Nastavení omezení pro Remote Desktop Vyřešeno

[GarGy]

Zdravím,

Chtěl bych se zeptat, přes Remote Desktop (veřejnou IP) se připojuji k doméně na serveru. Jak udělat, aby se nemohl připojit přes Remote Desktop kdokoli jiný, než já. Heslo k doméně z technických důvodů změnit nemůžu, ani IP adresu serveru. Jde to udělat nějak jinak ?

[Reklama]

[Uziv00]

jednoduše. Buď jediný uživatel s právy RDP.

[GarGy]

Jasně, jenže problém je v tom, že na server se každý přihlašuje jako ADMIN (já tohle nenastavoval, nevím proč to tak je) včetně RemoteDesktop. Bohužel, kvůli nastavení jiných programů to tak musí zůstat. Napadlo mě tedy, že bych v Active Directory vytvořil uživatele, který by byl přímo na RD (možná na to jdu špatně, tak mě prosím v čas zastavte), problém je v tom, že v nastavení RD, kde můžu přidávat uživatele kteří ho budou používat je napsaná věta:

The users listed below can connect to this computer, and any members of the Administrators group can connect even if they are not listed.

Otázka teda zní, můžu Admin účet odstranit z Administrators group ? Pokud ano tak jak a kde? Nebo přímo Adminovi nějak zakázat RDP ?

Pokud na to jdu uplně blbě, jde to jinak?

Děkuji.

[Uziv00]

ADMIN je co za účet? Pokud to není výchozí administrátorský účet, pak by ve vlastnostech účtu mělo jít připojení na RDP zakázat. Vytvoř si jiný účet, dej mu administrátorská práva a povol RDP. Přihlašuj se na RDP přes nový účet.

[GarGy]

ADMIN je právě výchozí administrátorský učet. Právě proto jsem psal že nevím proč je to tak blbě nastavené a jestli můžu zakázat RDP u Administrátorského účtu.

Napadlo mě jít cestou Local Security Policy, kde odstraním administrators a přidám uživatele kterého jsem vytvořil, šlo by to tak ?

[Uziv00]

No, řekl bych to asi takto - pokud máte bezpečnost tak na h...., že mají všichni admin práva, pak bych RDP vůbec neřešil. U výchozího admin účtu RDP pravděpodobně zakázat nepůjde - z logiky věci je to blbost, a ani to nedoporučuji.

[GarGy]

to jsem tvrdil také, jenže na to jsem malý pán abych to mohl udělat po svém. Ono by to teď ani nešlo, jelikož spousta běžících programů už je nakonfigurovaných právě na administrátorský účet a i změnou hesla k tomuto účtu by polovina z nich přestala fungovat (a není tak úplně jednoduché to nakonfigurovat na nové heslo, ale nechci to tu nějak rozvádět ). Každopádně jsem to dostal za úkol (a svému nadřízenému je zbytečné něco vysvětlovat ), tak se s tím musím nějak poprat. Zkusil jsem to přes to Local Security Policy, kde jsem odstranil RDP u Administrators, přidal tam účet, který jsem udělal speciálně na RemoteDesktop ale: jako ADMINISTRATOR už se sice připojit nemůžu, ale nemůžu se připojit ani jako ten uživatel pro RD, ač jsem ho v tom Local Security Policy (User Rights Assignment) přidal. Nevíte kde všude ten RD musím u toho uživatele ještě nastavit ?

[Uziv00]

To je logické - předpokládám, že kdyžs zakázal RDP pro Administrators, tak sis vytvořil RDP účet a ten je členem Administrators, která má RDP zakázánu. tedy vše funguje jak má.

[GarGy]

OK pokud je to tak jak říkáte, můžu RDP účet odebrat ze skupiny Administrators ? Pak by to mělo běžet ?

[Uziv00]

Tys nepochopil, co jsem řekl. A asi nevíš co jsi napsal.
Opakuji znovu důrazně, aby ses na tyto experimety vykašlal a bezpečnostní politiku řešil tak, jak se má.
Víš co jsou to skupiny? Co to everyone, Administrators atd.?

[GarGy]

Když se neřešila tak jak se má už od začátku tak teď už toho asi moc nezmůžu. No myslel jsem si že vím, ale asi jsem se mýlil. Říkám tedy špatně že RDP účet ze skupiny Administrators odebrat nemůžu ?

[Uziv00]

Pokud odebereš RDP celé skupině Administrators, pak tebou vytvořený účet pro RDP NESMÍ být ve skupině Administrators. A pak nevím, co bys s ním chtěl přes RDP dělat, když nebude mít plná práva. Můžeš vytvořit účet pro RDP ve skupině Administrators, ale pak budeš muset RDP zakázat jednotlivým členům skupiny Administrators, jen tomu tvému je ponecháš.
A jak jsem psal výše, pochybuji, že výchozímu účtu Administrator to půjde zakázat. Ale možná se pletu.