@deogoss

RDP доступ конкретным пользователям только из локальной сети?

Всем доброго времени суток.

Столкнулся в первой с нестандартной ситуацией.

Имеется Терминальный сервер Win2016 (DC/AD/RDP)
Сервер временно работает с открытым RDP портом наружу (Верно говорите что так нельзя, но сейчас как есть)
Доступ к терминальному серверу пользователи получают из локальной сети и через инет.
Есть ли возможность запретить группе пользователей подключаться через проброс RDP, а оставить только локальные подключения?
Возможно через политики можно настроить впускать только если IP локальной сети?
  • Вопрос задан
  • 240 просмотров
Пригласить эксперта
Ответы на вопрос 3
SignFinder
@SignFinder
Wintel\Unix Engineer
Windows Firewall позволяет оперировать доступом для пользователей или групп AD.
Как вариант - использовать вторую сетевую карту\второй ip и Firewall Windows разрешить вход на порт для одной группы.
Ответ написан
@chifth
Как строить сеть - это конечно ваш выбор, но сейчас у вас очень опасный сетап.

Конкретно по вопросу:
Я так понял что вам надо чтобы был доступ Всем из локалки, и Некоторым из интернета (при том чтобы из локалки они могли зайти).
Штатно средствами RDP такое не сделать, там нет никаких настроек касательно доступа из конкретного места.
Зато такое есть в Remote Desktop Gateway. То есть это такой себе сервер, который должен стоять на границе интернета и локалки, и пускать в локалку по логину/паролю юзера. Вот тут вы и сможете выбрать конкретную группу юзеров, которым разрешена авторизация. Остальные не смогут авторизоваться, а значит и в локалку к RDP серверу не попадут извне.
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Верно говорите что так нельзя, но сейчас как есть
Почему нельзя?

Есть ли возможность запретить группе пользователей подключаться через проброс RDP, а оставить только локальные подключения?
Да, в Windows Firewall найдите правило для входящего трафика разрешающее подключение RDP, перейдите на вкладку "общие" и убедитесь что разрешены только безопасные подключения, после чего перейдите на вкладку " удаленные пользователи" и там поставьте запрет на определенного пользователя или группу.

А вообще есть смысл использовать Remote Desktop Gateway - удобная штука, и там все можно без проблем настроить.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы