Привет всем. Итак, нам необходимо, чтобы определённые пользователи в определённое время не могли подключиться через RDP к терминальному серверу, а доменной структуры у нас по какой то причине в организации нет.
Решение таково. Берём консольную утилиту NTrights.exe из Windows Resource Kit, читаем об её возможностях и выясняем, что она умеет применять определённые политики к определённым пользователям из командной строки, например, так:
В данном примере я сначала просто ограничил пользователю panda доступ к службе удалённых рабочих столов, а следующей командой разрешил.
Ntrights.exe -u panda +r SeDenyRemoteInteractiveLogonRight — запретил!
Ntrights.exe -u panda -r SeDenyRemoteInteractiveLogonRight — разрешил!
При этом я использовал одну из политик из описания:
Deny logon through RDP/Terminal Services SeDenyRemoteInteractiveLogonRight
Кстати, важно правильное написание названий политик! Регистр букв важен!
Далее, чтобы применить данные действия в определённое время суток, используем встроенный в Windows планировщик задач.
Пишем, например, два батника один из которых разрешает, а один запрещает и вешаем их в шедулере на нужное нам время.
Естественно, таким же образом можно использовать и другие политики. Утилита точно работает на Windows Server 2008 R2, 2003. На 2012 проверить не удалось.
Спасибо за внимание!
Решение таково. Берём консольную утилиту NTrights.exe из Windows Resource Kit, читаем об её возможностях и выясняем, что она умеет применять определённые политики к определённым пользователям из командной строки, например, так:
В данном примере я сначала просто ограничил пользователю panda доступ к службе удалённых рабочих столов, а следующей командой разрешил.
Ntrights.exe -u panda +r SeDenyRemoteInteractiveLogonRight — запретил!
Ntrights.exe -u panda -r SeDenyRemoteInteractiveLogonRight — разрешил!
При этом я использовал одну из политик из описания:
Deny logon through RDP/Terminal Services SeDenyRemoteInteractiveLogonRight
Кстати, важно правильное написание названий политик! Регистр букв важен!
Далее, чтобы применить данные действия в определённое время суток, используем встроенный в Windows планировщик задач.
Пишем, например, два батника один из которых разрешает, а один запрещает и вешаем их в шедулере на нужное нам время.
Естественно, таким же образом можно использовать и другие политики. Утилита точно работает на Windows Server 2008 R2, 2003. На 2012 проверить не удалось.
Спасибо за внимание!