我已将一台服务器srv09添加到“logOnWorkstations”,以获取活动目录帐户adAccount1 。 它以前有8个其他服务器名称在该字段中,该帐户可以访问它们,但远程桌面到新的服务器失败,出现以下错误
"The system administrator has limited the computers you can log on with. [..]"
这个事件按预期在服务器上显示为a
4625错误事件
failure Reason: User not allowed to logon at this computer. Status: 0xC000006e sub status: 0xc0000070
所以我检查我的广告设置,他们看起来不错。
get-aduser adAccount1 -properties * | select Logonworkstation LogonWorkstations ----------------- srv01,srv02,srv03,srv04,srv05,srv06,srv07,srv08,srv09
我想也许DNS工作不正常,并检查nslookup srv09在srv09和客户端计算机尝试远程桌面连接正确解决。
我不知道如何进一步解决问题。 服务器在不同的Vlan,然后是其他服务器,所以我尝试了srv09上的wireshark捕获,但是我所看到的只是客户端和服务器之间的rdsstream量。 有没有人知道在login过程中如何处理Logonworkstation属性? 域控制器是否向客户端或服务器certificate了已批准计算机的列表?
只是为了清楚我的目标是让adAccount1只能访问9个已识别的服务器,现在只能访问一个。
我怀疑你试图设置服务器pipe理员组,无法login到工作站。 其中一个原因是通过基于angular色的访问组来防范Pass-the-Hash。
做到这一点的方法是把你的pipe理员在一个组。 在服务器上授予该组访问权限,并明确拒绝在工作站上访问。 把它放在GPO中,你就可以拥有了。 然后,当你得到一个新的pipe理员,你把他们的服务器pipe理员帐户在一个组,并具有所需的所有访问,并阻止访问不允许的主机。 GPO执行所有的操作。
为了说明,您的GPO将服务器pipe理员组放入允许login的本地机器上的远程桌面组。 而且它把它们放在所有其他机器上的本地login被拒绝组中。 此GPO(或单独的一个)还使本地系统远程桌面组(内置在服务器上)具有使用远程桌面的权限。
如果你想要做的只是限制谁可以在电脑里使用RDP,那么这个方法是非常糟糕的。 您应该创build一个包含该用户的AD组,然后将该组添加到相关服务器上的“远程桌面用户”组。
您可以尝试使用连接设置保存RDP文件,然后在记事本中进行编辑。 添加这个string
enablecredsspsupport:i:0
这将禁用此连接的CredSSP安全提供程序使用情况。
你可以尝试的第二个解决scheme是添加源工作站(从最初的RDP连接)到Logonworkstations列表,但我认为这在大多数情况下不是这个选项。