С точки зрения безопасности, в доменных сетях рекомендуется запретить локальный вход через удаленный рабочий стол, ведь для этого имеется действительно веский список причин.
Чаще всего пользователи предпочитают использовать одно и то же имя, а также пароль для локального администратора.
Таким образом появляется серьезная угроза для многих системы компьютеризации. Например, сюда можно без лишних проблем отнести атаки «Pass-The-Hash». Такие атаки используют метод повторного воспроизведения через хэш.
К тому же локальные учетные записи крайне сложно отследить централизованно. Действия просто не записываются в контроллере домена AD.
Чтобы минимизировать риски, администратор должен будет поменять наименование стандартной локальной записи операционной системы.
Чтобы постоянно и легко менять пароль учетной записи, лучше всего использовать инструмент MS LAPS (Local Administrator Password Solution). Однако этого будет достаточно для того, чтобы ограничить сетевой доступ к локальной учетной записи. Дело в том, что на компьютере может быть несколько совершенно разных локальных учетных записей.
Deny access to this computer from the network позволяет наложить ограничения на доступ учетных записей. Однако недостаток заключается в том, что пользователю придется самостоятельно вводить все наименование существующих учетных записей, которые нуждаются в запрете сетевого доступа к устройству.
Запрещаем локальный вход администратору и пользователем через удаленный рабочий стол
Шаг 1.
Вначале требуется открыть «Local Security Policy.» (локальная политика безопасности).
Нажимаем Пуск — вводим «выполнить» — кликаем мышкой. Или нажимаем горячие клавиши Win + R.
В окне приложения run (выполнить) вводим secpol.msc, затем нажимаем OK.
После ввода команды откроется локальная политика безопасности.
Переходим по пути «Локальные политики» — «Назначение прав пользователя» — «Запретить локальный вход».
Далее необходимо добавить пользователей, которым нужно заблокировать авторизацию.