描述目前設定:我們讓我們的工作人員透過 Windows VPN 伺服器 (RAS) 進行遠端操作。有沒有辦法強制執行規則,阻止他們中的任何人以網域管理員身份登入伺服器/工作站,即使他們知道密碼?
答案1
首先,最終用戶永遠不應該知道網域管理員密碼,如果是這樣,您可能應該更改它。否則,他們本質上應該是值得信賴的,您不需要擔心這個問題。網域管理員和(本機)管理員會自動成為遠端桌面使用者本機和網域群組的一部分,我不相信您可以輕鬆刪除它們(如果有的話)。
每KB323381開啟 Active Directory 使用者和計算機,右鍵點選用戶,撥入(選項卡),取消選取允許存取。該文章提到 RAS 伺服器上的設定控制是否所有使用者都具有存取權限(詳細資訊如下),因此您可能需要變更該設置,以便只有指定的使用者俱有存取權限:
- 按一下“開始”,指向“管理工具”,然後按一下“路由和遠端存取”。
- 雙擊 Your_Server_Name,然後按一下遠端存取策略。
- 右鍵單擊“到 Microsoft 路由和遠端存取伺服器的連接”,然後按一下“屬性”。
- 按一下“授予遠端存取權限”,然後按一下“確定”。
在我的 2016 網域林中,右鍵單擊 AD 使用者並轉到遠端桌面服務設定文件,我有一個複選框可以幫助您“拒絕此使用者登入遠端桌面會話主機伺服器的權限”