@Gonzalez

Можно ли отключить терминальный доступ (подключение RDP) для учётной записи — члена группы «Администраторы» на Windows Server 2008 r2?

Можно ли сделать так, чтобы учетная запись не имела терминальный доступ , но при этом, на сервере она обладала правами администратора?
Среда: Windows Server 2008 r2
Up: Я, наверное, не развернуто описал.
Дело в том, что это системная учетная запись и под ней на группе серверов запускаются приложения и сервисы. Она для этого и служит. Авторизацию на любом компе домена нужно запретить. Такая стоит задача. Попробовали поставить галку в свойствах учетной записи : "Deny this user permissions to log on to any Terminal Server" но это не помогло, продолжает пускать.
  • Вопрос задан
  • 3102 просмотра
Пригласить эксперта
Ответы на вопрос 6
GaneevRR
@GaneevRR
Вместо спасибо отмечайте Нравится
Ответ написан
Комментировать
@skazi_premiere
Верстаем как умеем ;) HTML/CSS/JS
Можно в локальной политике явно запретить доступ УЗ.
Ответ написан
Комментировать
@fpir
-создать произвольную группу пользователей с необходимым уровнем доступа.
-просмотреть существующие по умолчанию группы администраторов(например "администратор wsus", хз зачем вам нужен администратор без доступа к rdp)
-запретить доступ конкретной машине
Ответ написан
Комментировать
Выше уже писали "создать произвольную группу пользователей с необходимым уровнем доступа."
Работать и тем более запускать произвольный софт под учетной записью "Администратор" крайне плохая идея.
У вас 2 варианта: переделать свои "сервисы и приложения" обеспечив их запуск под непривелигированными учетными записями. Либо вообще запретить RDP (например в брандмауэре)
Ответ написан
Комментировать
Sergey-S-Kovalev
@Sergey-S-Kovalev
Sysadmins team leader
Если честно, сама постановка вопроса говорит о том, что логическая структура прав доступа в организации в чем то не верна, поскольку локальный администратор - это локальный бог и господин. Права отрезать можете, но он их ровно так же может себе вернуть или пойти обходными путями.

Запрещать на уровне учетной записи доступ из сети глупо - он может создать новую учетную запись в системе.
Запрещать группе администраторов заходить через терминальные службы еще глупее.

бОльшая часть служб может запускаться с правами простого пользователя.
Некоторые привередливые службы вполне работают под пользователями, но будучи запущенными из таскшедулера с установленной галкой выполнения с наивысшими привилегиями.

Правила гигиены запрещают использовать локальных администраторов для запуска чего то нибыло. К этой учетке нельзя привязываться от слова "совсем".
Ответ написан
Комментировать
@Gonzalez Автор вопроса
Я, наверное, не развернуто описал.
Дело в том, что это системная учетная запись и под ней на группе серверов запускаются приложения и сервисы. Она для этого и служит. Авторизацию на любом компе домена нужно запретить. Такая стоит задача. Попробовали поставить галку в свойствах учетной записи : "Deny this user permissions to log on to any Terminal Server" но это не помогло, продолжает пускать.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы