Resolução de problemas de acesso a estação de trabalho

Question

Resolução de problemas de acesso a estação de trabalho

#1 resposta do (1 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)

2

Eu adicionei um servidor srv09 às "logOnWorkstations" para uma conta de diretório ativa adAccount1 . Anteriormente ele tinha 8 outros nomes de servidor no campo e a conta pode acessá-los, mas a área de trabalho remota no novo servidor falha com o seguinte erro

"The system administrator has limited the computers you can log on with. [..]"

Este evento aparece no servidor como esperado como

Evento de erro 4625 com

failure Reason: User not allowed to logon at this computer.
Status: 0xC000006e
sub status: 0xc0000070

Por isso, verifico a configuração do meu anúncio e ficam bem.

get-aduser adAccount1 -properties * | select Logonworkstation 


LogonWorkstations
-----------------
srv01,srv02,srv03,srv04,srv05,srv06,srv07,srv08,srv09

Achei que talvez o DNS não estivesse funcionando corretamente e verifiquei que nslookup srv09 resolvido corretamente em srv09 e no computador cliente que está tentando fazer a conexão da área de trabalho remota.

Eu não sei como resolver o problema ainda mais. O servidor está em um Vlan diferente, em seguida, os outros servidores, então eu tentei uma captura wireshark em srv09 , mas tudo o que vejo é o tráfego rds entre o cliente eo servidor. Alguém sabe o processo de como o atributo Logonworkstation é processado durante o login? O controlador de domínio provou uma lista de computadores aprovados para o cliente ou o servidor?

Só para deixar claro, meu objetivo é permitir que adAccount1 acesse apenas os 9 servidores identificados e, no momento, ele pode acessar todos menos um.

remote-desktop login active-directory windows-server-2012-r2

por Eric 29.09.2016 / 19:29

3 respostas

1

Se tudo o que você quer fazer é limitar quem pode RDP em um computador, esse método em particular é bastante terrível. Em vez disso, você deve criar um grupo do AD com esse usuário e adicioná-lo ao grupo Usuários da área de trabalho remota nos servidores em questão.

por 29.09.2016 / 19:33

1

Você pode tentar salvar o arquivo RDP com configurações de conexão e, em seguida, editá-lo no bloco de notas. Adicione esta string

enablecredsspsupport:i:0

Isso desativará o uso do provedor de segurança CredSSP para esta conexão.

A segunda solução que você pode tentar é adicionar a estação de trabalho de origem (da qual a conexão RDP é iniciada) à lista Logonstations, mas acho que essa não é a opção na maioria dos casos.

por 05.10.2016 / 16:34

Tags remote-desktop login active-directory windows-server-2012-r2

Não é possível criar um arquivo com o prefixo “con.de.” no nome do arquivo Como consultar o tamanho do dispositivo DRBD?

score 1 · Accepted Answer

Suspeito que você esteja tentando configurar o grupo de administradores do servidor, que não pode fazer login em uma estação de trabalho. Um dos motivos é a defesa contra o Pass-The-Hash, por meio de grupos de acesso baseado em função.

A maneira de fazer isso é colocar seus administradores em um grupo. Conceda a esse grupo acesso nos servidores e negue explicitamente o acesso nas estações de trabalho. Coloque isso no GPO e você tem isso. Então, quando você começa um novo administrador, você coloca sua conta de administrador do servidor em um grupo e tem todo o acesso que precisa, e é impedido de acessar os hosts não permitidos. O GPO impõe tudo isso.

Para esclarecer, o GPO coloca o grupo de administradores do servidor no Grupo de Área de Trabalho Remota nas máquinas locais em que o login é permitido. E os coloca no grupo local de login negado em todas as outras máquinas. Esse GPO (ou um separado) também fornece ao sistema local Grupo de Área de Trabalho Remota (incorporado no Servidor) as permissões para usar a Área de Trabalho Remota.