我是 AD 和 GPO 的学习者。虽然我已经在我的环境中实现了一些 GPO,但现在有点困惑。我的困惑在于 GPO 的覆盖。基本上,我尝试的是,我需要为用户启用 RDP 到特定服务器,该服务器不是 DC。这是我的场景:
我们在环境中应用了一个域范围的 GP。为了启用 RDP 用户,我已将他添加到“允许通过终端服务登录”GP。现在假设下面提到的两种情况:
我已将他添加到 AD 中的远程桌面用户组。更新组策略后,我已使用他的凭据检查登录。但无法登录,错误是“请求的会话访问被拒绝”。
我已将他从 AD 的远程桌面用户组中删除。这次将他添加到本地用户的远程桌面用户组和该服务器的组 (lusrmgr.msc)。这次使用他的凭据检查登录成功。
我已经在该特定服务器中检查了以下命令,它显示域范围的策略正在 RDP 设置中应用。
gpresult /Scope Computer /v
我有点困惑策略是如何被覆盖的。我相信如果启用了域范围策略,本地组策略默认会被域范围策略覆盖。这表明我错了。有人可以解释一下吗?
仅供参考,我的 DC 服务器是 Windows 2003 R2,其他服务器是 2008R2。