我正在运行带有 AD 的 Windows Server 2003 PDC,我们有 2 台机器,我们要求每个人都能够远程登录。因此,我将“域用户”添加到内置的“远程桌面用户”帐户中,但在策略刷新后,该组清空自身,导致“该系统的本地策略不允许您以交互方式登录”错误。
然后在 GPO 中,我将“域用户”组添加到“允许通过终端服务登录”。这让我通过了之前的错误,但出现了“您无权登录此会话”的新错误消息。
域管理员可以登录,只是普通用户不能登录。
有人有想法么?我在这里扯头发。我来自 unix 管理员背景,所以这对我来说是全新的。事实证明,GPO 是一种令人头疼的问题,但对某些事情很有用。
请帮忙!
谢谢!
编辑:我应该提到我要求人们能够 RDP 进入的两台机器是 Windows XP 客户端,因此它们没有“终端服务配置”工具。Edit2:运行 Windows Server 2003 R2 x64,已更新至刀柄。
在您帖子的第一部分,听起来有人已经为“远程桌面用户”组配置了“受限组策略”,这解释了为什么它“清空”。这不是一个普通的操作系统功能——有人在某个时候配置了它。您可以通过修改“清空”组的 GPO 或通过创建一个在现有的包含“受限组”的 GPO 之后应用的新 GPO 来覆盖该设置来解决此问题。
下一点——“您无权登录此会话”位更令人困惑。我一直在尝试在 Windows Server 2003 SP2 32 位标准上重现它。机器现在有点,我不能想出一个复制条件。
如果愿意,请打开机器上的“终端服务配置”工具,突出显示左窗格中的“连接”节点,然后在右窗格中调出“RDP-Tcp”对象的“属性”。查看“权限”选项卡,看到“远程桌面用户”被授予“用户访问”和“访客访问”(股票权限)。
如果做不到这一点,我不确定是否能够复制它。您运行的 W2K3 服务包级别是多少?
(顺便说一句:我和你有相似的背景——我从 Unix 开始,然后勉强转移到 Windows。一旦你克服了这些怪癖,组策略就非常有用。我像疯子一样编写 Windows 机器,因为我不能支持不止一次做同样的工作。内置的 Windows 命令 shell 完全不如任何 Unix shell,但它可以被哄骗执行大多数任务......)
编辑:
哦——它们是 Windows XP 机器。我没有意识到这一点。这改变了事情。我认为这些是您尝试使用 RDP 访问的服务器。
我的精神力量说您看到“您无权登录此会话”消息,因为有人已经登录到 PC 并且使用 RDP 登录的用户没有“管理员”权限在 Windows XP 机器上。Windows XP 一次只能托管一个 RDP / 控制台会话,如果有人已经登录,则只有“管理员”用户可以使用 RDP 远程“将他们关闭”。所有其他尝试使用 RDP 登录的用户都将收到上述消息。
看起来怎么样?
要进一步调查“受限组”策略,请在 WinXP 客户端上运行 RSoP 工具,并查看是否有任何 GPO 在“远程桌面用户”上强制执行“受限组”设置。例如,在我设置的网络中,会有。这是授予组访问客户端上 RDP 的常用方法。
好吧,我也相信是 Restricted Groups,导致了这样的行为。GPO 非常好用,这是我最喜欢的功能之一。为了让您的生活更轻松,有一个名为组策略管理控制台的工具- 如果您还没有使用它,现在就开始吧!
下一个技巧是使用策略建模和结果策略集来查看应用于机器和用户的非常详细的视图。您可以在 GPMC 中执行此操作。我认为受限组应用在相当高的级别,也许是域级别 - 可以这样离开。您最好执行以下操作,而不是重写此策略:
1)制作一个特殊的OU,例如“终端服务器”或“启用RDP”并将所需的计算机帐户放入其中。
2)创建名为“将每个人都放在远程用户组”或类似的新策略,在其中编辑受限组部分。
3) 将它链接到您新创建的 OU。
4)检查是否有效:)
5) 使用 GPMC 调查 GPO 的应用方式和顺序。顺便说一句,链接到较低级别 OU 的 GPO 将具有更高的优先级,然后是链接到父 OU 或域级别的 GPO。
我一直有同样的问题。我有一台 XP 和一台 Vista 计算机,我正在尝试将 RDP 权限授予特定用户组。最终,我放弃了尝试使用组策略,不得不去每台计算机的控制面板→系统→远程选项卡→“选择远程用户”并在那里添加组。显然“允许通过终端服务登录”并没有听起来像(至少不是在工作站上)。
我也宁愿通过组策略来做到这一点,所以如果你找到办法,请发布答案!