Разрешить службе удаленного рабочего стола получать постоянный ток с определенных компьютеров
Я планирую архитектуру защищенных терминалов только для доступа к DC.
Итак, у меня есть 2 безопасных компьютера, и если я хочу подключиться к постоянному току, si должен будет войти в эти компьютеры
Итак, что я сделал, так это развернул GPO, блокирующий логины пользователей ADM на рабочих станциях и программном обеспечении. Я не буду здесь подробно рассказывать, потому что у меня все настроено правильно.
Что мне нужно знать состоит в том, чтобы заблокировать возможность пользователей ADM устанавливать RDP-соединение с DC с любой рабочей станции, которая не является защищенной
Я имею в виду, что администратор домена может инициировать соединение rdp с DC, используя свои учетные данные на любой рабочей станции нашего домена. Я хочу знать, можно ли отрицать это с помощью gpo вместо блокировки сетевого трафика
Расширенные настройки брандмауэра Windows позволяют ограничить RDP определенными исходными IP-адресами.
В качестве альтернативы вы можете использовать сертификаты на клиентах .
Нет, вам нужно будет использовать брандмауэр хоста или сети.
В качестве альтернативы вы можете указать «Вход в систему» для учетной записи учетной записи пользователя и указать «Рабочие станции входа в систему», контроллеры домена / административные компьютеры. Это может сработать, если у вас не так много.