“允許通過遠端桌面服務登錄”使用者權限無效
我正在嘗試允許域安全組的成員
GlobalRDPRDP 進入某些 Windows 10 PC。我授予該GlobalRDP組“允許通過遠端桌面服務登錄”權限,並且該策略已成功部署到目標電腦。儘管如此,每當組的成員
GlobalRDP嘗試通過 RDP 登錄時,他們都會收到以下錯誤:“連接被拒絕,因為使用者帳戶未授權遠端登錄”。CUMRDPSecurityStreamCallback::AccessCheck at 5236 err= 中的 RDP 日誌“未授予使用者訪問此連接的訪問權限”中出現類似的訪問被拒絕錯誤*$$ 0x80070005 $$”*。讓事情變得更奇怪的是,我還刪除了預設情況下具有此權限的組的 RDP 權限,
Administrators並且Remote Desktop Users我仍然能夠以本地Remote Desktop Users組成員的身份加入 RDP。最後,我更改了我的 GPO 以將該
GlobalRDP組添加到目標 PC 的本地Remote Desktop Users組,並且 RDP 工作。儘管這個本地組仍然沒有被授予 RDP 登錄權限!這是 Windows 10 工作站的設置螢幕:
要解決類似執行緒中提供的修復:
- GPO 絕對應用於目標電腦。查看
Local Security Policy -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Allow log on through Remote Desktop Services僅顯示GlobalRDP組和通過 GPO 設置的策略。組策略結果嚮導顯示相同的內容。Deny log on through Remote Desktop Services為空(預設為空)似乎無論我改變什麼,只有預設組被授予 RDP 登錄權限。將域全域組添加到每台 PC 上的本地組可以工作,但對我來說很奇怪。我錯過了什麼?為什麼我不能使用域組簡單地管理該權限?
建立遠端桌面會話的權限和使用遠端桌面會話時的登錄權限是兩個不同的東西。使用者權限分配設置僅影響後者。
Microsoft 確實提供了有關更改控制誰可以建立遠端桌面會話的權限的文件:
但是,我強烈建議您不要弄亂這些設置。正如托德的回答已經提到的那樣,將域使用者和/或組添加到遠端桌面使用者本地組是授予遠端桌面訪問權限的受支持方法。
(順便說一句,您還需要“從網路訪問此電腦”權限才能建立連接。)