Я пытаюсь разрешить членам группы безопасности домена, GlobalRDP
, в RDP на определенные ПК с Windows 10. Я предоставил GlobalRDP
сгруппируйте право «Разрешить вход через службы удаленных рабочих столов», и эта политика была успешно развернута на целевых компьютерах.
Несмотря на это, всякий раз, когда член GlobalRDP
группа пытается войти через RDP, они получают следующую ошибку: «Соединение было отклонено, потому что учетная запись пользователя не авторизована для удаленного входа». Аналогичная ошибка отказа в доступе появляется в журнале RDP. «Пользователю не предоставлен доступ к этому соединению» в CUMRDPSecurityStreamCallback :: AccessCheck по адресу 5236 err = [0x80070005] ».
Что еще более странно, так это то, что я также удалил RDP прямо для Administrators
и Remote Desktop Users
группы, которые имеют это право по умолчанию, и я все еще мог использовать RDP как член локального Remote Desktop Users
группа.
Наконец, я изменил свой GPO, добавив GlobalRDP
группа к местным Remote Desktop Users
группа целевых ПК, и RDP работал. Несмотря на то, что этой локальной группе все еще не было предоставлено право входа в систему RDP!
Вот экран настроек с рабочей станции Windows 10:
Чтобы устранить исправления, которые предлагались в аналогичных обсуждениях:
GPO абсолютно применяется к целевым компьютерам. Смотря на Local Security Policy -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Allow log on through Remote Desktop Services
показывает только GlobalRDP
group и что политика установлена через GPO. Мастер результатов групповой политики показывает то же самое.
Deny log on through Remote Desktop Services
пусто (по умолчанию пусто)
Кажется, что независимо от того, что я меняю, право входа в систему RDP предоставляется только группам по умолчанию. Добавление глобальной группы домена в локальную группу на каждом ПК работает, но для меня это странно. Что я пропустил? Почему я не могу просто управлять этой привилегией с помощью доменной группы?
Согласно Документация Microsoft:
Чтобы использовать службы удаленного рабочего стола для успешного входа на удаленное устройство, пользователь или группа должны быть членом группы «Пользователи удаленного рабочего стола» или «Администраторы». и [курсив добавлен] получить Разрешить вход через службы удаленных рабочих столов право.
Поскольку группе «Пользователи удаленного рабочего стола» предоставляется Разрешить вход через службы удаленных рабочих столов Правильно, добавление пользователя или группы в эту группу удовлетворяет обоим требованиям, а простое предоставление права - нет.
Относительно Зачем требуются оба, я не знаю.
Обратите внимание, что на той же странице указано, что рекомендуемая передовая практика:
Чтобы контролировать, кто может открывать подключение к службам удаленных рабочих столов и входить в систему на устройстве, добавьте пользователей или удалите пользователей из группы «Пользователи удаленного рабочего стола».
Разрешение на установить сеанс удаленного рабочего стола и разрешение на войти при использовании сеанс удаленного рабочего стола - это разные вещи. Настройки назначения прав пользователей влияют только на последнее.
Microsoft предоставляет документацию по изменению разрешений, которые определяют, кто может устанавливать сеанс удаленного рабочего стола:
Как добавить пользователя в разрешения RDP служб терминалов с помощью WMI
Как изменить или запросить разрешения на подключение RDP для служб терминалов
Однако я настоятельно рекомендую вам не связываться с этими настройками. Как уже упоминалось в ответе Тодда, добавление пользователей и / или групп домена в локальную группу пользователей удаленного рабочего стола является поддерживаемым методом предоставления доступа к удаленному рабочему столу.
(Между прочим, вам также понадобится право «Доступ к этому компьютеру из сети», чтобы установить соединение.)