Vanilla Windows Server 2008 x64 标准 DC(AD、DNS)。我正在远程进入我的 DC 做一些工作,并且通过习惯的力量,使用常规域帐户登录到服务器,而不是域管理员。看到我能够将 RDP 放入这个盒子,我感到很震惊!为什么会这样?我正在查看策略,对于域控制器,“允许通过终端服务登录”是“未定义”。我使用的用户帐户不是 Domain Admins 组的成员。是否有任何其他策略建模我可以用来找出为什么这个用户帐户能够登录到域控制器?
AskOverflow.Dev
Vanilla Windows Server 2008 x64 标准 DC(AD、DNS)。我正在远程进入我的 DC 做一些工作,并且通过习惯的力量,使用常规域帐户登录到服务器,而不是域管理员。看到我能够将 RDP 放入这个盒子,我感到很震惊!为什么会这样?我正在查看策略,对于域控制器,“允许通过终端服务登录”是“未定义”。我使用的用户帐户不是 Domain Admins 组的成员。是否有任何其他策略建模我可以用来找出为什么这个用户帐户能够登录到域控制器?
有一个称为远程桌面用户的内置组可以 RDP 进入域控制器。检查以查看该组中的帐户。
我会在域控制器上运行 rsop.msc - 这将为您提供通过 gpo 应用的所有设置的列表。检查并查看是否在某处定义了适用的设置。如果有我会移动到组策略管理控制台并运行建模向导运行。这将告诉您哪些政策适用于何处。
首先,远程登录的功能显然已启用,因为您通常以域管理员的身份远程登录。未定义“允许通过终端服务登录”设置这一事实仅意味着该设置不受策略管理。如果您查看系统属性的远程选项卡,您会发现“在此计算机上启用远程桌面”设置已被选中。
查看 TS Configuration 中 RDP 协议的权限选项卡,您将看到服务器上 RDP 协议的 RDP 权限。我打赌您会在具有用户和访客访问权限的权限列表中找到域\远程桌面用户组,因此请检查该组的成员并进行相应调整。
您可能会发现另一个组具有用户和访客访问权限。您需要相应地调整这些权限。