香草Windows Server 2008 x64标准DC(AD,DNS)。 我正在远程控制我的工作,做一些工作,并通过习惯的力量,login到服务器使用常规的域帐户,而不是域pipe理员。 我很震惊地看到我能够把RDP装进这个盒子里! 为什么会这样? 我正在通过策略和域控制器“允许通过terminal服务login”是“未定义”。 我使用的用户帐户不是Domain Admins组的成员。 是否有任何其他政策build模我可以用来找出为什么这个用户帐户能够login到域控制器?
有一个名为“ 远程桌面用户”的内置组,可以将RDP转换为域控制器。 检查该组中的哪些帐户。
我将在域控制器上运行rsop.msc – 这会给你列出所有通过gpo应用的设置。 检查并查看是否存在某个适用的设置。 如果存在,我将转到组策略pipe理控制台并运行build模向导运行。 这将告诉你哪些政策适用于哪里。
那么首先,远程访问的能力显然是启用的,因为您通常以域pipe理员身份远程访问。 “允许通过terminal服务login”设置没有定义的事实仅仅意味着该设置不被策略pipe理。 如果您查看系统属性的“远程”选项卡,则会发现选中了“在此计算机上启用远程桌面”设置。
查看TSconfiguration中的RDP协议的权限标签,您将看到服务器上的RDP协议的RDP权限。 我打赌你会在用户和访客访问权限列表中finddomain \ Remote Desktop Users组,因此请检查该组的成员并进行相应的调整。
您可能会发现还有另一个具有User和Guest访问权限的组。 您将需要相应地调整这些权限。