Um das aktuelle Setup zu beschreiben: Wir lassen unsere Mitarbeiter über einen Windows VPN-Server (RAS) remote arbeiten. Gibt es eine Möglichkeit, eine Regel durchzusetzen, die verhindert, dass sich einer von ihnen als Domänenadministrator bei Servern/Arbeitsstationen anmeldet, selbst wenn er das Passwort kennt?
Antwort1
Zunächst einmal sollten Endbenutzer NIEMALS das Domänenadministratorkennwort kennen. Wenn doch, sollten Sie es wahrscheinlich ändern. Ansonsten sollten sie grundsätzlich vertrauenswürdig sein und Sie sollten sich über dieses Problem keine Sorgen machen müssen. Domänenadministrator und (lokaler) Administrator sind automatisch Teil der lokalen und Domänengruppen der Remotedesktopbenutzer und ich glaube nicht, dass Sie sie einfach oder überhaupt entfernen können.
ProKB323381Öffnen Sie Active Directory-Benutzer und -Computer, klicken Sie mit der rechten Maustaste auf den Benutzer, wählen Sie Einwählen (Registerkarte) und deaktivieren Sie Zugriff zulassen. Im Artikel heißt es, dass eine Einstellung auf dem RAS-Server steuert, ob ALLE Benutzer Zugriff haben (siehe unten). Sie müssen dies also möglicherweise ändern, damit nur bestimmte Benutzer Zugriff haben:
- Klicken Sie auf „Start“, zeigen Sie auf „Verwaltung“, und klicken Sie dann auf „Routing und RAS“.
- Doppelklicken Sie auf „Ihr_Servername“, und klicken Sie dann auf „Remotezugriffsrichtlinien“.
- Klicken Sie mit der rechten Maustaste auf „Verbindungen mit Microsoft Routing- und RAS-Server“, und klicken Sie dann auf „Eigenschaften“.
- Klicken Sie auf „Remotezugriffsberechtigung erteilen“ und dann auf „OK“.
In meiner Domänengesamtstruktur 2016 klicke ich mit der rechten Maustaste auf einen AD-Benutzer und gehe zum Remotedesktopdiensteprofil. Dort gibt es ein Kontrollkästchen, das Ihnen helfen kann: „Diesem Benutzer die Berechtigung verweigern, sich beim Remotedesktopsitzungshostserver anzumelden“.