我有一台在 Azure 上运行的 Windows Server 2016 VM。它已加入 Azure Active Directory。远程桌面服务已安装并且似乎运行正常。
我正在尝试允许 Azure AD 中的用户登录服务器。问题是只有“AAD DC 管理员”组中的用户才能登录。所有其他用户都会收到此错误消息“请求的会话访问被拒绝”
我已确保 AAD 用户位于“远程桌面用户”本地组中。我还将这些用户添加到远程桌面服务中的会话集合属性用户组中。
我不太确定用户需要什么其他权限才能登录服务器。我显然无法将所有用户保留在 AAS DC 管理员组中。
答案1
不确定它的文档是否有地方或是否受支持(不能在生产中完成)但我已经能够创建自己的组来管理 Azure AD 域服务上的 RDP。
脚步
在 Azure AD 中创建组并添加成员(MyRDPGroup),等待大约 15 - 20 分钟进行复制。
在已加入 Azure AD 域服务的 VM 上使用组策略管理将新创建的组 (MyRDPGroup) 添加到将帐户添加到本地管理员组的 GPO 策略中。
添加后,GPO 如下所示。
等待复制约 15 - 20 分钟。在成员 VM 上执行“gpupdate /force”并重新启动。
然后,我能够使用组成员(MyRDPGroup)的凭据登录到任何加入 Azure AD 域服务的 VM。
现在就测试一下,它仍然有效。希望这能有所帮助。
答案2
检查/尝试这个:
开始 → 运行 → secpol.msc
安全设置\本地策略\用户权限分配
右侧窗格 → 双击允许通过远程桌面服务登录 → 添加用户或组 → 输入远程桌面用户