这是我的情况。我有两台服务器。第一台是域控制器。第二台是备份域控制器。两台都是 Windows 2008 R2。我想设置用户权限,这样我的活动目录中的 userX 可以远程桌面到服务器 1,但不能远程桌面到服务器 2。当我将 userX 添加到“远程桌面用户”组时,userX 可以访问服务器 1 和服务器 2。
我怎样才能阻止这种情况发生并只允许 SERVER1 上的用户 X。
提前致谢。
答案1
您可以使用允许、拒绝方法,但您必须在 GPO 中进行正确的范围界定。
不要添加远程桌面用户组,而是通过 GPO(启用远程访问)来执行此操作并根据需要允许和拒绝。
请记住以下几点。1. 不要全部拒绝或全部允许 2. 不要将域控制器移出域控制器 OU。3. 使用过滤器在需要的地方限制 GPO,以便 GPO 仅适用于这些 DC。
由于它涉及访问域控制器,您可以在投入生产之前在测试实验室中尝试此操作。
通常,最好保持对域控制器的最低限度的访问。请改用 Adminpak/RSAT 工具。