我有一台 Windows Server 2012 服务器,允许远程桌面用户(会话托管在服务器本身上)。我正在尝试强制这些远程桌面用户的登录时间。
我已经为用户指定了登录时间,并确认这些设置有效——当登录时间被禁用时,他们不允许登录。但是,如果他们已经登录,他们可以继续超过登录时间限制的会话(这很好,这是默认行为)。
但是,当我尝试使用该Set action to take when logon hours expire选项(User Configuration/Administrative Templates/Windows Components/Windows Logon Options/Set action to take when logon hours expire),并将行为设置为“注销”,则什么也不会发生——用户可以愉快地继续他们的会话。我尝试将此策略应用于用户组和本地计算机。我gpresult为用户运行并确认该策略显然已到位。
我也天真地尝试了“登录时间到期时强制注销”选项,但这显然不适用于交互式登录(令人困惑!)。
我是否误用了此设置,或者我是否需要采取其他步骤才能使其正常工作?如有任何意见,我将不胜感激。谢谢!
编辑
因此,根据 @RobM 的评论和其他在线讨论,听起来这项政策实际上不起作用(至少不像预期的那样)。 有没有关于这项政策的官方 MS 文档(我在网上查了一下,没有找到多少),或者有没有可能涵盖它的资源?
假设此策略不可行,一种可能的解决方法是安排任务,在用户登录时间到期时注销用户。但是,每个用户的登录时间可能不同,因此我无法使用时间触发器。是否有一些“登录时间已到期”事件(例如在事件日志中)可以让我挂载以运行注销任务?
答案1
解决此问题的一个有效方法是将两个 GPO 中的设置结合起来。首先在用户配置\管理模板\Windows 组件\Windows 登录选项中,将“设置登录时间到期时要采取的操作”配置为断开连接。然后在用户配置\管理模板\Windows 组件\远程桌面会话\会话时间限制中配置“设置断开连接会话的时间限制”。但请注意,此 GPO 的措辞为“...如果启用此策略设置,断开连接的会话将从服务器中删除...”,因此,如果您选择此路线,请确保这是您愿意接受的操作。
另外值得注意的是,此 GPO 位于计算机和用户配置下。如果两者都设置,则计算机配置下的设置将优先,因此我认为使用用户下的设置会更好(但请选择更适合您的设置)。