none
域用户属于remote desktop users组,但是无法远程桌面登陆域内客户端 RRS feed

  • 问题

  • 域环境是这样:一台2008R2域控,一台加入域的2003客户端

    遇到的问题:域用户test08属于remote desktop users组和Domain users组,无法远程桌面登陆域内客户端,却可以登录DC

    想解决的问题:1.用户test08可以远程桌面登录域内客户端2003。

                         2.用户test08不能登录DC。

    已经做过的操作:在"Domain Policy--》计算机配置--》策略--》windows配置--》安全配置--》本地策略--》用户权限分配"中已经配置:

                                 “从网络访问此计算机” 加入Administators、remote desktop users

                                 “允许本地登录” 加入Administators、remote desktop users

                                 “允许通过远程桌面服务登录”加入Administators、remote desktop users

    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

    组策略报告如下:

    Default Domain Policy
    数据收集时间: 2013/11/15 11:57:51
    全部隐藏
    常规隐藏
    详细信息隐藏
    contoso.com
    所有者 CONTOSO\Domain Admins
    创建时间 2013/11/14 20:15:46
    修改时间 2013/11/15 11:40:44
    用户修订 0 (AD),0 (sysvol)
    计算机修订 24 (AD),24 (sysvol)
    唯一的 ID {31B2F340-016D-11D2-945F-00C04FB984F9}
    GPO 状态 已启用
    链接隐藏
    位置 强制 链接状态 路径
    contoso 已启用 contoso.com

    此列表只包括 GPO 的域中的链接。
    安全筛选隐藏
    此 GPO 内的设置只应用于下列组、用户和计算机:
    名称
    NT AUTHORITY\Authenticated Users
    委派隐藏
    这些组和用户拥有此 GPO 的指定权限
    名称 允许的权限 继承
    NT AUTHORITY\Authenticated Users 读取(从安全筛选)
    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 读取
    NT AUTHORITY\SYSTEM 编辑设置,删除、修改安全性
    计算机配置(已启用)隐藏
    策略隐藏
    Windows 设置隐藏
    安全设置隐藏
    帐户策略/密码策略隐藏
    策略 设置
    密码必须符合复杂性要求 已启用
    密码最长期限 42 天
    强制密码历史 24 个记住的密码
    用可还原的加密来储存密码 已禁用
    最短密码长度 7 个字符
    最短密码期限 1 天
    帐户策略/帐户锁定策略隐藏
    策略 设置
    帐户锁定阈值 0 次无效登录
    帐户策略/Kerberos 策略隐藏
    策略 设置
    服务票证最长寿命 600 分钟
    计算机时钟同步的最大容差 5 分钟
    强制用户登录限制 已启用
    用户票证续订最长寿命 7 天
    用户票证最长寿命 10 小时
    本地策略/用户权限分配隐藏
    策略 设置
    从网络访问此计算机 BUILTIN\Administrators,BUILTIN\Remote Desktop Users
    拒绝本地登录
    拒绝从网络访问这台计算机
    拒绝通过终端服务登录
    拒绝以服务身份登录
    拒绝作为批处理作业登录
    允许本地登录 BUILTIN\Administrators,BUILTIN\Remote Desktop Users
    允许通过终端服务登录 BUILTIN\Administrators,BUILTIN\Remote Desktop Users
    本地策略/安全选项隐藏
    网络安全隐藏
    策略 设置
    网络安全: 在超过登录时间后强制注销 已禁用
    网络安全: 在下一次更改密码时不存储 LAN 管理器哈希值 已启用
    网络访问隐藏
    策略 设置
    网络访问: 允许匿名 SID/名称转换 已禁用
    受限制的组隐藏
    成员 成员身份属于
    BUILTIN\Remote Desktop Users CONTOSO\Domain Users
    CONTOSO\Domain Users BUILTIN\Remote Desktop Users
    公钥策略/加密文件系统隐藏
    证书隐藏
    颁发给 颁发者 到期日期 预期目的
    administrator administrator 2113/10/21 20:18:29 文件恢复

    有关单个设置的其他信息,请启动组策略对象编辑器。
    公钥策略/受信任的根证书颁发机构隐藏
    属性隐藏
    策略 设置
    允许用户选择新的根证书授权机构(CA)来信任 已启用
    客户端计算机可以信任下列证书存储 第三方根证书授权机构和企业根证书授权机构
    要根据证书身份验证用户和计算机,CA 必须符合下列条件 只在 Active Directory 中注册


    2013年11月15日 3:58

答案

  • 你好,

    默认情况下,普通的域用户是不能登陆到DC的, 因为你配置了允许本地登录策略,添加了remote desktop users 组进来,所以属于这个组的test08 可以登录到DC。

    如果不想让test08登录到DC,把remote desktop users组从允许本地登录策略中移除。

    如果想让一个用户可以远程登陆到一台电脑上,我们可以通过下面的步骤来实现:

    控制面板下打开system 选择remote settings, 然后选中allow remote connections to this computer, 然后选择用户,添加你想要的用户名字。

    Regards,

    Yan Li


    Regards, Yan Li

    • 已标记为答案 xiaoxin0766 2013年11月18日 6:18
    2013年11月15日 8:30
    版主

全部回复

  • 你好,

    默认情况下,普通的域用户是不能登陆到DC的, 因为你配置了允许本地登录策略,添加了remote desktop users 组进来,所以属于这个组的test08 可以登录到DC。

    如果不想让test08登录到DC,把remote desktop users组从允许本地登录策略中移除。

    如果想让一个用户可以远程登陆到一台电脑上,我们可以通过下面的步骤来实现:

    控制面板下打开system 选择remote settings, 然后选中allow remote connections to this computer, 然后选择用户,添加你想要的用户名字。

    Regards,

    Yan Li


    Regards, Yan Li

    • 已标记为答案 xiaoxin0766 2013年11月18日 6:18
    2013年11月15日 8:30
    版主
  • 已经解决, 我在“域策略---》受限制的组”里面,将这个用户加入“remote desktop users ”组。
    2013年11月18日 8:24