如何以及通过 DC 应用什么组策略,以允许域\管理员通过 LAN 或 Internet /远程连接访问域内的任何机器 PC 和服务器?
答案1
本地管理员组默认通过远程桌面服务拥有登录权限。由于计算机加入域时域管理员组默认添加到本地管理员组,因此域管理员成员默认拥有这些访问权限。
您可以使用受限群组如果您认为有必要,可以采用策略强制将域管理员组添加到本地管理员组。
同样,还有专门的远程桌面用户群组在每台计算机上都可使用它来实现类似目的,而无需向指定用户授予管理权限。这对于授予非管理员用户远程登录权限非常有用,可以使用受限组策略在域范围内进行设置,或者如果用户不需要全局访问所有计算机,则在特定工作站上单独设置。(不要使用域中同名的内置组,该组存在用于其他目的。
上述权限解决了您有关授予访问权限的问题的关键。但是,您仍需要确保相关工作站上启用了远程登录,以确保它响应入站 RDP 连接请求。
类似地,您可以在单个工作站(控制面板、系统、远程)上进行配置,或者使用组策略在域范围内强制执行策略。Windows 机器默认未启用 RDP。
要访问现在已启用 RDP 的计算机,您需要进行相关的网络安排,以便通过端口 3389 访问它们。在具有有效内部 DNS 的内部 LAN 段上,您将能够默认执行此操作(假设没有防火墙阻碍)。如果存在防火墙,请确保其访问控制列表已正确配置。
在互联网上,您需要使用适合您的网络拓扑的方法(例如 NAT、ACL 等)通过端口 3389 公开机器。
我不主张将所有机器通过端口 3389 发布到整个互联网。我建议使用 VPN 解决方案,或者通过面向前端的服务器部署单个端点以进行外部连接远程桌面网关。请务必小心这可能产生的任何许可影响。
概括:您需要具备权限,并且启用远程桌面功能,然后才能通过 RDP 远程登录这些计算机。对于域管理员用户,您的权限可能已经具备,但仍需要启用 RDP。必须安排对计算机的网络级别访问;如何做到这一点的具体细节超出了这个问题的范围。