「ログオン」ワークステーションアクセスのトラブルシューティング

Question

ActiveDirectoryアカウントsrv09の「logOnWorkstations」にサーバーadAccount1を追加しました。以前はフィールドに他の8つのサーバー名があり、アカウントはそれらにアクセスできますが、新しいサーバーへのリモートデスクトップ接続は次のエラーで失敗します

"The system administrator has limited the computers you can log on with. [..]"

このイベントは、期待どおりにサーバーに表示されます。

4625エラーイベント

failure Reason: User not allowed to logon at this computer. Status: 0xC000006e sub status: 0xc0000070

だから私は私の広告設定をチェックし、それらはよく見えます。

get-aduser adAccount1 -properties * | select Logonworkstation LogonWorkstations ----------------- srv01,srv02,srv03,srv04,srv05,srv06,srv07,srv08,srv09

DNSが正しく機能していない可能性があると考え、nslookup srv09とリモートデスクトップ接続を試行しているクライアントコンピューターの両方でsrv09が正しく解決されていることを確認しました。

問題をさらにトラブルシューティングする方法がわかりません。サーバーが他のサーバーとは異なるVLANにあるため、srv09でWiresharkキャプチャを試しましたが、クライアントとサーバー間のrdsトラフィックしか確認できません。ログイン中にLogonworkstation属性がどのように処理されるかを知っている人はいますか？ドメインコントローラーは、承認されたコンピューターのリストをクライアントまたはサーバーに証明しましたか？

明確にするために、私の目標は、adAccount1が9つの識別されたサーバーのみにアクセスできるようにすることです。現在、1つを除くすべてにアクセスできます。

Xalorous · Accepted Answer

ワークステーションにログインできないサーバー管理グループをセットアップしようとしているようです。 1つの理由は、ロールベースのアクセスグループによるPass-The-Hashに対する防御です。

これを行う方法は、管理者をグループに入れることです。そのグループにサーバーへのアクセスを許可し、ワークステーションへのアクセスを明示的に拒否します。これをGPOに入れれば、それができます。新しい管理者を取得したら、サーバー管理者アカウントを1つのグループに入れて、必要なすべてのアクセス権を持ち、非管理者にアクセスできないようにします。 -allowed hosts。GPOそれをすべて強制します。

明確にするために、あなたのGPOは、ログインが許可されているローカルマシンのリモートデスクトップグループにサーバー管理グループを配置し、他のすべてのマシンのローカルログイン拒否グループに配置します。これは= GPO（または別のグループ）は、ローカルシステムのリモートデスクトップグループ（サーバーに組み込まれている）にもリモートデスクトップを使用するためのアクセス許可を与えます。

longneck · Answer

コンピューターにRDPを実行できるユーザーを制限するだけの場合、その特定の方法はかなりひどいものです。代わりに、そのユーザーを含むADグループを作成し、そのグループを問題のサーバーのリモートデスクトップユーザーグループに追加する必要があります。

AlexanderZh · Answer

接続設定を使用してRDPファイルを保存し、メモ帳で編集してみてください。この文字列を追加

enablecredsspsupport:i:0

これにより、この接続でのCredSSPセキュリティプロバイダーの使用が無効になります。

あなたが試すことができる2番目の解決策は、（RDP接続が開始されたからの）ソースワークステーションをLogonworkstationsリストに追加することですが、これはほとんどの場合オプションではないと思います。