如何拒绝从命令行通过终端服务(RDP)登录？

Question

在Windows 2003中，我可以开始..。

控制面板->管理工具->本地安全策略

如果我去..。

本地策略->用户权限分配->拒绝通过终端服务登录

..。它允许我拒绝对某个用户帐户的RDP访问(即使该帐户是管理员)。

如何从命令行执行相同的操作，以便使其自动化？

Answer 1

您应该能够使用reg命令修改与此组策略设置相对应的注册表项。

若要禁用此选项，请从批处理文件中尝试以下操作：

reg ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server"
/v fDenyTSConnections
/t REG_DWORD
/d 1
/f

为了提高可读性，我已经将开关封装到多个行上，确保将所有这些都放在批处理文件中的一行上。我无法访问Windows 2003服务器来确认这两个设置是相同的，但我相信它们是相同的。当您更改GP设置时，您可以使用过程监视器查看哪个注册表项更改，以便在我有错误键的情况下嗅探出它是哪一个。

您似乎也可以使用NTRights效用和SeDenyRemoteInteractiveLogonRight权限来更改这一点。这方面的语法如下：

NTRights.exe -u user +r SeDenyRemoteInteractiveLogonRight