it-swarm.com.de

Den Remotedesktopzugriff auf bestimmte Benutzer auf bestimmte Server in einer Domänenumgebung beschränken?

Ich habe einen Domänencontroller und möchte bestimmten Benutzerkonten den Remotedesktopzugriff auf bestimmte Server in derselben Domäne ermöglichen.

Es gibt viele Server, auf die über das Remotedesktopprotokoll zugegriffen werden kann. Ich möchte diese Benutzer jedoch darauf beschränken, nur Verbindungen zu den von mir zugelassenen Servern herzustellen, nicht zu allen.

Ich habe zum Beispiel den Benutzer "Billy" und möchte, dass er RDP auf die Server "1" und "2", nicht aber auf den Server "3" ausführen kann.

Bitte erläutern Sie eine gute Herangehensweise an dieses Problem.

7
Kippix

Eingeschränkte Remotedesktopverbindung in Domänenumgebung für Domänenbenutzer

Lösung

Um die Anmeldung eines Benutzers oder einer Gruppe über RDP zu verweigern, legen Sie explizit die Berechtigung " Anmeldung über Remotedesktopdienste verweigern" fest.

Greifen Sie dazu auf einen Gruppenrichtlinien-Editor zu (entweder lokal auf dem Server oder von einer Organisationseinheit aus) und legen Sie diese Berechtigung fest:

  1. Start | Führen Sie | aus Gpedit.msc , wenn Sie die lokale Richtlinie bearbeiten oder die entsprechende Richtlinie auswählen und bearbeiten.

  2. Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisung von Benutzerrechten .

  3. Suchen und doppelklicken Sie auf " Anmeldung über Remotedesktopdienste verweigern ".

  4. Fügen Sie den Benutzer und/oder die Gruppe hinzu, auf die Sie zugreifen möchten.

  5. Klicken Sie auf Ok .

  6. Führen Sie entweder gpupdate/force/target: computer aus oder warten Sie, bis die nächste Richtlinienaktualisierung erfolgt, damit diese Einstellung wirksam wird.

Quelle

7
Pimp Juice IT

In diesem Fall ist es für mich die beste Option, einfach die Eigenschaften des AD-Kontos des Benutzers zu ändern. Wählen Sie auf der Registerkarte "Konto" die Option "Anmelden an" und geben Sie dort an, auf welchen Computern sich der Benutzer anmelden darf. Natürlich möchten Sie ihnen erlauben, sich an ihrer eigenen Arbeitsstation anzumelden, aber Sie können auch die Terminalserver hinzufügen, an denen sie sich anmelden dürfen sollen.

Der Nachteil dieser Methode ist, dass sich der Benutzer abhängig von Ihrer Umgebung auch nicht an anderen Arbeitsstationen anmelden darf, es sei denn, diese Arbeitsstationen sind in dieser Liste der zulässigen Systeme angegeben.

1
Gary H

Ich weiß nicht, ob dies die Antwort ist, nach der Sie suchen, aber es ist vielleicht hilfreich.

  1. Wechseln Sie zu Erweiterte Firewall-Einstellungen - und suchen Sie dann nach dem RDP
  2. In scoop können Sie die IP-Adresse angeben, auf die Sie über RDP zugreifen möchten, und so viele IP-Adressen angeben, wie Sie möchten
  3. Wechseln Sie zu den Eigenschaften von RDP und blockieren Sie die Verbindung, anstatt sie zuzulassen

Hinweis: Vergessen Sie nicht, dass jedes Hosting-Unternehmen einen IP-Bereich für technische Support-Probleme hat, fragen Sie danach und lassen Sie diese ebenfalls zu, da Sie sonst möglicherweise Probleme haben, technischen Support zu erhalten.

0
Medhat Fawzy