我在域中拥有多台 Windows 2003 和 2008 服务器。我想启用远程桌面并控制拥有远程桌面权限(而非终端服务)的组,但我不知道如何通过组策略执行此操作;即使分配了“允许通过终端服务登录”,帐户也无法登录。
转到我的计算机->远程设置->选择用户并添加用户或组就可以了。
我如何才能通过组策略推动此设置?
答案1
后者意味着“计算机 -> 远程设置 -> 选择用户”会填充特定机器的远程桌面用户组。默认情况下,远程桌面用户组有权通过 RDP 登录到服务器。
您的 GPO 方法应该有效。您确定没有另一个 GPO 强制执行允许通过终端服务登录的不同用户/组列表吗?
我建议通过组策略控制远程桌面用户的成员身份。组策略首选项使这变得容易。请参阅http://support.microsoft.com/kb/943729有关您需要在要通过 RDP 连接的服务器上安装的 CSE 和 XMLLite(适用于 2003)的详细信息。创建一个 GPO(或编辑现有 GPO),使用组策略首选项将预定义组添加到所有目标服务器的远程桌面用户组中。1. 导航到计算机配置/首选项/本地用户和组。2. 添加新组 3. 从下拉菜单中选择远程桌面用户(内置)4. 选择要添加的用户/组
以上仅对远程桌面用户的组成员身份进行排序。您还需要在机器上单独启用 RDP。在 中启用“允许用户使用远程桌面服务进行远程连接” computer configuration\policies\administrative templates\windows components\remote desktop services\remote desktop session host\connections
。
您可能还需要启用防火墙规则。您可以使用computer configuration\policies\Windows Settings\Security\Windows firewall with advanced security\Windows Firewall with Advanced Security - LDAP://cn={GUID}
启用相关配置文件,并使用规则编辑器为远程桌面创建使用预定义服务的规则。这适用于 Windows 2008 及更高版本。
对于 2003,使用计算机配置\策略\管理模板\网络\网络连接\windows 防火墙,然后根据相关配置文件对远程桌面流量进行例外处理。