如何禁止远程桌面时使用本地administrator登录

Published on 2017 - 03 - 25

不论是在工作中还是在日常的家庭电脑使用中越来越多的人由于电脑的重多会选择远程连接某台电脑,在企业中更为普遍,很多工程师、开发人员、办公人员等都习惯于回家远程连接自己的电脑在缺省状态下,系统允许administrator账号使用远程桌面功能,这给服务器及客户端都带来了非常大的安全隐患,非法攻击者经常会尝试使用该用户账号来攻击本地服务器系统或客户端计算机,最为直接也最为极端的方法可能要属禁用administrator了,但是这会影响到网络管理员正常管理服务器系统或对客户端系统的维护工作,于是我们就有童鞋采用为administrator账号更名的方式,来禁止尝试使用administrator来远程桌面连接,但相比起来这些方法都太过了于不便,我们为什么不采用组策略中的相关选项来解决我们遇到的这个安全问题呢?
好那么我们就一起来看看如何来禁止用户利用administrator进行远程桌面连接,仅让administrator在本地登录才能使用,前面提到了组策略的方式可以禁止,对的这将是一个不错的方法,我们可以对企业中大量计算机集中修改,这样不就更容易也更方便了吗?好,那我们就去看看如何操作吧。
我们首先需要登录到域控制中,通过单击“开始”/“管理工具”/“组策略编辑器”,打开“组策略编辑器”后,在你需要禁止的计算机OU上新建策略,在之前的很多博文中也提到过如何创建组策略,如果大家不太了解相关创建步骤,可以参考《组策略实现对IE受信任站点添加》一文中1-4步所提到的创建组策略部分内容。
策略建立完成后,打开该策略进行编辑,定位至下图标框位置;

3、双击打开“拒绝通过远程桌面服务登录”策略项,如下图所示,勾选“定义这些策略设置”,单击“添加用户或组”,在弹出的对话框中,输入“administrator”,单击2次确定退回到组策略编辑窗口中。

4、返回组策略编辑窗口中后,可以看到如下图所示内容;

5、返回到应用此策略OU下的计算机中,打开命令提示符窗口,输入“gpupdate /force”强制刷新应用新的策略,完成后,可以在“命令”提示符窗口中输入rsop.msc来检查策略应用生效情况;
6、如果策略应用成功了,那么在rsop.msc组策略应用集中将会看到刚才设置那条策略。
7、找台客户端远程连接应用策略的这台计算机,使用本地的administrator登录,这时你会看到如下图示出现拒绝登录的报警提示,但我们在应用策略的计算机上可以正常登录的。

好了至此呢,我就和大家分享了一下利用组策略来实现限制本地administrator帐号只能用于本地登录而不能用于远程桌面连接时登录,希望能给有需要的博友和朋友们带来一些借鉴。