현재 설정을 설명하려면 Windows VPN 서버(RAS)를 통해 작업자를 원격으로 허용합니다. 암호를 알고 있더라도 서버/워크스테이션에 도메인 관리자로 로그인하지 못하도록 하는 규칙을 시행할 수 있는 방법이 있습니까?
답변1
우선 최종 사용자는 도메인 관리자 비밀번호를 절대 알면 안 됩니다. 그렇다면 비밀번호를 변경해야 합니다. 그렇지 않으면 본질적으로 신뢰할 수 있어야 하며 이 문제에 대해 걱정할 필요가 없습니다. 도메인 관리자 및 (로컬) 관리자는 자동으로 원격 데스크톱 사용자 로컬 및 도메인 그룹의 일부가 되며 쉽게 제거할 수 없다고 생각합니다.
당KB323381Active Directory 사용자 및 컴퓨터를 열고 사용자, 전화 접속(탭)을 마우스 오른쪽 버튼으로 클릭하고 액세스 허용을 선택 취소합니다. 이 기사에서는 RAS 서버의 설정이 모든 사용자가 액세스할 수 있는지 여부를 제어하므로(아래 자세히 설명) 지정된 사용자만 액세스할 수 있도록 변경해야 할 수도 있다고 설명합니다.
- 시작을 클릭하고 관리 도구를 가리킨 다음 라우팅 및 원격 액세스를 클릭합니다.
- Your_Server_Name을 두 번 클릭한 다음 원격 액세스 정책을 클릭합니다.
- Microsoft 라우팅 및 원격 액세스 서버에 대한 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
- 원격 액세스 권한 부여를 클릭한 다음 확인을 클릭합니다.
내 2016 도메인 포리스트에서 AD 사용자를 마우스 오른쪽 버튼으로 클릭하고 원격 데스크톱 서비스 프로필로 이동합니다. '원격 데스크톱 세션 호스트 서버에 로그온하기 위해 이 사용자 권한을 거부'하는 데 도움이 될 수 있는 확인란이 있습니다.