域使用者可以 RDP 進入域控制器嗎？

Vanilla Windows Server 2008 x64 標準 DC（AD、DNS）。我正在遠端進入我的 DC 做一些工作，並且通過習慣的力量，使用正常域帳戶登錄到伺服器，而不是域管理員。看到我能夠將 RDP 放入這個盒子，我感到很震驚！為什麼會這樣？我正在查看策略，對於域控制器，“允許通過終端服務登錄”是“未定義”。我使用的使用者帳戶不是 Domain Admins 組的成員。是否有任何其他策略建模我可以用來找出為什麼這個使用者帳戶能夠登錄到域控制器？

有一個稱為遠端桌面使用者的內置組可以 RDP 進入域控制器。檢查以查看該組中的帳戶。

我會在域控制器上執行 rsop.msc - 這將為您提供通過 gpo 應用的所有設置的列表。檢查並查看是否在某處定義了適用的設置。如果有我會移動到組策略管理控制台並執行建模嚮導執行。這將告訴您哪些政策適用於何處。

引用自：https://serverfault.com/questions/62505