Server 2008 R2 服务器,域中的多个用户(非域管理员)需要能够远程访问 - 将他们添加到 AD(“HPS-BS”)中的安全组,将该安全组添加到服务器上的远程桌面用户的本地组。
(服务器也是域上的 RD 授权服务器)
安全组每天都会重置为 SID:
因此,该组中的任何人都无法远程登录,因为他们不再是本地远程桌面用户的成员,从而出现错误“由于用户帐户无权进行远程登录,因此连接被拒绝”。
我尝试了几件事,但都没有成功:
- 在服务器上重新加入域
- 重新安装并重新激活服务器的 RD 许可
- 将服务器重新添加到终端服务器许可证服务器组
对于可能发生的事情还有其他想法吗?
答案1
我怀疑存在更根本的问题,例如域/全局目录/安全通道连接。
检查事项:
防火墙。
RDS 服务器时间与所有域控制器同步(在默认的五分钟阈值内)。
RDS 服务器和域的所有相关 DNS 区域上的 DNS 设置均正确。
在远程桌面服务器上,确保加密和签名安全通道数据的组策略设置已启用并与所有域控制器一致:
计算机 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 >
域成员:对安全通道数据进行数字加密或签名(始终)
这是默认设置。
您可以使用 RDS 服务器上的 NLTEST 验证 RDS 服务器和域控制器之间的安全通道:
nltest /sc_verify:domainname