我正在运行带有 AD 的 Windows Server 2003 PDC,我们有 2 台机器,要求每个人都能远程登录。因此,我将“域用户”添加到内置的“远程桌面用户”帐户,但在策略刷新后,该组自行清空,导致“此系统的本地策略不允许您以交互方式登录”错误。
然后在 GPO 中,我将“域用户”组添加到“允许通过终端服务登录”。这使我绕过了之前的错误,但又出现了一条新的错误消息“您无权登录此会话”。
域管理员可以正常登录,但普通用户不能登录。
有人有什么想法吗?我在这里绞尽脑汁。我有 unix 管理员背景,所以这对我来说都是新东西。事实证明,GPO 非常麻烦,但对某些事情很有用。
请帮忙!
谢谢!
编辑:我应该提到,我需要人们能够通过 RDP 进入的两台机器是 Windows XP 客户端,因此它们没有“终端服务配置”工具。编辑 2:运行 Windows Server 2003 R2 x64,已更新到极致。
答案1
在您的帖子的第一部分,听起来好像有人已经为“远程桌面用户”组配置了“受限组策略”,这解释了为什么它“清空”。这不是操作系统的默认功能——有人在某个时候配置了它。您可以通过修改“清空”该组的 GPO 或通过创建一个在现有包含“受限组”的 GPO 之后应用的新 GPO 来覆盖该设置,从而解决这个问题。
接下来的一点是“您无权登录此会话”这一点更令人困惑。我已经尝试在 Windows Server 2003 SP2 32 位标准计算机上重现该问题一段时间了,但我无法想出重现条件。
如果愿意,请打开计算机上的“终端服务配置”工具,突出显示左侧窗格中的“连接”节点,然后在右侧窗格中调出“RDP-Tcp”对象的“属性”。查看“权限”选项卡,并查看“远程桌面用户”被授予“用户访问”和“来宾访问”(常规权限)。
否则,我不确定能否重现它。您运行的是 W2K3 的哪个服务包级别?
(顺便说一句:我和你有类似的背景——我从 Unix 开始,然后才勉强转到 Windows。一旦你克服了怪癖,组策略就非常有用。我像疯子一样编写 Windows 机器脚本,因为我无法忍受重复做同样的工作。内置的 Windows 命令 shell 完全不如任何 Unix shell,但它可以被诱导执行大多数任务...)
编辑:
哦——它们是 Windows XP 机器。我没意识到这一点。这改变了一切。我以为这些是你试图使用 RDP 访问的服务器。
我的灵媒能力告诉我,您之所以看到“您无权登录此会话”消息,是因为有人已经登录到 PC,而使用 RDP 登录的用户在 Windows XP 计算机上没有“管理员”权限。Windows XP 一次只能托管一个 RDP / 控制台会话,如果某人已经登录,则只有“管理员”用户才能使用 RDP 远程“将其踢出”。所有其他尝试使用 RDP 登录的用户都将收到您上面描述的消息。
看起来怎么样?
要进一步调查“受限组”策略,请在 WinXP 客户端上运行 RSoP 工具,查看是否有任何 GPO 在“远程桌面用户”上强制执行“受限组”设置。例如,在我设置的网络中,就会有。这是授予组对客户端上的 RDP 访问权限的常用方法。
答案2
嗯,我也相信是受限组导致了这种行为。GPO 非常好用,这是我最喜欢的功能之一。为了让你的生活更轻松,有一个工具叫做组策略管理控制台- 如果您还没有使用它,请立即开始!
下一个技巧是使用策略建模和策略的结果集来查看应用于计算机和用户的非常详细的视图。您可以在 GPMC 中执行此操作。我认为受限组应用于相当高的位置,可能是域级别 - 可以保留这一点。您最好执行以下操作,而不是重写此策略:
1) 创建一个特殊的 OU,例如“终端服务器”或“RDP 启用”,并将所需的计算机帐户放入其中。
2)创建名为“将每个人放入远程用户组”或类似的新策略,在其中编辑受限组部分。
3) 将其链接到您新创建的 OU。
4)检查是否有效:)
5) 使用 GPMC 调查 GPO 的应用方式和顺序。顺便说一句,链接到较低级别 OU 的 GPO 具有更高的优先级,然后是链接到父 OU 或域级别的 GPO。
答案3
我也遇到过同样的问题。我有一台 XP 和一台 Vista 计算机,我正尝试将 RDP 权限授予特定用户组。最后,我放弃了使用组策略的尝试,不得不转到每台计算机的控制面板 → 系统 → 远程选项卡 →“选择远程用户”并在那里添加组。显然,“允许通过终端服务登录”并没有起到它应有的作用(至少在工作站上没有)。
我也宁愿通过组策略来做到这一点,所以如果您找到方法的话,请发表答案!