Я добавил сервер srv09
в «logOnWorkstations» для учетной записи активного каталога adAccount1
. Ранее в поле было указано 8 других имен серверов, и учетная запись может получить к ним доступ, но подключение удаленного рабочего стола к новому серверу завершается ошибкой со следующей ошибкой
"The system administrator has limited the computers you can log on with. [..]"
Это событие отображается на сервере, как и ожидалось, как ошибка
4625 Событие с
failure Reason: User not allowed to logon at this computer.
Status: 0xC000006e
sub status: 0xc0000070
Итак, я проверяю настройки своих объявлений, и они выглядят хорошо.
get-aduser adAccount1 -properties * | select Logonworkstation
LogonWorkstations
-----------------
srv01,srv02,srv03,srv04,srv05,srv06,srv07,srv08,srv09
Я подумал, что, возможно, DNS работает неправильно, и проверил, что nslookup srv09
разрешено правильно как на srv09
, так и на клиентском компьютере, пытающемся подключиться к удаленному рабочему столу.
Я не знаю, как устранить проблему дальше. Сервер находится на другом Vlan, чем другие серверы, поэтому я попытался выполнить захват Wirehark на srv09
, но все, что я вижу, - это трафик rds между клиентом и сервером. Кто-нибудь знает процесс обработки атрибута Logonworkstation при входе в систему? Проверяет ли контроллер домена список одобренных компьютеров клиенту или серверу?
Чтобы внести ясность, моя цель - разрешить adAccount1 доступ только к 9 идентифицированным серверам, и прямо сейчас он может получить доступ ко всем, кроме одного.
Я подозреваю, что вы пытаетесь настроить группу администратора сервера, которая не может войти на рабочую станцию. Одной из причин является защита от Pass-The-Hash через группы доступа на основе ролей.
Способ сделать это - поместить ваших администраторов в группу. Предоставьте этой группе доступ на серверах и явно запретите доступ на рабочих станциях. Поместите это в GPO, и он у вас будет. Затем, когда вы получаете нового администратора, вы помещаете его учетную запись администратора сервера в одну группу, и он получает доступ ко всем необходимым узлам, и ему запрещается доступ к не разрешенным узлам. GPO применяет все это.
Для пояснения, ваш GPO помещает группу администратора сервера в группу удаленного рабочего стола на локальных машинах, на которых разрешен вход в систему. И он помещает их в локальную группу запрета входа на всех остальных машинах. Этот GPO (или отдельный) также дает локальной системе группу Remote Desktop Group (встроенную на сервере) разрешения на использование Remote Desktop.
.Если все, что вы хотите сделать, это ограничить доступ RDP к компьютеру, то этот метод довольно ужасен. Вместо этого вы должны создать AD-группу с этим пользователем и добавить эту группу в группу Remote Desktop Users (пользователи удаленного рабочего стола) на соответствующих серверах.
Вы можете попробовать сохранить RDP-файл с настройками подключения, а затем отредактировать его в блокноте. Добавьте эту строку
enablecredsspsupport:i:0
. Это отключит использование провайдера безопасности CredSSP для этого соединения.
Второе решение, которое вы можете попробовать, - это добавить исходную рабочую станцию (с которой инициируется RDP-соединение) в список Logonworkstations, но я думаю, что в большинстве случаев это не вариант.