我正在管理一个 W2008 服务器。至于维护,我需要几个小时来拒绝远程桌面用户中的所有用户访问并仅允许管理员。我尝试在 gpedit.msc 中的用户权限下拒绝用户组,但管理员仍然无法登录,因为它返回权限错误。请问有什么帮助吗?为什么如果我拒绝用户组进行远程桌面连接,管理员也无法登录?谢谢!
答案1
为什么如果我拒绝用户组进行远程桌面连接,管理员也无法登录?
这是 Windows 上的正常 ACL 行为。DENY 优先于允许。如果您拒绝所有用户,则所有用户都将被拒绝。如果您不希望某些用户访问某些内容,则需要删除允许该组用户访问的 ACE。
至于维护,我需要几个小时来拒绝远程桌面用户中的所有用户访问并且仅允许管理员访问。
为什么不通过将终端服务器置于耗尽模式来禁用新连接,而是弄乱权限呢?
使用以下选项之一调整排水模式注册表值。管理员在使用交换机时仍能进行连接/admin。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\TSServerDrainMode
0 = Allow all connections
1 = Allow reconnections, but prevent new logon until reboot
2 = Allow reconnections, but prevent new logon
您还可以通过 GUI 启用排水模式。
