У меня недавно возникла проблема, когда у меня есть виртуальная машина, на которой работает Windows Server 2012, который подключен к DC с той же ОС, на DC у меня работает ADUC со всеми моими пользователями, настроенными и добавленными на удаленный рабочий стол группа пользователей, но по какой-то причине всякий раз, когда я вхожу в виртуальную машину, используя DOMAINNAME / префикс пользователя, я получаю сообщение «соединение было отклонено, поскольку учетная запись пользователя не авторизована для удаленного входа в систему»
единственный способ решить эту проблему - войти в виртуальную машину как администратор и использовать следующую команду:
"net localgroup" Пользователи удаленного рабочего стола "" Имя пользователя "/ add"
наверняка создание пользователя через AD и добавление его в группу пользователей удаленного рабочего стола аутентифицирует их для входа в виртуальную машину?
В Remote Desktop Users группа в Active Directory на самом деле ничего не делает, это происходит только по технической причине (*).
Чтобы подключиться к RDP на машине, пользователь должен быть членом местный Remote Desktop Users группа на целевой машине.
Или, точнее, пользователю нужен Allow log on through Remote Desktop Services право, которое по умолчанию предоставляется Administrators и Remote Desktop Users местный группы.
Вы можете использовать объект групповой политики для 1) помещения пользователей или групп домена в Remote Desktop Users локальная группа на нескольких машинах, или 2) напрямую предоставить Allow log on through Remote Desktop Services право на пользователей или группы домена.
И да ты жестяная банка создать объект групповой политики, который предоставляет Allow log on through Remote Desktop Services прямо к домен Remote Desktop Users группа; это действительно приведет к тому, что вы считали правдой по умолчанию.
(*) Причина в том, что когда вы создаете домен, все локальные пользователи и группы на машине, которая становится первым контроллером домена, преобразуются в пользователей и группы Active Directory; но это не дает им никакого реального разрешения.
Лучше всего использовать группы вместо добавления множества пользователей непосредственно на сервер.
Создайте новую группу AD. Добавьте желаемых пользователей (вы также можете выбрать «все аутентифицированные пользователи», чтобы поймать всех) в эту группу. Добавьте эту новую группу AD в качестве члена локальной группы пользователей удаленного рабочего стола на нужном сервере (ах).
Если у вас много серверов, вы также можете создать объект групповой политики, который добавит эту группу AD в локальную группу пользователей удаленного рабочего стола всех рядовых серверов.