[WINDOWS 2003] Far connettere altri utenti tramite RDP

[RunDLL]

Buongiorno a tutti e grazie per leggere la mia questione: mi devo collegare spesso in desktop remoto da una sede in un'altra sede ad un server con Windows Server 2003. Per aumentare la sicurezza ho deciso di creare un utente che lo chiameremo "User" per fare questo collegamento ma inubire il collegamento ad "Administrator" essendo un utente troppo scontato.

Ho proceduto in questo modo:

Da "Strumenti di amministrazione" sono andato in "Configurazione Servizi Terminal";

da questa finestra sono andato nella chiave "Connessioni" e nelle proprietà di "RDP-Tcp";

nella finestra delle proprietà sono andato nel tab "Autorizzazioni";

ho tolto tutti gli utenti e gruppi (gruppo Administrators compreso) ed ho aggiunto l'utente "User" (che fa parte del gruppo Administrators) dandogli controllo completo.

Il problema è che collegandomi tramite desktop remoto ed inserendo l'utente "User" al login mi restituisce questo errore;


"L’utente non possiede il livello di crittografia necessario per accedere a questa sessione".

Reinserendo nelle autorizzazioni di RDP-Tcp il gruppo Administrators il collegamento torna possibile anche con l'utente "User", ma come faccio a poter far collegare in desktop remoto solo l'utente User?

Grazie ed un saluto.

[Anlan]

Le proprietà dei permessi sul servizio RDP vanno lasciate come sono con queste configurazioni MINIME:
Administrators (Full Control)
LOCAL SERVICE (Query e Message)
NETWORK SERVICE (Query e Message)
SYSTEM (Full Control)
Il motivo è semplice e ne hai sperimentato gli effetti anche tu: l'autenticazione dell'utente alla sessione terminal DEVE prevedere da parte del servizio RDP un accesso ai servizi Kerberos per la convalida di username e password.

In aggiunta a queste impostazioni l'impostazione predefinita sui server Windows 2003 o successivi prevede anche l'inserimento del gruppo "Remote Desktop Users" con i permessi "Guest Connect" e "User Connect".

Se vuoi solo impedire agli account Administrator di connettersi via terminal NON rimuovere gruppi o utenti ma piuttosto:
- Modifica Administrators togliendo la spunta da Guest Connect e User Connect
- Togli Administrators dal gruppo Remote Desktop Users
- Metti l'utente "User" nel gruppo dei Remote Dektop Users

Attenzione però ... dopo questa modifica non sarai più in grado di connetterti come amministratore da remoto.

Personalmente comunque non adotterei questa impostazione: un accesso da remoto è sempre comodo.

Piuttosto mi assicurerei che la password di Administrator non diventi di dominio pubblico e, in aggiunta, modificherei le configurazioni del firewall (se possibile) per accettare connessioni RDP (porta 3389) solo da inidirizzi IP noti e fissi.

Ciao.