类似问题,但无人回应:嵌套的 AD 组在本地计算机组中工作,但某些服务器无法允许 RDP?
我只是对这个环境很陌生,接手这个工作的人也遇到了这个问题,但是并没有取得太大的进展(由于它最终会自行纠正,因此被认为是低优先级)。
使用任务序列构建新的 VM (VMWare) 并在其上安装 Windows 2019 后。任务序列为每个新服务器创建本地管理员全局组,然后将其添加到默认本地管理员组。然后,将我们的团队管理员组添加到全局组中,并使用配置为允许 RDP 的 GPO。一些服务器存在不允许网络管理员通过 RDP 连接到服务器的问题,但域管理员可以正常工作。除了这个问题只在星期五发生在我身上(这可能暗示我不知道的某些进程/任务在星期五运行,从而导致传播延迟)之外,我看不出它们之间有什么共同点。
服务器 1:新的虚拟机,任务序列部署的操作系统,毫无问题地连接到域,并且我可以毫无问题地通过 RDP 连接到它。
服务器 2:新的 VM,相同的任务序列几分钟后/同时运行,连接到域,可以通过控制台登录,但 RDP 显示“未授权 rdp”。
此后,每台服务器都存在同样的问题,但之前的服务器没有,尽管它们都是在大致相同的时间创建的。前一天,我可以做完全相同的事情(使用相同的任务序列同时部署多台服务器),没有任何问题,然后在星期五过半的时候,他们开始出现这个 RDP 问题。我可以为它们下载更新并做其他事情,所以我知道这不是网络问题。
奇怪的是,我被赋予了该组允许的其他权限(即管理员权限),但没有 RDP。
我注意到,如果我删除我们的团队管理员组并将我的帐户直接添加到本地管理员全局组,RDP 就会立即起作用,但是一旦我删除它并重新添加我的团队组,它就不起作用了。
这只发生在部分服务器上,并非所有服务器上,我找不到它们之间的任何联系,它们在组、权限和 GPO 方面看起来完全相同,但有些允许 RDP,有些则不允许。还值得注意的是,当这种情况发生在星期五时,如果我等到下周一/周二,一切都会好起来,你甚至不知道一开始就存在问题。
我怀疑有某种错误在起作用,并混杂着一些我不知道的进程,导致了这个问题。然而,试图找出原因并进行补救已被证明是相当困难的。有什么想法/建议吗?
答案1
快速阅读您的问题后,我怀疑它与组策略有关。如果正确配置组策略,它们将提供稳定、安全、可靠的环境。有许多方面需要考虑 • 在计算机上启用远程桌面 • 谁被允许执行此操作? • 您是否使用防火墙 我有一个适用于所有计算机和用户的 GPO,它可以可靠地工作。域结构如下:组策略管理林:您的域名,本地域 v 您的域名.local 公司名称 OU - 我在这里创建了我的 GPO o _用户 o 计算机 台式机 笔记本电脑 服务器
- 创建一个名为 CN_GPO-001 的新 GPO,将 IT 支持添加到本地管理和 RDP
- 在范围选项卡上,检查安全过滤应包含: 经过身份验证的用户 域计算机
- 编辑 GPO 转到:
计算机配置 策略 Windows 设置 安全设置 受限组 • 组 = BUILTIN\Administrators • 成员 = YOUR-DOMAIN-NAME\ItsupportUser、YOUR-DOMAIN-NAME\G-IT Support group、YOUR-DOMAIN-NAME\Domain Admins、YOUR-DOMAIN-NAME\adobeupdate、YOUR-DOMAIN-NAME\AdministratorUser
• 组 = BUILTIN\Remote Desktop Users • 成员 = YOUR-DOMAIN-NAME\G-IT Support 组 YOUR-DOMAIN-NAME\Itsupport User
高级安全 Windows 防火墙 高级安全 Windows 防火墙全局设置 策略设置 策略版本 2.26 禁用有状态 FTP 未配置 禁用有状态 PPTP 未配置 IPsec 豁免 未配置 IPsec 通过 NAT 未配置 预共享密钥编码 未配置 SA 空闲时间 未配置 强 CRL 检查 未配置
入站规则名称描述远程桌面 - 阴影 (TCP-In) 远程桌面服务的入站规则允许阴影现有远程桌面会话。(TCP-In) 此规则可能包含当前版本的 GPMC 报告模块无法解释的一些元素
已启用 True 程序 %SystemRoot%\system32\RdpSa.exe 操作允许安全要求身份验证授权计算机
授权用户
协议 6 本地端口任何远程端口任何 ICMP 设置任何本地范围任何远程范围任何配置文件所有网络接口类型所有服务所有程序和服务允许边缘遍历 True 组远程桌面
远程桌面 - 用户模式 (UDP-In) 远程桌面服务的入站规则,允许 RDP 通信。[UDP 3389] 此规则可能包含当前版本的 GPMC 报告模块无法解释的一些元素
已启用 True 程序 %SystemRoot%\system32\svchost.exe 操作 允许 安全 要求身份验证 授权计算机
授权用户
协议 17 本地端口 3389 远程端口 任何 ICMP 设置 任何本地范围 任何远程范围 任何配置文件 全部 网络接口类型 全部 服务 termservice 允许边缘遍历 False 组 远程桌面
远程桌面 - 用户模式 (TCP-In) 远程桌面服务的入站规则,允许 RDP 通信。[TCP 3389] 此规则可能包含当前版本的 GPMC 报告模块无法解释的一些元素
已启用 True 程序 %SystemRoot%\system32\svchost.exe 操作 允许 安全 要求身份验证 授权计算机
授权用户
协议 6 本地端口 3389 远程端口 任何 ICMP 设置 任何本地范围 任何远程范围 任何配置文件 全部 网络接口类型 全部 服务 termservice 允许边缘遍历 False 组 远程桌面
RDP 端口 3389 的入站规则 RDP 端口 3389 的入站规则 此规则可能包含当前版本的 GPMC 报告模块无法解释的一些元素
已启用 True 程序 任何操作 允许 安全 要求身份验证 授权计算机
授权用户
协议 6 本地端口 3389 远程端口 任何 ICMP 设置 任何本地范围 任何远程范围 任何配置文件 域 网络接口类型 所有服务 所有程序和服务 允许边缘遍历 False 组
连接安全设置 无
管理模板我添加了从本地计算机检索的 2 个版本的 Windows Builds、IE 20H2 和 21H1 管理模板策略定义(ADMX 文件)的 ADMX 文件。
Windows 组件/远程桌面服务/远程桌面会话主机/连接策略设置注释允许用户使用远程桌面服务进行远程连接已启用
用户配置(已启用)策略管理模板从本地计算机检索的策略定义(ADMX 文件)。Windows 组件/远程桌面服务/远程桌面会话主机/连接策略设置注释设置远程桌面服务用户会话的远程控制规则已启用
希望这可以帮助
答案2
首先,自定义 AD 组是否位于受影响服务器上的正确本地组中?如果已添加,您应该在每个框的计算机管理中看到它们。在任务序列添加新组之前,您可能会遇到复制新组的延迟。
如果可以,我建议将创建组作为您序列中的第一个任务。希望其余构建所需的时间比 AD 更改传播到每个 DC 的间隔更长 - 显然,如果复制需要一个小时,那可能会成为一个问题。一种解决方法是在创建组 SID 时捕获它,并使用它来添加到您的本地组。当 AD 赶上时,您应该会在框中看到组名称更新。
如果问题服务器上存在这些组,我建议运行 GPResult /H 以查看它是否获得了应有的所有策略。顺便说一句,如果您的任务序列在安装操作系统后没有进行两次重新启动,我强烈建议您这样做。例如,执行操作系统基线安装、加入域、重新启动、配置本地组、其他构建后活动、重新启动。
默认情况下,本地管理员具有 RDP 访问权限,因此我不明白为什么在其之上还有额外的允许 RDP 策略(除非已通过其他方式为管理员禁用该策略)。如果管理员的 RDP 访问权限受到限制,或者您的组不应该属于管理员,我建议将 AD 组也嵌套到任务序列中的远程桌面用户本地组中,而不是通过 GPO(尽管这自然应该可以工作)。