创建自定义组策略来控制对虚拟机的 RDP 访问

创建自定义组策略来控制对虚拟机的 RDP 访问

当我向我们的内部部署 Active Directory 添加新用户时,我想将该帐户分配给特定的安全组,例如“产品组”、“开发人员组”或“支持组”。

我的目标是控制用户对特定类型的 VM 环境的访问,以便“支持组”用户只能访问我归类为支持的 VM,而不能访问任何生产 VM。

我是一名开发人员,所以我不太熟悉如何做到这一点,我在谷歌上搜索了很多地方,比如这个关联来帮助我,以下是我到目前为止所做的:

在 Active Directory 用户和计算机中创建用户和组:

  1. 创建群组:开发者群组
  2. 将其添加到父组:删除桌面用户
  3. 创建用户:MyDomain\rdptest
  4. 将用户 MyDomain\rdptest 分配给“开发者组”

在此处输入图片描述 在此处输入图片描述

创建组织单位:

  1. 在我们的域下创建一个名为“测试计算机”的组织单位
  2. 为这个新创建的组织单位分配一个测试虚拟机,该虚拟机是“域计算机”的成员

通过组策略管理创建组策略对象:

  1. 在“测试计算机”组织单位下创建一个名为“Dev RDP Access”的 GPO。
  2. 编辑此 GPO,使其具有以下设置:

在此处输入图片描述

在此处输入图片描述

链接组策略对象:

  1. 将“Dev RDP Access” GPO 链接到组织单位“测试计算机”
  2. 在组织单位“测试计算机”上实施“Dev RDP Access”组策略
  3. 将安全组“开发人员组”分配给组策略“Dev RDP Access”

在此处输入图片描述

推送 Active Directory 策略更新:

  1. 我从 DC 机器运行命令,强制将策略同步到我想要测试 RDP 的机器:gpupate /force
  2. 我还尝试运行 PowerShell 命令 gpupdate 以确保:Invoke-Command -ComputerName TEST_PC -ScriptBlock {gpupdate /force}

在此处输入图片描述

完成所有这些操作后,由于这个错误,我似乎仍然无法通过 RDP 进入机器本身。

在此处输入图片描述

您是否发现我发布的步骤存在任何问题?我是否遗漏了任何内容?我进行了更多研究,有人建议:

“域远程桌面用户组的成员不会自动成为 RDS 服务器上本地远程桌面用户组的成员。您需要将域远程桌面用户组添加到服务器上的本地远程桌面用户组。”

这是我缺少的步骤吗?如果是的话,如何从 Active Directory 中执行此操作,因为如果我们必须转到每个 VM 来执行此操作,那么它就会违背 Active Directory 试图解决的中央管理的目的。

编辑:我想我已经完成了这一步,请参见下图:

在此处输入图片描述

在此处输入图片描述

答案1

感谢 Joeqwerty 的建议,我能够实现这一点,我想把它放在这里,以便其他人以后可以发现它很有用。在研究这个问题时,我遇到的大多数教程或资源都没有清楚地列出这最后一步。

因此,您的想法是,在您像我一样设置好一切之后,您的域组 - mydomain\Develop Group 仍然没有真正与本地机器绑定。

您需要转到管理 RDP 的 GPO 并执行以下操作:

  1. 指定该组至少具有内置的远程桌面用户组或内置的管理员组,因为其中任何一个都是通过 RDP 进入任何机器所必需的。
  2. 设置虚拟机的本地策略,以便允许“开发人员组”从网络访问虚拟机。

在 #1 中,展开到计算机配置 > 策略 > Windows 设置 > 安全设置 > 受限组。分配内置本地组管理员或远程桌面用户。

在 #2 中,右键单击“支持 RDP 访问”,然后选择“编辑”以调出其组策略管理编辑器。展开到计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配。您需要将“开发人员组”分配给两个策略:从网络访问此计算机和允许通过远程桌面服务登录

完成后,您应该在 GPO 设置中看到以下内容:

在此处输入图片描述

相关内容