我有 :
- 具有以下域名的 Active Directory:域名.com在机器上A
- 名为控制器
- 机器乙运行 Windows 2008R2 并加入 AD
我想通过 RDP 连接到 B[电子邮件保护]但它不起作用。我收到错误:“用户名和密码无效...”而如果我使用这些凭据直接在 B 中连接,它就可以正常工作,所以我知道凭据是正确的。
此外,如果我尝试使用 B 中的 RDP 连接到本地用户(例如本地管理员),它可以完美运行。问题仅出现在域用户身上。
为了解决这个问题,我已:
- 使用不同的用户名格式(controller@...,domain.com\controller)
- 将 AD 用户控制器添加到 AD 的远程桌面用户
- 尝试将 AD 用户控制器添加到计算机 B 的本地远程桌面用户组,但它不接受。我转到远程设置,添加用户,找到它并单击确定。它似乎有效,直到我意识到远程桌面用户列表中没有出现任何内容。它说管理员已经有访问权限。所以它让本地管理员和域管理控制器感到困惑。显然,在那之后我仍然无法连接。
我真的陷入了困境,任何帮助都将非常有帮助。
先感谢您
编辑:我在受影响的计算机上运行 gpresult 命令(gpresult/Scope Computer),以下是应用的 GPO 设置:
因此确实应用了 GPO(默认域策略),但我认为没有关于远程访问的任何内容。应该在此计算机上禁用此 GPO,然后再次尝试将域用户添加到本地 RD 用户,还是应该使用此 GPO 从 AD 添加给定域用户的远程访问权限?
答案1
尝试将 AD 用户控制器添加到计算机 B 的本地远程桌面用户组,但它不接受。我转到远程设置,添加用户,找到它并单击确定。它似乎有效,直到我意识到远程桌面用户列表中没有出现任何内容
如果您无法将用户添加到本地 RD 用户组(例如,选项呈灰色,您无法添加任何人),并且无法使用“远程设置”界面将用户添加到该组。很可能您有一个“受限组”组策略,阻止对本地远程桌面用户组的本地修改。
我建议检查受影响的计算机上的策略结果集(gpresult [以管理员身份运行])以确认这可能是原因。
如果是这个原因,您可以允许您的用户通过 RDP 访问服务器:
- 通过修改当前的受限组 GPO 将此用户添加到本地组(如果可行),
- 将此计算机从“受限组 GPO”中豁免(如果可行),
- 调整“允许通过远程桌面服务登录”用户权限 - 直接在本地安全策略中或通过 GPO。
您选择的方法在很大程度上取决于您环境中的许多因素,包括帐户对当前受组策略影响的任何服务器的期望访问权限。但实际上,最大的因素是确认 GPO 是否是您无法在本地将用户添加到组的原因。
答案2
在 Win2008R2 服务器上:右键单击计算机 > 属性 > 远程 > 选择用户 > 添加 > 添加控制器用户 > 确定。
之后,Controller 用户应该能够使用 RDP 访问 2008R2 服务器。