Описывая текущую настройку: мы позволяем нашим работникам работать удаленно через Windows VPN Server (RAS). Есть ли способ применить правило, которое не позволит никому из них входить на серверы/рабочие станции в качестве администратора домена, даже если они знают пароль?
решение1
Прежде всего, конечные пользователи НИКОГДА не должны знать пароль администратора домена, если так, вам, вероятно, следует его изменить. В противном случае они должны быть изначально заслуживающими доверия, и вам не нужно беспокоиться об этой проблеме. Администратор домена и (локальный) администратор автоматически являются частью локальных и доменных групп пользователей удаленного рабочего стола, и я не думаю, что вы можете легко удалить их, если вообще можете.
ЗаКБ323381откройте Active Directory Users and Computers, щелкните правой кнопкой мыши пользователя, Dial-in (вкладка), снимите галочку Allow Access. В статье говорится, что настройка на сервере RAS контролирует, имеют ли ВСЕ пользователи доступ (подробнее ниже), поэтому вам может потребоваться изменить ее так, чтобы доступ имели только назначенные пользователи:
- Нажмите «Пуск», выберите «Администрирование», а затем нажмите «Маршрутизация и удаленный доступ».
- Дважды щелкните Your_Server_Name, а затем щелкните Remote Access Policies.
- Щелкните правой кнопкой мыши Подключения к серверу маршрутизации и удаленного доступа Microsoft, а затем выберите Свойства.
- Нажмите Предоставить разрешение на удаленный доступ, а затем нажмите ОК.
В моем лесу доменов 2016 года, если щелкнуть правой кнопкой мыши пользователя AD и перейти в Профиль служб удаленных рабочих столов, у меня есть флажок, который может вам помочь: «Запретить этому пользователю доступ к серверу узла сеансов удаленных рабочих столов».