Restreindre l'accès Remote Desktop à des utilisateurs spécifiques sur des serveurs spécifiques dans un environnement de domaine?
J'ai un contrôleur de domaine et je veux autoriser certains comptes d'utilisateur à accéder au Bureau à distance à certains serveurs du même domaine.
Il existe de nombreux serveurs auxquels on peut accéder via le protocole de bureau à distance, mais j'aimerais limiter ces utilisateurs à se connecter uniquement aux serveurs que j'autorise, pas à tous.
Par exemple, j'ai l'utilisateur "Billy" et je veux qu'il puisse utiliser RDP sur les serveurs "1" et "2" mais pas sur le serveur "3".
S'il vous plaît expliquer une bonne approche à ce problème.
Connexion de bureau à distance restreinte dans l'environnement de domaine pour l'utilisateur de domaine
Solution
Pour refuser un utilisateur ou un groupe de connexion via RDP, définissez explicitement le privilège " Refuser la connexion via les services Bureau à distance ".
Pour ce faire, accédez à un éditeur de stratégie de groupe (soit local sur le serveur, soit à partir d'une unité d'organisation) et définissez ce privilège:
Démarrer | Exécuter | Gpedit.msc si vous modifiez la stratégie locale ou choisissez la stratégie appropriée et modifiez-la.
Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Stratégies locales | Attribution des droits utilisateur .
Recherchez et double-cliquez sur " Refuser l'ouverture de session via les services Bureau à distance "
Ajoutez l’utilisateur et/ou le groupe auquel vous souhaitez accéder.
Cliquez sur Ok .
Exécutez gpupdate/force/target: computer ou attendez la prochaine actualisation de la stratégie pour que ce paramètre prenne effet.
La meilleure option pour moi dans ce cas est simplement de modifier les propriétés du compte AD des utilisateurs. Sous l'onglet "Compte", sélectionnez "Ouvrir une session" et vous pouvez y spécifier les ordinateurs auxquels l'utilisateur est autorisé à se connecter. Vous voudrez bien sûr leur permettre de se connecter à leur propre poste de travail, mais vous pouvez également ajouter les serveurs de terminaux auxquels ils devraient être autorisés à se connecter.
L'inconvénient de cette méthode, selon votre environnement, est que l'utilisateur ne serait pas autorisé non plus à se connecter à d'autres postes de travail, à moins que ces postes de travail ne soient spécifiés dans cette liste de systèmes autorisés.
Je ne sais pas si c'est la réponse que vous recherchez, mais cela peut être utile.
- Accédez aux paramètres avancés du pare-feu - puis entrez et recherchez le RDP
- A partir de scoop, vous pouvez spécifier l'adresse IP à laquelle vous voulez donner accès via RDP, mettez autant d'ips que vous le souhaitez.
- Accédez aux propriétés de RDP et choisissez de bloquer la connexion au lieu de permettre
Remarque: N'oubliez pas que chaque société d'hébergement dispose d'une plage d'adresses IP pour les problèmes d'assistance technique, posez-leur des questions à ce sujet et autorisez-la également. Sinon, vous pourriez avoir des difficultés à obtenir une assistance technique.