Para descrever a configuração atual: Permitimos que nossos funcionários trabalhem remotamente por meio de um servidor VPN (RAS) do Windows. Existe uma maneira de impor uma regra que impeça qualquer um deles de fazer login em servidores/estações de trabalho como administrador de domínio, mesmo que saibam a senha?
Responder1
Em primeiro lugar, os usuários finais NUNCA devem saber a senha do administrador do domínio; nesse caso, você provavelmente deverá alterá-la. Caso contrário, eles deverão ser inerentemente confiáveis e você não precisará se preocupar com esse problema. O Administrador de Domínio e o Administrador (local) fazem automaticamente parte dos grupos locais e de domínio dos Usuários de Área de Trabalho Remota e não acredito que você possa removê-los facilmente, se é que é possível.
PorKB323381abra Usuários e Computadores do Active Directory, clique com o botão direito do mouse em usuário, Discagem (guia), desmarque Permitir acesso. O artigo fala que uma configuração no servidor RAS controla se TODOS os usuários têm acesso (detalhado abaixo), então pode ser necessário alterar isso para que apenas usuários designados tenham acesso:
- Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e Acesso Remoto.
- Clique duas vezes em Your_Server_Name e clique em Políticas de acesso remoto.
- Clique com o botão direito em Conexões com o servidor Microsoft Routing and Remote Access e clique em Propriedades.
- Clique em Conceder permissão de acesso remoto e clique em OK.
Na minha floresta de domínio de 2016, clicando com o botão direito em um usuário AD e acessando o perfil de serviços de área de trabalho remota, tenho uma caixa de seleção que pode ajudá-lo a 'Negar a este usuário permissões para fazer logon no servidor Host de Sessão de Área de Trabalho Remota'