Задать вопрос
vlrusanov
@vlrusanov
Системный администратор, Администратор 1С

Как ограничить подключение по RDP в локальной сети домена?

Добрый день,
Есть контроллер домена. Учетные записи в домене, компьютеры тоже.
Пользователи из дома подключаются иногда к ВПН по RDP к рабочему ПК (в офисе), хотелось бы сделать так, что бы нельзя было подключаться по RDP к коллегам из локальной сети. Так как домен, могут подключиться на компьютер сотрудника под своими учетными данными (случайно, был случай). Как бы это ограничить, к примеру оставить такое право только отдельной группе, остальным заблокировать.
Полностью RDP заблокировать не вариант.
  • Вопрос задан
  • 1238 просмотров
Подписаться 1 Средний Комментировать
Решения вопроса 1
@dronmaxman
VoIP Administrator
> хотелось бы сделать так, что бы нельзя было подключаться по RDP к коллегам из локальной сети.
Геморно конечно.

Вижу три варианта
1) По проще, можно создать две группы ТopRDP, UserRDP. Первой группе разрешить везде заходить, второй только на определенные ПК.

2) В ограниченных учетках пользователей определить список ресурсов куда может логиниться пользователь.

3) Мой любимый, написать костыль. При логоне выполнять скрипт который будет добавлять пользователя в группу удаленного рабочего стола, соответственно пользователь сможет подключиться только к тому ПК где заходил локально.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
@Mirzapch
Запретите подключение к чужим рабочим местам.
То есть, разрешите сотрудникам вход только на их собственное рабочее место.

На рабочих местах разрешайте вход конкретным пользователям, а не всей группе.
Ответ написан
vlrusanov
@vlrusanov Автор вопроса
Системный администратор, Администратор 1С
.
Ответ написан
Комментировать
@NortheR73
системный инженер
1. Рядовых пользователей (и группу Domain Users) исключить из локальных групп Administrators и Remote Desktop Users
2. На рабочих ПК из локальной группы Remote Desktop Users исключить всех, кроме конкретных пользователей, кому разрешен доступ на данный ПК

При желании все это можно через GPP организовать (потребуются дополнительные группы по количеству ПК, к которым открывается доступ).
Еще, как вариант, можно поднять RD Gateway и на нем через политики CAP ("кому") и RAP ("куда") рулить доступом к внутренним ПК
Ответ написан
Комментировать
@Quqas
они у тебя все локальные одмины что-ли?
вообще то рядовой пользователь в принципе не может подключится по rdp к компу пока не добавишь его в группу "пользователи удалённого раб.стола" локально на конкретном компе.
отсюда и плясать.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы