我正在用AD运行Windows Server 2003 PDC,我们有两台机器,我们要求每个人都可以远程login。 因此,我将“域用户”添加到内置的“远程桌面用户”帐户中,但在策略刷新后,此组清空本身,导致“本系统的本地策略不允许您交互式login”错误。
在GPO中,我将“域用户”组添加到“允许通过terminal服务login”。 这让我通过了以前的错误,但提出了一个新的错误消息“您无法访问login到此会话”。
域pipe理员可以login,只是普通用户不能。
有人有主意吗? 我在这里把头发撕掉 我来自unixpipe理员背景,所以这对我来说都是新的。 GPO被certificate是一个皇家的屁股疼痛,但有用的东西。
请帮忙!
谢谢!
编辑:我应该提到我需要人能够RDP到2台机器是Windows XP客户端,所以他们没有“terminal服务configuration”工具。 编辑2:运行Windows Server 2003 R2 x64,更新到刀柄。
在post的第一位,听起来有人已经为“远程桌面用户”组configuration了“限制组策略”,这就解释了为什么“清空”了。 这不是一个股票操作系统function – 有人configuration,在某些时候。 通过修改“清空”该组的GPO,或者在现有的“受限制的组”之后应用一个新的GPO(包含GPO)来覆盖该设置,可以解决这个问题。
接下来的一点 – “你没有login到这个会话”位有点混乱。 我一直试图在Windows Server 2003 SP2 32位标准上重新生成它。 机器现在有点,我不能拿出repro条件。
如果需要,打开机器上的“terminal服务configuration”工具,突出显示左窗格中的“连接”节点,并在右窗格中显示“RDP-Tcp”对象的“属性”。 看看“权限”选项卡,看到“远程桌面用户”被授予“用户访问”和“访客访问”(股票权限)。
如果不这样做,我不确定无法重现它。 W2K3运行什么样的服务包级别?
(顺便说一句:我有一个类似的背景给你 – 我开始使用Unix,并转移到Windows勉强。组策略是非常有用的,一旦你克服了怪癖,我脚本Windows机器像一个疯子,因为我不能可以不止一次地完成同样的工作,内置的Windows命令shell完全不如任何Unix shell,但是它可以被用来执行大部分任务…)
编辑:
哦,他们是Windows XP机器。 我没有意识到这一点。 这改变了事情。 我以为这些服务器是你试图访问w / RDP的服务器。
我的精神力量说,你看到“你没有login到这个会话”的消息,因为有人已经login到PC和loginRDP用户没有“pipe理员”权限在Windows XP机器上。 Windows XP一次只能托pipe一个RDP /控制台会话,如果有人已login,则只有“pipe理员”用户可以使用RDP远程“将其closures”。 所有其他尝试loginw / RDP的用户都将收到上述消息。
这看起来如何?
要进一步调查“受限制的组”策略,请在WinXP客户端上运行RSoP工具,查看是否有任何GPO在“远程桌面用户”上强制执行“受限制的组”。 在我设置的networking中,例如,会有。 这是授予组访问客户端RDP的常用方法。
那么,我也相信这是限制群体,造成这样的行为。 GPO真的很好用,这是我最喜欢的function之一。 为了让你的生活更轻松,有一个叫做组策略pipe理控制台的工具 – 如果你还没有使用它,现在就开始吧!
下一个技巧是使用策略build模和结果集策略来查看应用于机器和用户的非常详细的视图。 你可以在GPMC中完成。 我认为受限制的群体适用于相当高的,也许是域名级别 – 这样就可以离开了。 而不是重写这个政策,你最好做以下事情:
1)制作一个特殊的OU,例如“terminal服务器”或“启用RDP”,并在其中放置所需的计算机帐户。
2)创build一个名为“将所有人放置到远程用户组”的新策略,或者像这样编辑受限制的组部分。
3)链接你新创build的OU。
4)检查是否有效:)
5)使用GPMC来调查如何应用GPO以及按照什么顺序。 顺便说一下,链接到较低级别OU的GPO将具有较高优先级,然后GPO链接到父级OU或域级别。
我一直有这个相同的问题。 我有一台XP和一台Vista电脑,我试图将RDP权限授予特定的用户组。 最后,我放弃了试图使用组策略,并且必须去每台计算机的控制面板→系统→远程选项卡→“select远程用户”并在那里添加组。 显然“允许通过terminal服务login”不会听起来像(至less不在工作站上)。
我宁愿通过组策略来做到这一点,所以如果你find了解决办法的方法,请发表一个答案!