Windows-Server-2008-R2

通過組策略編輯“遠端桌面使用者”

  • March 25, 2015

我在一個域上有許多 Windows 2003 和 2008 伺服器。我想啟用遠端桌面並控制具有遠端桌面權限的組(不是終端服務),但我不知道如何通過組策略執行此操作;即使分配了“允許通過終端服務登錄”,帳戶也無法登錄。

轉到我的電腦 -> 遠端設置 -> 選擇使用者並添加使用者或組工作正常。

如何將此設置推送到組策略上?

後者意味著“電腦 -> 遠端設置 -> 選擇使用者”填充特定機器的遠端桌面使用者組。預設情況下,遠端桌面使用者組有權通過 RDP 登錄到伺服器。

您的 GPO 方法應該有效。您確定沒有另一個 GPO 強制執行允許通過終端服務登錄的不同使用者/組列表嗎?

我建議通過組策略控制遠端桌面使用者的成員資格。組策略首選項使這很容易。請參閱http://support.microsoft.com/kb/943729,了解您需要在 RDP 進入的伺服器上安裝的 CSE 和 XMLLite(適用於 2003 年)的詳細資訊。創建 GPO(或編輯現有 GPO)以使用組策略首選項將預定義組添加到所有預期伺服器的遠端桌面使用者組中。1.導​​航電腦配置/首選項/本地使用者和組。2. 添加新組 3. 從下拉列表中選擇遠端桌面使用者(內置) 4. 選擇要添加的使用者/組

以上僅對遠端桌面使用者組成員身份進行排序。您還需要在機器上單獨啟用 RDP。啟用“允許使用者使用遠端桌面服務遠端連接” computer configuration\policies\administrative templates\windows components\remote desktop services\remote desktop session host\connections

您可能還需要啟用防火牆規則。您可以使用computer configuration\policies\Windows Settings\Security\Windows firewall with advanced security\Windows Firewall with Advanced Security - LDAP://cn={GUID}啟用相關配置文件並使用規則編輯器創建使用遠端桌面預定義服務的規則。這處理 Windows 2008 及更高版本。

對於 2003,使用電腦配置\策略\管理模板\網路\網路連接\windows 防火牆,然後根據相關配置文件排除遠端桌面流量。

引用自:https://serverfault.com/questions/292944