Ванильный Windows Server 2008 x64 Standard DC (AD, DNS). Я удаленно подключался к своему DC, чтобы немного поработать, и по привычке вошел на сервер, используя обычную учетную запись домена, а не администратора домена. Я был шокирован, увидев, что я смог использовать RDP в этой коробке! Почему это могло быть? Я просматриваю политику, и для контроллеров домена «Разрешить вход через службы терминалов» стоит «Не определено». Учетная запись пользователя, которую я использовал, не является членом группы администраторов домена. Могу ли я использовать какое-либо другое моделирование политики, чтобы выяснить, почему эта учетная запись пользователя смогла войти в контроллер домена?
Есть встроенная группа под названием Пользователи удаленного рабочего стола что может RDP в контроллеры домена. Проверьте, какие учетные записи входят в эту группу.
Я бы запустил rsop.msc на контроллере домена - это даст вам список всех настроек, которые применяются через gpo. Проверьте, есть ли где-нибудь применимый параметр. Если есть, я бы перешел в консоль управления групповой политикой и запустил мастер моделирования. Это расскажет вам, какие политики и где применяются.
Во-первых, очевидно, что возможность удаленного входа включена, потому что вы обычно входите в систему как администратор домена. Тот факт, что параметр «Разрешить вход через службы терминалов» не определен, просто означает, что этот параметр не управляется политикой. Если вы посмотрите на вкладку «Удаленный» в свойствах системы, вы обнаружите, что установлен флажок «Включить удаленный рабочий стол на этом компьютере».
Взгляните на вкладку разрешений протокола RDP в конфигурации TS, и вы увидите разрешения RDP для протокола RDP на сервере. Я уверен, что вы найдете группу domain \ Remote Desktop Users в списке разрешений с доступом User и Guest, поэтому проверьте членов этой группы и внесите соответствующие изменения.
Вы можете обнаружить, что есть еще одна группа с доступом пользователя и гостя. вы захотите соответствующим образом настроить эти разрешения.