我正在尝试设置 Active Directory,以便“域用户”可以通过 RDP。如果我将“域管理员”角色分配给用户,他们可以通过 RDP 登录,没有问题,但是当我按照许多教程操作时(这一个包括) 它不起作用(显示用户未添加到 RDservices)。到目前为止,我只能通过为用户分配“域管理员”来实现这一点,但我不想为每个 AD 用户都这样做……
所以我的问题是域管理员(或本地管理员)有什么需要我添加到我的 AD 用户中?
更新:原来我的问题是我没有将 GPO 应用于“域电脑“而只是“域用户“。
向@joeqwerty 致敬,他很专业,虽然我的问题更多的是人为错误,但他的建议是合理且正确的。
答案1
用户通过 RDP 登录服务器需要两个组件:用户权利和权限。
权限:用户必须拥有“允许通过远程桌面服务登录”用户权限。
权限:用户必须在 RDP-Tcp 协议上将“用户访问”和“访客访问”权限设置为允许。
默认情况下,本地远程桌面用户组中的用户或组具有正确的用户权利和权限。
您需要将想要通过 RDP 登录的域用户或域组添加到本地远程桌面用户组。
如果这是域控制器,则必须将用户或组添加到域内置远程桌面用户组,以允许通过 RDP 登录到域控制器。
如果您已将域用户或组添加到本地远程桌面用户组但尚未重新启动服务器,则需要先重新启动服务器才能使更改生效。
答案2
通过组策略管理,您可以创建一个涵盖所有所需机器的 GPO(或使用现有的 GPO)并添加以下设置:
计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配
将“域用户”添加到“允许通过远程桌面服务登录”
一旦计算机刷新了组策略,所有用户都将能够远程登录。