RSAT и права доступа
 

Парни, такая проблемка, на форуме порыл, что-то не нашел ничего по своему вопросу, хелп плиз )
Ситуация - Есть WinServer 2012. На нём вся структура AD. В диспетчере сервера "удаленное администрирование" отключено. Ставлю себе rsat, подключаюсь - все здорово, управляю всеми оснастками, счастлив и доволен. Но, самый не айс далее. В филиалах есть свои админы. У них права локального админа на машины своего филиала. Так вот, будучи локальными админами на компах, у них тоже есть права подключить rsat, установив который, они без проблем могут тоже цепляться к центральному AD. Редактировать они там ничего не могут, прав у них на это нет, тут все ок, но меня очень напрягает ситуация, что они могут видеть всю структуру AD, просмотреть текущие GPO, DNS зоны, DHCP, структуру сайтов ну и тд. и тп. Сделать из них никто там ничего не может, только просмотр, но очень хотелось бы отключить вообще эту возможность. Чтобы никто, кроме моей учетки, не мог используя rsat коннектиться к серверу даже в режиме "только чтение". Подскажите, где можно блокирнуть подключения к серверу по rsat всем, кроме учетки админа домена.

Апну темку ) Совсем никто не знает? (( Ок, немного перефразирую вопрос - как вообще закрыть возможность работы через RSAT на AD? Я и по rdp подцеплюсь или через web powershell. В общем не важно для кого, всем без исключений, как просто перекрыть его совсем?

закрыть RPC/LDAP, по результату получить забавные грабли по всему домену.