[Çözüldü] Domain Admin yetkili kişinin RDP yapmasını engellemek

Merhaba,
RDP için bir security group oluşturabilir ,  sonrasında oluşturduğun gruba sadece ,  rdp yapacak kullanıcıları eklersin. Bu grubu RDP yapmasını istemediğin sunucunun RDP gruplarına ekleyerek deneyebilirsin; ancak Domain Admin yetkili biri bunu farklı bir Group Policy basarak veya Computer Management üzerine o sunucuyu ekleyip grup ayarlarını tekrar değiştirebilir ve bağlanabilir. 

@hasanemreeroglu ilginiz ve cevabınız için teşekkür ederim. Dediğiniz gibi domain admin yetkili birisi grup ayarları ile oynayabildiği için çözüm bulamıyorum. 

Server'a erişim için 2 aşamalı doğrulama koyma gibi birşey yapılabilir mi? Sanırım en uygun çözüm böyle birşey olur.

Merhaba, amacınız nedir? Neden böyle çokta mantıklı olmayan bir şey istiyorsunuz? Sonuçta Domain Admin olan bir kişi MFA sistemi dahil o sunucuda çalışan her şeyi durdurabilir, silebilir, kaldırabilir. Yani boşa kürek çekiyorsunuz, amacınızı paylaşırsanız belki yardımcı olabiliriz.

Benim önerim domain admin olabilir ama network admin değil ise sunucu sistemleri için network seviyesinde vlan ayrımı var ise o sunucuya RDP yapacak ip leri sınırlarsınız. Yine sanal bir sistem ise örneğin esx gibi, panel şifresini yine bilmiyor ise domain admin olması bir şey değiştirmez konsoldan da bağlanamaz. En son ilo veya idrac gibi şeyler var ki dediğim gibi istek çok mantıklı olmadığı için daha fazla yazma motivasyonum yok 🙂

@hakanuzuner teşekkür ederim. Evet isteğim mantıklı birşey değil ancak gerekli. 

Server'ların bulunduğu Vlan ayrı network admin olarak engellemeyi deneyeceğim. ILO ve IDRAC konularını araştıracağım.  Çözüm öneriniz için teşekkür ederim.

Rica ederim, bence ıslak bir sopa ile dövün adamı 🙂

Sopa konusu ilginç olabilir (bknz: budaklı meşe odunu) ama bence sunucuyu domain'den çıkartın. Sonuçta ilgili hesap domain admin. Domain yoksa sorunda yok. Ancak network admininiz ayrı ise o zaman ilgili hesap için bazı güzellikler düşünebilirsiniz fakat 1 kişi için bu kadar uğraşa değer mi bilemiyorum. Alternatif olarak bu sunucularda RDP erişimini kapatıp alternatif remote yazılımları kullanabilirsiniz. Maliyet ve güvenlik konusunu ayrıca tartışmak gerekir.

Muhabbet güzelmiş 🙂 bu biraz patrona sen muhasebeye karışamazsın demek gibi olmuş.:)
DA yetkinliğinde birini workgroup'la durduramazsınız bence.:) Gerçi bunu düşünmek zorunda kalan organizasyon için ben network katmanında da durdurulabileceğini pek sanmıyorum.:)