我们最近一直在清理我们的域、活动目录、组策略等。我们的 MCSDCS DNS 区域位于错误的位置,我们的 SYSVOL 没有复制,因为它已被锁定在日志包装错误中一年多,而我们的政策定义的中央存储库在某个时候已经自爆了。因此,总体而言,我们的域多年来经历了太多具有不同经验水平的不同系统管理员,并且还从 2000 年到 2003 年,然后是 2003 年到 2008 年进行了升级,我们正准备在明年进行另一次升级。
在任何情况下,我们似乎遇到的一个问题是一个非常臃肿的默认域策略,其中添加了各种随机设置。我猜有些设置在某些时候已被弃用,我似乎无法在编辑器中找到它们来关闭它们。我在更多与主题相关的 GPO 中提取了很多东西,确保它们仍然被合并等。一旦我们这样做了,我们所有的 RDP 设置在建筑物中的几乎所有机器上都恢复为默认值 - 但不是所有的东西,但基于用户或PC的OU,或者Win 7 vs Win 10等没有明显的其他模式。我们不使用Windows防火墙,所以它不是防火墙相关的设置。它是“系统属性”>“远程”选项卡中的特定设置。
这就是我意识到我们在中央存储库中的管理模板已被破坏的地方(我自己对 Windows 域管理有点陌生)。我的猜测是,默认域策略或我一直在修复或删除的其他策略之一包含了一些我在 GPO 的编辑器中看不到的设置,因为我们甚至没有加载该策略模板。因此,在加载默认模板后,我编辑了正确的设置,应用了 GPO,强制更新……什么都没有。我强制执行疼痛,我确保它会打击我的用户,在 GPRESULT 中确认,然后我什至将它链接到最接近我的 AD 对象的 USER 和 PC OU 中......但仍然没有。
我手动将两个注册表项添加到 GPO 以允许远程桌面并且不需要 NLA。依然没有。我可以手动切换这些注册表项,然后在系统属性面板中更改设置将键更改回确认,但 GPO 不会更改键。
我在 scope:computer 设置上运行了 GPRESULT 我看到以下内容:
该 GPO 的设置显示在“设置”中
该策略显示在“已应用的 GPO”下并显示“已强制执行 = 是”
正确的获胜 GPO 列在个人设置中,注册表项显示“结果:成功”。
是的,在多次 GPUPDATE /FORCE、重新启动、等待 GPO 刷新周期(加上最大偏移值)之后,这些设置在我的 PC 上没有改变,并且没有改变!
谁能在这里指出我正确的方向?任何帮助将非常感激!
编辑:
具体设置:Admin Template Approach:Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections 允许用户使用远程桌面服务进行远程连接 - 已启用
Windows 组件/远程桌面服务/远程桌面会话主机/安全要求使用网络级别身份验证进行远程连接的用户身份验证 - 已禁用
注册表项方法:HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)
它们都是计算机更改。
我已经在 PC OU 的范围内尝试了 GPO,并且还尝试将 GPO 放在用户和 PC 的范围内。
我应该更仔细地阅读你的问题。
您正在注册表中的错误位置查找组策略设置。组策略设置(来自管理模板部分)被写入以下四个注册表位置之一:
像您所做的那样手动修改注册表项有点像红鲱鱼。您期望组策略更改这些键,并且在没有看到您期望的结果时,您得出的结论是没有应用组策略...但是您的 GPRESULT 结果证明了这一点...您是只是在错误的地方寻找变化。
当这些设置由组策略配置时,您应该会看到它反映在 GUI 中。在下图中,该设置不可用,这意味着它由组策略管理:
在下图中,该设置可用,这意味着它不受组策略管理: