none
Доступ к серверам Windows через один терминальный сервер RRS feed

  • Вопрос

  • Здравствуйте, нужен совет как реализовать следующее:

    1.Есть учетные записи администраторов домена, нужно сделать так, чтобы они могли заходить только на один сервер терминалов по RDP , а с него могли на все остальные сервера в домене , по RPD, Powershell...

    Т.е. администрировать сервера они могут только с одного терминального сервера, по другому админы зайти не могут, вся работа и доступы только через один терминальный сервер.

    Спасибо!

    10 апреля 2019 г. 11:38

Ответы

Все ответы

  • Поднять и настроить RD Gateway?
    10 апреля 2019 г. 11:52
  • Не совсем понятно чего вы хотите этим добиться. Безопасность вы этим не сильно поднимете, так как администраторы домена всё равно смогут заходить на "небезопасные" хосты, пусть и через промежуточный сервер (а на этот сервер они с каких компьютеров будут заходить?) Для повышения безопасность посмотрите стратегию "Станции с привилегированным доступом".

    А непосредственно ваше требование можно организовать настройкой брандмауэров и Security rules на серверах. Так же почитайте про Authentication Policies and Authentication Policy Silos.



    10 апреля 2019 г. 11:52
  • Это делается для контроля работы системных администраторов, заходить на терминальный сервер они могут  с любой машины.

    Брандмауэром разве можно такое решить?


    10 апреля 2019 г. 12:01
  • Это делается для контроля работы системных администраторов, заходить на терминальный сервер они могут  с любой машины.

    Брандмауэром разве можно такое решить?


    Да, можно. Но мне кажется, что то, что вы хотите добиться решается другими методами.
    10 апреля 2019 г. 12:06
  • задачу поставили в ИБ, имено решение через Сервер Терминалов, чтобы админы могли админить только с одного сервера, а любая активность на сервере фиксируется скриншотами.


    10 апреля 2019 г. 12:10
  • задачу поставили в ИБ, имено решение через Сервер Терминалов, чтобы админы могли админить только с одного сервера, а любая активность на сервере фиксируется скриншотами.


    Уфф... ладно.
    10 апреля 2019 г. 12:12
  • Можно по подробнее ка реализовать.

    1.Есть группа администраторов

    2.Этой группе разрешено только заходить на сервер терминалов, на другие нельзя(Это реализовывается через ГПО- правило-брандмауэр? на всех серверах,кроме терминального  запретить вход для этой группы)

    3.Через ГПО-правило-бранмауэр , пишется правило что можно заходить на все сервера для этой группы , но только с IP сервера ?

    10 апреля 2019 г. 12:14
  • Подскажете?
    10 апреля 2019 г. 12:44
  • Как лучше сделать то ? 
    10 апреля 2019 г. 14:28
  • Здравствуйте, нужен совет как реализовать следующее:

    1.Есть учетные записи администраторов домена, нужно сделать так, чтобы они могли заходить только на один сервер терминалов по RDP , а с него могли на все остальные сервера в домене , по RPD, Powershell...

    Т.е. администрировать сервера они могут только с одного терминального сервера, по другому админы зайти не могут, вся работа и доступы только через один терминальный сервер.

    Спасибо!

    10 апреля 2019 г. 14:49
  • Здравствуйте, нужен совет как реализовать следующее:

    1.Есть учетные записи администраторов домена, нужно сделать так, чтобы они могли заходить только на один сервер терминалов по RDP , а с него могли на все остальные сервера в домене , по RPD, Powershell...

    Т.е. администрировать сервера они могут только с одного терминального сервера, по другому админы зайти не могут, вся работа и доступы только через один терминальный сервер.

    Спасибо!

    Приветствую.

    Какой смысл в клонировании идентичных тем, тем более вам ответили и предложили возможные решения?


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.


    • Изменено Alexander RusinovModerator 10 апреля 2019 г. 15:00 Добавил линк на тему тс https://social.technet.microsoft.com/Forums/ru-RU/d0f39ba3-e048-4d4c-86ef-ee1c90f47097/104410861089109010911087-1082?forum=WS8ru
    10 апреля 2019 г. 14:59
    Модератор
  • Не предложили возможное решение.
    10 апреля 2019 г. 15:00
  • Не предложили возможное решение.

    Решение вам предложили, по клонированию тем - советую почитать правила форумов в коих запрещено оное

     На том, темы будут объединены


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    10 апреля 2019 г. 15:06
    Модератор
  • Как лучше сделать то ? 
    посмотрите тему

    The opinion expressed by me is not an official position of Microsoft

    10 апреля 2019 г. 15:08
    Модератор
  • Спасибо, все заработало, но когад в правилах указываю еще порты PowerShell, до доступ к консоли ля определенных юзеров не проходит, как этот момент решить?
    12 апреля 2019 г. 10:11