Можно ли отключить терминальный доступ (подключение RDP) для учётной записи — члена группы «Администраторы» на Windows Server 2008 r2?
Можно ли сделать так, чтобы учетная запись не имела терминальный доступ , но при этом, на сервере она обладала правами администратора?
Среда: Windows Server 2008 r2
Up: Я, наверное, не развернуто описал.
Дело в том, что это системная учетная запись и под ней на группе серверов запускаются приложения и сервисы. Она для этого и служит. Авторизацию на любом компе домена нужно запретить. Такая стоит задача. Попробовали поставить галку в свойствах учетной записи : "Deny this user permissions to log on to any Terminal Server" но это не помогло, продолжает пускать.
Установите для данной учетки явное разрешение на необходимые сервера. И то что вы называете терминальный доступ скорее всего сессии для администрирования сервера.
-создать произвольную группу пользователей с необходимым уровнем доступа.
-просмотреть существующие по умолчанию группы администраторов(например "администратор wsus", хз зачем вам нужен администратор без доступа к rdp)
-запретить доступ конкретной машине
Выше уже писали "создать произвольную группу пользователей с необходимым уровнем доступа."
Работать и тем более запускать произвольный софт под учетной записью "Администратор" крайне плохая идея.
У вас 2 варианта: переделать свои "сервисы и приложения" обеспечив их запуск под непривелигированными учетными записями. Либо вообще запретить RDP (например в брандмауэре)
Если честно, сама постановка вопроса говорит о том, что логическая структура прав доступа в организации в чем то не верна, поскольку локальный администратор - это локальный бог и господин. Права отрезать можете, но он их ровно так же может себе вернуть или пойти обходными путями.
Запрещать на уровне учетной записи доступ из сети глупо - он может создать новую учетную запись в системе.
Запрещать группе администраторов заходить через терминальные службы еще глупее.
бОльшая часть служб может запускаться с правами простого пользователя.
Некоторые привередливые службы вполне работают под пользователями, но будучи запущенными из таскшедулера с установленной галкой выполнения с наивысшими привилегиями.
Правила гигиены запрещают использовать локальных администраторов для запуска чего то нибыло. К этой учетке нельзя привязываться от слова "совсем".
Я, наверное, не развернуто описал.
Дело в том, что это системная учетная запись и под ней на группе серверов запускаются приложения и сервисы. Она для этого и служит. Авторизацию на любом компе домена нужно запретить. Такая стоит задача. Попробовали поставить галку в свойствах учетной записи : "Deny this user permissions to log on to any Terminal Server" но это не помогло, продолжает пускать.
Надо было udp в вопрос добавить.
локальный админ может зайти на локальный комп. Проблема, я так понимаю, в том, что после поднятия rdp пользователь может перелогинится в локального админа. Так выше вам привели политики, запрещающие логин локальных пользователей по rdp.
Ну и святая святых-пароль встроенной учётной записи администратора сервера. Лично придерживаюсь такой политики: выдумываю сложный запоминаемый пароль, пишу его на стикере и клею на внутреннюю сторону крышки. Нужен он крайне редко, по другому почти всегда теряется, левые люди под крышки серверов не заглядывают. Сам его забываю через 5 минут.
