Как ограничить подключение по RDP в локальной сети домена?
Добрый день,
Есть контроллер домена. Учетные записи в домене, компьютеры тоже.
Пользователи из дома подключаются иногда к ВПН по RDP к рабочему ПК (в офисе), хотелось бы сделать так, что бы нельзя было подключаться по RDP к коллегам из локальной сети. Так как домен, могут подключиться на компьютер сотрудника под своими учетными данными (случайно, был случай). Как бы это ограничить, к примеру оставить такое право только отдельной группе, остальным заблокировать.
Полностью RDP заблокировать не вариант.
> хотелось бы сделать так, что бы нельзя было подключаться по RDP к коллегам из локальной сети.
Геморно конечно.
Вижу три варианта
1) По проще, можно создать две группы ТopRDP, UserRDP. Первой группе разрешить везде заходить, второй только на определенные ПК.
2) В ограниченных учетках пользователей определить список ресурсов куда может логиниться пользователь.
3) Мой любимый, написать костыль. При логоне выполнять скрипт который будет добавлять пользователя в группу удаленного рабочего стола, соответственно пользователь сможет подключиться только к тому ПК где заходил локально.
Владислав,
> По 1 можно подробнее. Как это реализовать
Делаешь 2 OU для ПК, на первой OU создаешь политику распространения группы ТopRDP, на второй OU UserRDP. Раскидываешь ПК по OU, группы набиваешь пользователями.
OU нужны что бы привязать политику, можно из без OU, но тогда надо 4 группы. 2 для ПК что бы привязать политику, 2 для пользователей.
На рабочих пк нет нет вообще запретов и разрешений, если провалиться в пользователей, кто может подключаться. Только тот что авторизован, написано что имеет доступ
1. Рядовых пользователей (и группу Domain Users) исключить из локальных групп Administrators и Remote Desktop Users
2. На рабочих ПК из локальной группы Remote Desktop Users исключить всех, кроме конкретных пользователей, кому разрешен доступ на данный ПК
При желании все это можно через GPP организовать (потребуются дополнительные группы по количеству ПК, к которым открывается доступ).
Еще, как вариант, можно поднять RD Gateway и на нем через политики CAP ("кому") и RAP ("куда") рулить доступом к внутренним ПК
они у тебя все локальные одмины что-ли?
вообще то рядовой пользователь в принципе не может подключится по rdp к компу пока не добавишь его в группу "пользователи удалённого раб.стола" локально на конкретном компе.
отсюда и плясать.
Да, все локальные администраторы, так задумано. Он может подключиться, если в домене добавить его в группу "Пользователи удаленного рабочего стола" (что было сделано).
Мое решение такое:
Я написал скрипт (закинул его в политику, на вход), при входе пользователя, он добавляется на компьютере в локальную группу "Пользователи удаленного рабочего стола". На домене всех убрал из группы "Пользователи удаленного рабочего стола". Но это пока временное решение. Продумываю еще, как сделать удобнее.
Владислав, а смысл скрипта? если он админ - по дефолту доступ к rpd(локально). не знаю есть ли вариант это обойти. доменная группа "rdp" не про то.
а дальше? каждый комп в свой ou? ессно что нет - а значит как сопоставить комп и юзера - что только он на этот комп?
это если изначально задачу понял именно так.
p.s.
т.е. если они локальные одмины только на "своём" пк - т.е. добавлены вручную, а не через gpo -типа везде, то делать дальше ничего не надо.
юзер только там где он одмин сможет иметь rdp
Quqas, хм, да действительно, в теории правильно. Если они локальные, то должны. Отключу группу на домене удаленных пользователей, проверю.
Ну не вручную добавлены, через ГПО добавлены только на локальных.
Средний
Простой
