Meu usuário Administrador de vez em quando fica bloqueado pelas estações de trabalho em nosso laboratório devido a tentativas de logon malsucedidas.
(Embora este seja um problema que deve ser resolvido, porque isso significa que há algo errado com o processo técnico, é pequeno e menos importante no momento)
Meu principal problema é que o administrador pode autenticar de qualquer lugar da rede.
Eu tentei usar GPO ("Negar logon por meio de serviços de área de trabalho remota"), ADUC (lista "Fazer logon em").
Enquanto ele não consegue fazer o logon, a autenticação é feita primeiro e só então o sistema verifica se existe um bloqueio de GPO ou ADUC, permitindo assim que o usuário Administrador fique bloqueado.
Claro que esse problema pode se aplicar a qualquer usuário.
Meu nível de Domínio\Floresta é 2008r2 e não tenho um firewall entre minha LAN e meu controlador de domínio.
Então, em suma, quero permitir tentativas de autenticação do administrador apenas de determinados computadores.
Alguma sugestão?
Você não pode fazer isso, a menos que comece a bloquear as portas, que não serão limitadas a um usuário específico. Desculpe. Pense desta maneira - um sistema Windows não sabe quem é um usuário conectado, até que ele autentique .
Qualquer um pode tentar autenticar de qualquer estação de trabalho. Por analogia, você está tentando evitar que o zelador coloque a chave errada em qualquer porta. A única maneira de impedir que o zelador faça isso é simplesmente dizer a ele qual chave em qual porta, mas você não pode impedi-lo de tentar sem pará-lo fisicamente. Não sei por que você mencionou o firewall, mas isso também não vai ajudá-lo. O que pode ajudar não é fazer login como administrador, mas sim elevar-se a ele. O UAC pode ajudar com isso.