我正在尝试允许域安全组的成员GlobalRDP通过 RDP 访问某些 Windows 10 PC。我授予该GlobalRDP组“允许通过远程桌面服务登录”权限,并且该策略已成功部署到目标计算机。
尽管如此,每当该组成员GlobalRDP尝试通过 RDP 登录时,他们都会收到以下错误:“由于用户帐户未获得远程登录的授权,因此连接被拒绝”. RDP 日志中出现类似的访问被拒绝错误“用户未被授予对此连接的访问权限’在 CUMRDPSecurityStreamCallback::AccessCheck 中,5236 错误 = [0x80070005]”。
更奇怪的是,我还删除了默认具有此权限的组的 RDP 权限Administrators,Remote Desktop Users但我仍然能够以本地Remote Desktop Users组成员的身份进行 RDP 连接。
最后,我更改了 GPO,将该GlobalRDP组添加到目标 PC 的本地Remote Desktop Users组,RDP 就可以正常工作了。尽管这个本地组仍然没有被授予 RDP 登录权限!
以下是 Windows 10 工作站的设置屏幕:
为了解决类似线程中提供的修复问题:
GPO 已完全应用于目标计算机。查看
Local Security Policy -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Allow log on through Remote Desktop Services仅显示GlobalRDP组和通过 GPO 设置的策略。组策略结果向导显示相同的内容。Deny log on through Remote Desktop Services为空(默认为空)
似乎无论我如何更改,只有默认组才被授予 RDP 登录权限。将域全局组添加到每台 PC 上的本地组是可行的,但我觉得有点奇怪。我错过了什么?为什么我不能简单地使用域组来管理该权限?
答案1
允许建立远程桌面会话和权限使用时登录远程桌面会话是两码事。用户权限分配设置只会影响后者。
微软确实提供了有关更改控制谁可以建立远程桌面会话的权限的文档:
但是,我强烈建议您不要弄乱这些设置。正如 Todd 的回答中提到的,将域用户和/或组添加到远程桌面用户本地组是授予远程桌面访问权限的受支持方法。
(顺便说一下,您还需要“从网络访问这台计算机”的权限才能建立连接。)
答案2
根据Microsoft 文档:
要使用远程桌面服务成功登录远程设备,用户或组必须是远程桌面用户或管理员组的成员和[强调] 被授予允许通过远程桌面服务登录正确的。
由于远程桌面用户组被授予允许通过远程桌面服务登录权利,将用户或组添加到该组可满足两个要求,而简单地授予权利则不能。
至于为什么两者都是必需的,我不知道。
请注意,同一页面指定建议的最佳做法是:
要控制谁可以打开远程桌面服务连接并登录设备,请将用户添加到远程桌面用户组或从中删除用户。