我对设计 Active Directory 域和使用 GPO 在本地计算机上进行设置还很陌生。但是,我已经被分配了一项任务,并且正在努力。
我有一个 Server 2019 虚拟实例域控制器和两个在 ESXi 7.0 上运行的虚拟 Windows 10 实例,我们将它们称为机器 A 和 B,并加入到域中。
我有三个用户 X、Y 和 Z。
需要允许用户 X 访问机器 A 或机器 B。
用户 Y 只应被允许访问机器 A,用户 Z 只应被允许访问机器 B
我创建了嵌套的 OU,这样就有一个顶级 OU,其中还有两个 OU A 和 B。在 OU AI 中放置了机器 A 和安全组 AUsers。在 OU BI 中放置了机器 B 和安全组 BUsers。我已将用户 X 添加到两个安全组中,将用户 Y 添加到 AUsers,将用户 Z 添加到 BUsers。我已将这些安全组添加到本地计算机“远程桌面用户”组。
但是,当我尝试使用远程桌面连接从第三台未加入域的机器进行连接时,出现错误,指出用户没有远程桌面权限。
我是否需要将这些安全组添加到域远程桌面用户组?还是我应该添加特定用户?
我已经看到了有关需要创建一个 GPO 来将 AUsers 组添加到受限组的说明,但我真的不确定我是否理解什么是受限组 - 如果有人可以指出一些资源,我一直在谷歌搜索它,发现了很多令人困惑的信息...任何指向优秀资源或培训的指针也将非常感谢!