我对 Windows Server 比较陌生,希望有人确认我对用户登录到 Windows 域上的 Windows 2008 R2 服务器所需的权限的理解是否正确:
管理员组中的任何人都可以通过在登录窗口中指定他们的用户名,在服务器上或通过远程 mstsc 窗口物理登录服务器。
管理员组可以做其他组可以做的所有事情。
远程桌面组中的任何人都可以从客户端计算机运行 mstsc 并查看服务器的登录屏幕。
用户组中的任何人都可以在其登录屏幕上登录服务器。
因此,以下情况是正确的:
用户
DOMAIN\JOHN在DOMAIN\SERVER1组中的远程桌面用户中,但不在该服务器上的用户组中。用户DOMAIN\JANE在用户组中,但不在远程桌面用户组中。- John 可以从
DOMAIN\PC1as启动 mstscDOMAIN\JOHN,他将看到登录屏幕,但无法登录 asDOMAIN\JOHN但是,可以登录 asDOMAIN\JANE。
- John 可以从
用户
DOMAIN\JAMES在管理员组中,DOMAIN\SERVER1但不在用户或远程桌面用户组中。他将能够在 as 上启动 mstsc 会话,DOMAIN\SERVER1并DOMAIN\PC2看到DOMAIN\JAMES登录屏幕并以DOMAIN\JAMES.用户
DOMAIN\JACK在用户组中,DOMAIN\SERVER1但不在远程桌面用户组中。Jack 可以访问服务器,但只能通过对服务器本身的物理访问(因为他无法通过 RDP 访问服务器)。用户
DOMAIN\JILL登录DOMAIN\PC1,运行 mstsc,在 mstscDOMAIN\JOHN的登录设置中输入用户名,看到服务器登录屏幕并进入DOMAIN\JANE,出现服务器桌面。
对不起,如果这看起来相当微不足道,但这是我通过阅读的理解,如果有人能确认我是否正确,那就太好了。
这取决于。
您的问题的答案取决于您考虑的用户和组是否具有登录计算机所需的用户权限。
登录 Windows Server 的权限通过两个组策略设置进行控制。它们都位于:
Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment如果您改为编辑本地组策略(与域 GP),则可以在以下位置找到设置:
Local Policies/User Rights Assignment这两个设置及其作用如下:
1.“允许本地登录”
据TechNet报道:
换句话说,这控制了谁可以通过计算机的“物理”控制台登录。在虚拟机的情况下,这将是通过虚拟机管理界面登录。
上面的文章确认了建立远程桌面会话不需要此权限:
除非计算机是域成员或域控制器计算机:
2.“允许通过远程桌面服务登录”
据TechNet报道:
用户可能能够建立远程桌面会话但无法登录到控制台的原因是因为后者需要“允许本地登录”权限,如上所述,并非在所有情况下都需要登录远程。
上面链接的 TechNet 文章解释了默认情况下为哪些用户和组分配了这些登录权限。但是,通过编辑可以更改这两个设置。正是出于这个原因,您的问题的答案取决于您的服务器(以及它所在的域)的配置方式。