Назад | Перейти на главную страницу

Право пользователя «Разрешить вход через службы удаленных рабочих столов» не действует

Я пытаюсь разрешить членам группы безопасности домена, GlobalRDP, в RDP на определенные ПК с Windows 10. Я предоставил GlobalRDP сгруппируйте право «Разрешить вход через службы удаленных рабочих столов», и эта политика была успешно развернута на целевых компьютерах.

Несмотря на это, всякий раз, когда член GlobalRDP группа пытается войти через RDP, они получают следующую ошибку: «Соединение было отклонено, потому что учетная запись пользователя не авторизована для удаленного входа». Аналогичная ошибка отказа в доступе появляется в журнале RDP. «Пользователю не предоставлен доступ к этому соединению» в CUMRDPSecurityStreamCallback :: AccessCheck по адресу 5236 err = [0x80070005] ».

Что еще более странно, так это то, что я также удалил RDP прямо для Administrators и Remote Desktop Users группы, которые имеют это право по умолчанию, и я все еще мог использовать RDP как член локального Remote Desktop Users группа.

Наконец, я изменил свой GPO, добавив GlobalRDP группа к местным Remote Desktop Users группа целевых ПК, и RDP работал. Несмотря на то, что этой локальной группе все еще не было предоставлено право входа в систему RDP!

Вот экран настроек с рабочей станции Windows 10:

Чтобы устранить исправления, которые предлагались в аналогичных обсуждениях:

Кажется, что независимо от того, что я меняю, право входа в систему RDP предоставляется только группам по умолчанию. Добавление глобальной группы домена в локальную группу на каждом ПК работает, но для меня это странно. Что я пропустил? Почему я не могу просто управлять этой привилегией с помощью доменной группы?

Согласно Документация Microsoft:

Чтобы использовать службы удаленного рабочего стола для успешного входа на удаленное устройство, пользователь или группа должны быть членом группы «Пользователи удаленного рабочего стола» или «Администраторы». и [курсив добавлен] получить Разрешить вход через службы удаленных рабочих столов право.

Поскольку группе «Пользователи удаленного рабочего стола» предоставляется Разрешить вход через службы удаленных рабочих столов Правильно, добавление пользователя или группы в эту группу удовлетворяет обоим требованиям, а простое предоставление права - нет.

Относительно Зачем требуются оба, я не знаю.

Обратите внимание, что на той же странице указано, что рекомендуемая передовая практика:

Чтобы контролировать, кто может открывать подключение к службам удаленных рабочих столов и входить в систему на устройстве, добавьте пользователей или удалите пользователей из группы «Пользователи удаленного рабочего стола».

Разрешение на установить сеанс удаленного рабочего стола и разрешение на войти при использовании сеанс удаленного рабочего стола - это разные вещи. Настройки назначения прав пользователей влияют только на последнее.

Microsoft предоставляет документацию по изменению разрешений, которые определяют, кто может устанавливать сеанс удаленного рабочего стола:

Однако я настоятельно рекомендую вам не связываться с этими настройками. Как уже упоминалось в ответе Тодда, добавление пользователей и / или групп домена в локальную группу пользователей удаленного рабочего стола является поддерживаемым методом предоставления доступа к удаленному рабочему столу.

(Между прочим, вам также понадобится право «Доступ к этому компьютеру из сети», чтобы установить соединение.)