées exactement, énumérez-les dans votre question.
Ramhound
@Ramhound Je ne pensais pas utiliser GPO, je pensais que ce n'était qu'une question de configuration de l'onglet Services Bureau à distance.
r0b0
1
@pulsarjune Je viens d'un arrière-plan unix où il est assez courant de désactiver la connexion root via ssh et d'utiliser uniquement su / sudo. Ce n'est pas le cas dans Windows, je suppose?
r0b0

Réponses:

31

Cela semble être ce que vous recherchez: http://support.microsoft.com/kb/2258492

Pour refuser un utilisateur ou une connexion de groupe via RDP, définissez explicitement le privilège "Refuser la connexion via les services Bureau à distance". Pour ce faire, accédez à un éditeur de stratégie de groupe (local sur le serveur ou à partir d'une unité d'organisation) et définissez ce privilège:

  1. Démarrer | Run | Gpedit.msc si vous modifiez la stratégie locale ou choisissez la stratégie appropriée et modifiez-la.

  2. Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Politiques locales | Attribution des droits utilisateur.

  3. Recherchez et double-cliquez sur "Refuser la connexion via les services Bureau à distance"

  4. Ajoutez l'utilisateur et / ou le groupe auquel vous souhaitez accéder.

  5. Cliquez sur OK.

  6. Exécutez gpupdate / force / target: computer ou attendez la prochaine actualisation de la stratégie pour que ce paramètre prenne effet.

cornasdf
la source
Quelqu'un a testé cela pour fonctionner?
Pacerier
3
Je pense qu'il est préférable de supprimer les administrateurs de "Autoriser l'ouverture de session" et d'ajouter des administrateurs individuels au groupe "Utilisateurs de postes de travail distants"
bassin
@Pacerier J'ai testé cela en 2012R2 et cela fonctionne. Ma prochaine tentative de connexion RDP m'a dit que j'avais besoin du droit de me connecter via les services Bureau à distance. Cependant, je pouvais toujours utiliser RDP en tant qu'autre utilisateur et me connecter à la session de bureau existante de l'administrateur via le Gestionnaire des tâches.
mwfearnley
Merci! Je cherchais en fait un moyen d'empêcher un nom d'utilisateur de se connecter localement (en faisant un utilisateur RDP uniquement), et je l'ai trouvé juste à côté de celui-ci. Soigné.
Evengard
-3

J'ai créé un outil simple qui fait cela et quelques autres fonctionnalités, vous pouvez trouver des explications ici: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

mais essentiellement vous pouvez le faire via la ligne de commande:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f
Djenane
la source
2
Cette commande désactive les connexions Bureau à distance pour tous les utilisateurs, pas seulement le compte Administrateur de domaine comme demandé par l'OP.
Je dis Reinstate Monica