Windows-Server-2008-R2

與 RDP 相關的 GPO 不適用

  • March 3, 2018

我們最近一直在清理我們的域、活動目錄、組策略等。我們的 MCSDCS DNS 區域位於錯誤的位置,我們的 SYSVOL 沒有複製,因為它已被鎖定在日誌包裝錯誤中一年多,而我們的政策定義的中央儲存庫在某個時候已經自爆了。因此,總體而言,我們的域多年來經歷了太多具有不同經驗水平的不同系統管理員,並且還從 2000 年到 2003 年、然後從 2003 年到 2008 年進行了升級,我們正準備在明年進行另一次升級。

在任何情況下,我們似乎遇到的一個問題是一個非常臃腫的預設域策略,其中添加了各種隨機設置。我猜有些設置在某些時候已被棄用,我似乎無法在編輯器中找到它們來關閉它們。我在更多與主題相關的 GPO 中提取了很多東西,確保它們仍然被合併等。一旦我們這樣做了,我們所有的 RDP 設置在建築物中的幾乎所有機器上都恢復為預設值 - 但不是所有的東西,但基於使用者或PC的OU,或者Win 7 vs Win 10等沒有明顯的其他模式。我們不使用Windows防火牆,所以它不是防火牆相關的設置。它是“系統屬性”>“遠端”選項卡中的特定設置。

這就是我意識到我們在中央儲存庫中的管理模板已被破壞的地方(我自己對 Windows 域管理有點陌生)。我的猜測是,預設域策略或我一直在修復或刪除的其他策略之一包含了一些我在 GPO 的編輯器中看不到的設置,因為我們甚至沒有載入該策略模板。因此,在載入預設模板後,我編輯了正確的設置,應用了 GPO,強制更新……什麼都沒有。我強制執行疼痛,我確保它會攻擊我的使用者,在 GPRESULT 中確認,然後我什至將它連結到最接近我的 AD 對象的 USER 和 PC OU 中……但仍然沒有。

我手動將兩個系統資料庫項添加到 GPO 以允許遠端桌面並且不需要 NLA。依然沒有。我可以手動切換這些系統資料庫項,然後在系統屬性面板中更改設置將鍵更改回確認,但 GPO 不會更改鍵。

我在 scope:computer 設置上執行了 GPRESULT 我看到以下內容:

該 GPO 的設置顯示在“設置”中

該策略顯示在“已應用的 GPO”下並顯示“已強制執行 = 是”

正確的獲勝 GPO 列在個人設置中,系統資料庫項顯示“結果:成功”。

是的,在多次 GPUPDATE /FORCE、重新啟動、等待 GPO 刷新周期(加上最大偏移值)之後,這些設置在我的 PC 上沒有改變,並且沒有改變!

誰能在這裡指出我正確的方向?任何幫助將非常感激!

編輯:

具體設置:Admin Template Approach:Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections Allow users to connect using Remote Desktop Services - Enabled

Windows 組件/遠端桌面服務/遠端桌面會話主機/安全要求使用網路級別身份驗證進行遠端連接的使用者身份驗證 - 已禁用

系統資料庫項方法:HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)

HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)

它們都是電腦更改。

我已經在 PC OU 的範圍內嘗試了 GPO,並且還嘗試將 GPO 放在使用者和 PC 的範圍內。

我應該更仔細地閱讀你的問題。

您正在系統資料庫中的錯誤位置查找組策略設置。組策略設置(來自管理模板部分)被寫入以下四個系統資料庫位置之一:

HKEY_LOCAL_MACHINE\SOFTWARE\policies

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies

HKEY_CURRENT_USER\SOFTWARE\policies

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies

像您所做的那樣手動修改系統資料庫項有點像紅鯡魚。您期望組策略更改這些鍵,並且在沒有看到您期望的結果時,您得出的結論是沒有應用組策略…但是您的 GPRESULT 結果證明了這一點…您是只是在錯誤的地方尋找變化。

當這些設置由組策略配置時,您應該會看到它反映在 GUI 中。在下圖中,該設置不可用,這意味著它由組策略管理:

在此處輸入圖像描述

在下圖中,該設置可用,這意味著它不受組策略管理:

在此處輸入圖像描述

引用自:https://serverfault.com/questions/899691