اعمال محدودیت در Remote Desktop از طریق Group Policy

Like
Like Love Haha Wow Sad Angry

می دانیم در صورتی که قابلیت Remote Desktop را برای سرورها و کلاینت های ویندوزی در شبکه های دامین مایکروسافتی فعال کنیم ، تمامی کاربرانی که عضو گروه Domain Admins باشند قادر خواهند بود که با سیستم های مذکور ریموت برقرار نمایند. ممکن است نیاز داشته باشید که قابلیت Remote را برای برخی از Domain Admins ها غیر فعال نمایید. در این آموزش روش اعمال این محدودیت را فرا خواهید گرفت.

چه کارهایی باید انجام دهیم؟

 

  • ایجاد یک Organization Group با نام Restricted RDP در Active Directory Users and Computers
  • انتقال Computer Account سیستم هایی که قصد محدود شدن دسترسی ریموت به آن ها را داریم به OU مذکور.
  • ایجاد یک Security Group با نام RestrictedRDP برای عضویت ادمین هایی که قصد محدود شدن آن ها را داریم و انتقال آن ها به این گروه.
  • ایجاد پالیسی و ویرایش آن جهت اعمال محدودیت.

همان طور که در تصویر زیر مشاهده می شود ، یک OU با نام RestrictedRDP در Active Directory ایجاد شده است و Computer Account ای با نام CLIENT به این OU منتقل شده است. همچنین یک Security Group نیز ایجاد شده است.

Deny Remote Desktop

در تصویر زیر مشاهده می شود که کاربری با نام Milad Tahmasbi که عضو Domain Admins است به عضویت Security Group با نام RestrictedRDP نیز در آمده است.

اکنون قصد داریم گروپ پالیسی را طوری پیکربندی نماییم که کاربر Milad Tahmasbi که عضو Domain Admins است ، نتواند با CLIENT ریموت برقرار نماید.

ایجاد پالیسی

پست های مرتبط

وارد کنسول Group Policy Management در DC شوید. مانند تصویر زیر یک Policy با نام RestrictedRDC ایجاد نمایید و آن را به OU مربوطه ( RestrictedRDP ) لینک کنید.

بر روی Policy راست کلیک کنید و گزینه Edit را بر گزینید.

از مسیر Computer Configuration زیرشاخه Windows Settings و سپس Security Settings و در نهایت Local Policies و User Right Assignment پالیسی Deny log on through Remote Desktop Services را دبل کلیک نمایید.

در زبانه Security Policy Setting چک باکس Define these policy settings را فعال نمایید و با استفاده از دکمه Add User or Groups گروهی که قبل تر ایجاد کرده اید را اضافه و در پایان بر روی Ok کلیک نمایید.

همه آن چه که لازم بود انجام شده است. از این به بعد کاربرانی که عضو گروه RestrictedRDP شوند نخواهند توانست به Computer Account های عضو OU با نام RestrictedRDP ریموت برقرار کنند. نام گروه ها ، OU و پالیسی را می توانید به دلخواه تغییر دهید.

فراموش نکنید که برای اعمال سریع پالیسی می توانید از دستور gpupdate /force بهره ببرید.

 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.