Para describir la configuración actual: Permitimos que nuestros trabajadores trabajen de forma remota a través de un servidor VPN de Windows (RAS). ¿Hay alguna manera de hacer cumplir una regla que impida que cualquiera de ellos inicie sesión en servidores/estaciones de trabajo como administrador de dominio, incluso si conociera la contraseña?
Respuesta1
En primer lugar, los usuarios finales NUNCA deben conocer la contraseña del administrador del dominio; de ser así, probablemente deberían cambiarla. De lo contrario, deberían ser intrínsecamente dignos de confianza y no deberías tener que preocuparte por este problema. El administrador de dominio y el administrador (local) forman parte automáticamente de los grupos locales y de dominio de usuarios de escritorio remoto y no creo que pueda eliminarlos fácilmente, en todo caso.
PorKB323381abra Usuarios y computadoras de Active Directory, haga clic derecho en usuario, Acceso telefónico (pestaña), desmarque Permitir acceso. El artículo dice que una configuración en el servidor RAS controla si TODOS los usuarios tienen acceso (detallado a continuación), por lo que es posible que deba cambiarlo para que solo los usuarios designados tengan acceso:
- Haga clic en Inicio, seleccione Herramientas administrativas y luego haga clic en Enrutamiento y acceso remoto.
- Haga doble clic en Your_Server_Name y luego haga clic en Políticas de acceso remoto.
- Haga clic con el botón derecho en Conexiones al servidor de enrutamiento y acceso remoto de Microsoft y luego haga clic en Propiedades.
- Haga clic en Conceder permiso de acceso remoto y luego haga clic en Aceptar.
En mi bosque de dominios de 2016, al hacer clic con el botón derecho en un usuario de AD y acceder al perfil de Servicios de Escritorio remoto, tengo una casilla de verificación que puede ayudarle a 'Denegar permisos a este usuario para iniciar sesión en el servidor host de sesión de Escritorio remoto'