Nous devons interdire au compte d'administrateur de domaine d'accéder à un serveur directement via RDP. Notre politique consiste à ouvrir une session en tant qu'utilisateur normal, puis à utiliser la fonctionnalité Exécuter en tant qu'administrateur. Comment pouvons-nous mettre cela en place?
Le serveur en question exécute Windows Server 2012 R2 avec l'hôte de session Bureau à distance et la collection RD basée sur la session. Les groupes d'utilisateurs autorisés ne contiennent pas l'utilisateur administrateur de domaine, mais il est toujours en mesure de se connecter.
Je vous remercie.
Cela semble être ce que vous recherchez: http://support.Microsoft.com/kb/2258492
Pour refuser un utilisateur ou une connexion de groupe via RDP, définissez explicitement le privilège "Refuser la connexion via les services Bureau à distance". Pour ce faire, accédez à un éditeur de stratégie de groupe (local sur le serveur ou à partir d'une unité d'organisation) et définissez ce privilège:
Démarrer | Run | Gpedit.msc si vous modifiez la stratégie locale ou choisissez la stratégie appropriée et modifiez-la.
Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Politiques locales | Attribution des droits utilisateur.
Recherchez et double-cliquez sur "Refuser la connexion via les services Bureau à distance"
Ajoutez l'utilisateur et/ou le groupe auquel vous souhaitez accéder.
Cliquez sur OK.
Exécutez gpupdate/force/target: computer ou attendez la prochaine actualisation de la stratégie pour que ce paramètre prenne effet.