我有 50 多个用户,我想授予他们远程桌面对多台虚拟机的访问权限。我没有将每个用户添加到“远程桌面用户”,而是创建了一个 AD 安全组并添加了该组中的所有用户。现在我以管理员身份添加了该安全组以及虚拟机上的“远程桌面用户”组。
现在,当我尝试使用其中一个用户(例如 user1 )远程登录虚拟机时,我收到错误“连接被拒绝,因为用户帐户无权进行远程登录。”请注意,我没有明确将 user1 添加为管理员和“远程桌面用户”组。
我有以下问题 1. 安全组不能用于为多个用户提供远程桌面吗? 2. 上述错误是怎么回事?我需要进行其他设置才能提供远程桌面访问权限吗? 3. 我不想为每个单独的用户提供远程桌面访问权限,如果我不能通过安全组做到这一点,那么我还能怎么做?什么是正确的方法?
阿图尔·苏雷卡
答案1
你正在做的事情应该有效。我对调试有几点建议:
- 确认虚拟机正确获取组策略。
- 确认计算机策略->Windows 设置->安全设置->本地策略->用户权限分配->允许通过远程桌面服务登录未定义或允许登录。
- 确认该组确实是远程桌面用户的成员。(您可以通过组策略强制执行此操作,方法是:计算机策略 -> Windows 设置 -> 安全设置 -> 受限组,并将远程桌面用户限制到您的组中——但前提是任何 VM 中都不应有除您的组之外的人员。此设置不仅会将人员和组踢出,还会添加这些人和团体(如果尚未到达的话)。
- 确认远程桌面服务正在以有权在 AD 中查找组的帐户运行。(应该是默认帐户。)
我希望这能有所帮助。
答案2
除了 Katherine Villyard 的建议之外,还要确保相关用户帐户在帐户属性 > 帐户选项卡 > 登录到... 按钮下没有登录工作站限制。