我对 Windows Server 还比较陌生,想有人确认我对用户登录 Windows 域上的 Windows 2008 R2 服务器所需权限的理解是否正确:
管理员组中的任何人都可以通过在服务器上物理登录到服务器,或者通过在登录窗口中指定其用户名通过远程 mstsc 窗口登录到服务器。
管理员组可以执行其他组可以执行的所有操作。
远程桌面组中的任何人都可以从客户端计算机运行 mstsc 并在屏幕上查看服务器的日志。
用户组中的任何人都可以通过服务器的登录屏幕登录服务器。
因此,以下情况属实:
用户
DOMAIN\JOHN
属于远程桌面用户DOMAIN\SERVER1
组,但不属于该服务器上的用户组。用户DOMAIN\JANE
属于用户组,但不属于远程桌面用户组。DOMAIN\PC1
John 可以从as启动 mstscDOMAIN\JOHN
并且他将看到登录屏幕但无法以 as 登录DOMAIN\JOHN
,但是可以以 as 登录DOMAIN\JANE
。
用户
DOMAIN\JAMES
属于 上的管理员组,DOMAIN\SERVER1
但不属于 用户组或远程桌面用户组。他将能够从DOMAIN\SERVER1
作为DOMAIN\PC2
启动mstsc 会话DOMAIN\JAMES
并查看登录屏幕并以 作为 进行登录DOMAIN\JAMES
。用户
DOMAIN\JACK
属于用户组,DOMAIN\SERVER1
但不属于远程桌面用户组。Jack 可以访问服务器,但只能通过物理访问服务器本身(因为他无法通过 RDP 访问服务器)。用户
DOMAIN\JILL
登录,运行mstsc,在mstsc的登录设置中DOMAIN\PC1
输入用户名,看到服务器登录屏幕并输入,然后出现服务器桌面。DOMAIN\JOHN
DOMAIN\JANE
抱歉,这似乎相当琐碎,但这是我从一些阅读中得出的理解,如果有人能确认我是否正确,那就太好了。
答案1
这取决于。
您的问题的答案取决于您正在考虑的用户和组是否具有登录计算机所需的用户权限。
登录 Windows Server 的权限通过两个控制组策略设置。它们都位于:
Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment
如果你要编辑本地组策略(与 Domain GP 相比),设置位于:
Local Policies/User Rights Assignment
这两个设置及其功能如下:
1.“允许本地登录”
根据科技网:
此策略设置确定哪些用户可以在计算机上启动交互式会话。
换句话说,这控制着谁可以通过计算机的“物理”控制台登录。对于虚拟机来说,这将是通过虚拟机管理界面登录。
上述文章确认不需要此权限即可建立远程桌面会话:
即使用户没有此权限,如果他们拥有允许通过远程桌面服务登录正确的。
除非该计算机是域成员或域控制器计算机:
用户必须具有此用户权限才能通过在基于 Windows 的成员计算机或域控制器上运行的远程桌面服务或终端服务会话登录。
2.“允许通过远程桌面服务登录”
根据科技网:
此策略设置确定哪些用户或组可以通过远程桌面服务连接访问远程计算机的登录屏幕。用户可以与特定服务器建立远程桌面服务连接,但无法登录到同一服务器的控制台。
用户可能能够建立远程桌面会话但无法登录控制台的原因是后者需要“允许本地登录”权限,如上所述,并非所有情况下都需要该权限才能进行远程登录。
上面链接的 TechNet 文章解释了哪些用户和组默认被分配了这些登录权限。但是,通过编辑这两个设置可以更改。因此,您的问题的答案取决于您的服务器(及其所在的域)的配置方式。