我正在规划一个安全的terminal架构,只能访问DC。
所以我有2台电脑是安全的,如果我想连接到DC的,我将不得不login到这些电脑
所以我所做的是部署GPO的阻止工作站和soforth ADM用户的login,我不在这里详细,因为我已经configuration好了。
我需要知道的是阻止ADM用户从任何不安全的工作站进行RDP连接到DC的能力
我的意思是说,域pipe理员可以使用我们域中的任何工作站上的凭据来将rdp连接变为dc。 我想知道是否可以通过gpo而不是阻止networkingstream量
Windows防火墙高级设置允许您将RDP限制为某些源IP。
或者,您可以在客户端上使用证书 。
不,您将需要使用基于主机或networking的防火墙。
作为替代,您可以在用户帐户的帐户上指定“login到”,并指定“login工作站”,域控制器/pipe理员计算机。 如果你没有那么多,这可能会奏效。