Можно ли отключить терминальный доступ (подключение RDP) для учётной записи — члена группы «Администраторы» на Windows Server 2008 r2?

Question

[Gonzalez]

Можно ли сделать так, чтобы учетная запись не имела терминальный доступ , но при этом, на сервере она обладала правами администратора?
Среда: Windows Server 2008 r2
Up: Я, наверное, не развернуто описал.
Дело в том, что это системная учетная запись и под ней на группе серверов запускаются приложения и сервисы. Она для этого и служит. Авторизацию на любом компе домена нужно запретить. Такая стоит задача. Попробовали поставить галку в свойствах учетной записи : "Deny this user permissions to log on to any Terminal Server" но это не помогло, продолжает пускать.

Comments

[Алексей]

Установите для данной учетки явное разрешение на необходимые сервера. И то что вы называете терминальный доступ скорее всего сессии для администрирования сервера.

[Алексей]

Вот то о чем я говорил https://support.microsoft.com/ru-ru/kb/2258492 в своем ответе про локальную политику.

Answer 1

[Руслан Ганеев]

Ограничение доступа к сети смотри

Answer 2

[Алексей]

Можно в локальной политике явно запретить доступ УЗ.

Answer 3

[fpir]

-создать произвольную группу пользователей с необходимым уровнем доступа.
-просмотреть существующие по умолчанию группы администраторов(например "администратор wsus", хз зачем вам нужен администратор без доступа к rdp)
-запретить доступ конкретной машине

Answer 4

[Олег Баталов]

Выше уже писали "создать произвольную группу пользователей с необходимым уровнем доступа."
Работать и тем более запускать произвольный софт под учетной записью "Администратор" крайне плохая идея.
У вас 2 варианта: переделать свои "сервисы и приложения" обеспечив их запуск под непривелигированными учетными записями. Либо вообще запретить RDP (например в брандмауэре)

Answer 5

[Сергей Ковалёв]

Если честно, сама постановка вопроса говорит о том, что логическая структура прав доступа в организации в чем то не верна, поскольку локальный администратор - это локальный бог и господин. Права отрезать можете, но он их ровно так же может себе вернуть или пойти обходными путями.

Запрещать на уровне учетной записи доступ из сети глупо - он может создать новую учетную запись в системе.
Запрещать группе администраторов заходить через терминальные службы еще глупее.

бОльшая часть служб может запускаться с правами простого пользователя.
Некоторые привередливые службы вполне работают под пользователями, но будучи запущенными из таскшедулера с установленной галкой выполнения с наивысшими привилегиями.

Правила гигиены запрещают использовать локальных администраторов для запуска чего то нибыло. К этой учетке нельзя привязываться от слова "совсем".

Answer 6

[Gonzalez]

Я, наверное, не развернуто описал.
Дело в том, что это системная учетная запись и под ней на группе серверов запускаются приложения и сервисы. Она для этого и служит. Авторизацию на любом компе домена нужно запретить. Такая стоит задача. Попробовали поставить галку в свойствах учетной записи : "Deny this user permissions to log on to any Terminal Server" но это не помогло, продолжает пускать.

Comments

[fpir]

Надо было udp в вопрос добавить.
локальный админ может зайти на локальный комп. Проблема, я так понимаю, в том, что после поднятия rdp пользователь может перелогинится в локального админа. Так выше вам привели политики, запрещающие логин локальных пользователей по rdp.
Ну и святая святых-пароль встроенной учётной записи администратора сервера. Лично придерживаюсь такой политики: выдумываю сложный запоминаемый пароль, пишу его на стикере и клею на внутреннюю сторону крышки. Нужен он крайне редко, по другому почти всегда теряется, левые люди под крышки серверов не заглядывают. Сам его забываю через 5 минут.

[fpir]

fpir: *незапоминаемый