Я управляю ящиком Windows 2008 R2 Server. Для обслуживания мне нужно в течение нескольких часов запретить доступ всем пользователям в группе «Пользователи удаленного рабочего стола» и разрешить доступ только администраторам.
Я пробовал в gpedit.msc под Права пользователя чтобы запретить группу пользователей, но администраторы не могут войти в систему, потому что она возвращает ошибку прав.
Почему администраторы не могут войти в систему, если я запрещаю группе пользователей использовать подключение к удаленному рабочему столу?
Запреты всегда имеют приоритет над разрешениями, а администраторы также (обычно) являются членами группы «Пользователи».
Возможно, вместо добавления группы «Пользователи» в политику «Запретить вход через службы удаленных рабочих столов» вы могли бы удалить всех пользователей / группы, кроме группы «Администраторы», из политики «Разрешить вход через службы удаленных рабочих столов»?
Это сервер, присоединенный к домену? В таком случае групповая политика на уровне домена станет вашим спасением. Сделайте OU в активном каталоге для администраторов удаленных рабочих столов и GPO для них, свяжите их в управлении групповой политикой и настройте в соответствии со своими потребностями.
Если это не присоединенный к домену сервер, попробуйте создать объект групповой политики только для удаленных администраторов и прервать его наследование.
Кроме того, удаленный рабочий стол должен быть включен на самом сервере.