Задать вопрос
@Gonzalez

Можно ли отключить терминальный доступ (подключение RDP) для учётной записи — члена группы «Администраторы» на Windows Server 2008 r2?

Можно ли сделать так, чтобы учетная запись не имела терминальный доступ , но при этом, на сервере она обладала правами администратора?
Среда: Windows Server 2008 r2
Up: Я, наверное, не развернуто описал.
Дело в том, что это системная учетная запись и под ней на группе серверов запускаются приложения и сервисы. Она для этого и служит. Авторизацию на любом компе домена нужно запретить. Такая стоит задача. Попробовали поставить галку в свойствах учетной записи : "Deny this user permissions to log on to any Terminal Server" но это не помогло, продолжает пускать.
  • Вопрос задан
  • 3359 просмотров
Подписаться 1 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 6
GaneevRR
@GaneevRR
Вместо спасибо отмечайте Нравится
Ответ написан
Комментировать
@skazi_premiere
Верстаем как умеем ;) HTML/CSS/JS
Можно в локальной политике явно запретить доступ УЗ.
Ответ написан
Комментировать
@fpir
-создать произвольную группу пользователей с необходимым уровнем доступа.
-просмотреть существующие по умолчанию группы администраторов(например "администратор wsus", хз зачем вам нужен администратор без доступа к rdp)
-запретить доступ конкретной машине
Ответ написан
Комментировать
Выше уже писали "создать произвольную группу пользователей с необходимым уровнем доступа."
Работать и тем более запускать произвольный софт под учетной записью "Администратор" крайне плохая идея.
У вас 2 варианта: переделать свои "сервисы и приложения" обеспечив их запуск под непривелигированными учетными записями. Либо вообще запретить RDP (например в брандмауэре)
Ответ написан
Комментировать
Sergey-S-Kovalev
@Sergey-S-Kovalev
Sysadmins team leader
Если честно, сама постановка вопроса говорит о том, что логическая структура прав доступа в организации в чем то не верна, поскольку локальный администратор - это локальный бог и господин. Права отрезать можете, но он их ровно так же может себе вернуть или пойти обходными путями.

Запрещать на уровне учетной записи доступ из сети глупо - он может создать новую учетную запись в системе.
Запрещать группе администраторов заходить через терминальные службы еще глупее.

бОльшая часть служб может запускаться с правами простого пользователя.
Некоторые привередливые службы вполне работают под пользователями, но будучи запущенными из таскшедулера с установленной галкой выполнения с наивысшими привилегиями.

Правила гигиены запрещают использовать локальных администраторов для запуска чего то нибыло. К этой учетке нельзя привязываться от слова "совсем".
Ответ написан
Комментировать
@Gonzalez Автор вопроса
Я, наверное, не развернуто описал.
Дело в том, что это системная учетная запись и под ней на группе серверов запускаются приложения и сервисы. Она для этого и служит. Авторизацию на любом компе домена нужно запретить. Такая стоит задача. Попробовали поставить галку в свойствах учетной записи : "Deny this user permissions to log on to any Terminal Server" но это не помогло, продолжает пускать.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы