Как разрешить пользователям активных каталогов удаленный рабочий стол в?

40

Это моя первая настройка или даже использование активного каталога.

Я настроил его и добавил компьютеры (на самом деле виртуальные машины в Hyper V) в активный каталог, и если я использую Hyper-V для подключения к виртуальным машинам, я могу использовать пользователей из домена активного каталога для входа в систему. виртуальные машины.

Однако, если я пытаюсь войти через удаленный рабочий стол, я получаю эту ошибку:

The connection was denied because the user account is not authorized for remote login.

Я попытался:
- Из активного каталога я добавил группу, в которую входит мой пользователь, пользователям удаленного рабочего стола.
- На самой виртуальной машине добавление группы активных каталогов (которая содержит пользователя, с которым я пытаюсь войти), чтобы разрешить вход через службы удаленных рабочих столов в локальной политике безопасности.

У меня до сих пор в той же авторизации отказано в ошибке.

Как правильно настроить группу в активном каталоге, чтобы иметь возможность входа с удаленного рабочего стола на всех моих виртуальных машинах?

Благодарность!

active-directory remote-desktop rdp user1308743
источник
Установлена ​​ли роль служб удаленных рабочих столов на виртуальной машине?
KJ-SRS
Попробуйте также посмотреть групповую политику. Вы что-нибудь там изменили? Какие ОС ... у вас есть правильный уровень безопасности на сеансах RDP? т.е. виста и выше? Что-нибудь в журналах событий? на локальных машинах. Ответ MDMarra должен был сработать ... какие у вас настройки? ОС внутри ВМ и т.д?
Рис Эванс
Не забудьте разрешить удаленный доступ в расширенных системных свойствах действительной ОС ВМ, оттуда вы можете выбрать группы наших пользователей, чтобы разрешить удаленный доступ.

Ответы:

33

  1. Пуск → Выполнить → secpol.msc

    Настройки безопасности \ Локальные политики \ Назначение прав пользователя

    Правая панель → дважды щелкните Разрешить вход в систему через Службы удаленных рабочих столов → Добавить пользователей или группу → введитеRemote Desktop Users

  2. Пуск → Выполнить → services.msc

    Найдите службы удаленного рабочего стола и убедитесь, что для учетной записи входа используется сетевая служба, а не локальная система.

  3. Проверьте ваши журналы событий.

Амит Найду
источник
6
Это более старая статья, но для будущего упоминания кого-то, кто застрял (как я), ответ Амит Найду, приведенный выше, действительно попал в точку. Проблема, на мой взгляд, заключается в том, что добавления пользователя в группу «Пользователи удаленного рабочего стола» (в вашей Active Directory) недостаточно, после чего вам нужно изменить локальные политики компьютера с помощью команды (как указано выше) secpol.msc и добавить Группа Active Directory «Пользователи удаленного рабочего стола» в вашем локальном разрешено удаленных пользователей. Также сделайте проверку, упомянутую на втором шаге, это может решить вашу проблему. Amit, спасибо за ваше время и знания.
1
Хорошие вещи, я добавил Domain Usersгруппу в Remote Desktop Usersгруппу, чтобы получить определенный компьютер, к которому мы готовимся, чтобы делиться своими мыслями.
октября
Для чего это стоит - это не требуется при стандартной установке любой версии Windows. Вам нужно будет сделать это, только если вы используете изображение, которое было изменено из состояния по умолчанию, например, из-за усиления безопасности.
MDMarra
16

Добавьте соответствующих пользователей в группу «Пользователи удаленного рабочего стола» на каждом локальном компьютере .

MDMarra
источник
2
Я добавил группу, в которую входили пользователи на локальном компьютере, и все еще получал эту ошибку. Интересно, что я добавил самого пользователя, и теперь вместо всплывающего окна с этой ошибкой RDP подключается и просто выдает «Доступ запрещен» на экране входа в систему. Есть еще мысли?
user1308743
Этот ответ в сочетании с Амитом Найду заставил его работать на меня
Адам
Вот отличное руководство по выполнению того, что предлагает MDMarra: support.ncomputing.com/portal/kb/articles/…
Адам
5

Я думаю, что нашел решение этой проблемы.

Откройте это на рабочей станции, к которой вы хотите подключиться, Панель управления \ Система и безопасность \ Система, нажмите Дополнительные параметры системы. На вкладке «Удаленный» в группе «Удаленный рабочий стол» нажмите кнопку «Выбрать пользователей».

Нажмите «Добавить» и добавьте пользователя, которому вы хотите предоставить доступ. Если вы используете AD, убедитесь, что вы можете пропинговать домен. Всегда нажимайте «Проверить имена», чтобы убедиться, что добавляемый вами пользователь правильный. Например: myusername@mydomain.com.

Jayrich
источник
3

Проверка службы удаленных рабочих столов очень важна и помогает перезапустить ее.

У меня была такая же проблема, и это убивало меня. Первое, что нужно сделать, это посмотреть, может ли администратор, не являющийся доменом, передавать RDP на другой сервер. Если они могут, вам просто нужно беспокоиться о локальных настройках на этом терминальном сервере.

В моем случае я добавил нужных пользователей в группу «Пользователи удаленного рабочего стола» на контроллере домена, а затем установил политику домена в консоли управления групповыми политиками - Объекты групповой политики - rt щелкните политику домена по умолчанию - измените - Политики - Параметры Windows - Параметры безопасности - Локальные Политики - Назначение прав пользователя - Разрешить вход через службы удаленного рабочего стола. Добавьте «пользователей удаленного рабочего стола» к этой политике.

Затем запустите: gpupdate / force

Затем с вашего сервера терминалов: Пуск - Администрирование - Службы удаленных рабочих столов - Конфигурация хоста сеансов удаленных рабочих столов - RDP-Tcp - rt clk - свойства - безопасность - Добавить - Пользователи домена - Предоставить доступ пользователя и Гостевой доступ - ОК.

Затем необходимо перейти к службам на сервере терминалов и перезапустить службу служб удаленных рабочих столов. В противном случае настройка RDP-Tcp не вступит в силу сразу.

Все пользователи, которые входят в группу «Пользователи удаленного рабочего стола» и группу «Пользователи домена», теперь должны подключиться.

Дейв
источник
1

я нашел решение для этой проблемы ... но у меня есть вопросы просмотра .. это пользователь домена? как MSN.COM \ Джон

если вы ответили «да», вам следует перейти к свойствам учетной записи пользователя, после этого перейти к группам и добавить этого пользователя к удаленному удаленному рабочему столу и пользователю удаленного управления, а затем перейдите на этот удаленный компьютер -> перейдите на панель управления. -> учетные записи пользователей -> управлять другим пользователем -> добавить другого пользователя -> после написания имени оно автоматически выйдет из активного каталога, если его присоединить к домену и дать этому пользователю уровень администратора

Я сталкивался с теми же проблемами раньше, и я пытался исправить это, выполнив следующие действия ...

Англ. Эмад Альзаоби
источник
0

На первый взгляд, я бы сказал, что вы поступили правильно ...
Единственное, что приходит на ум, - это то, что вы использовали неправильный тип группы.
Распределительная группа вместо группы безопасности.

Tonny
источник
1
Я использую группы безопасности, насколько я понимаю, это правильная группа, верно?
user1308743
Да все верно. В этом случае я тоже в растерянности. Это должно работать, насколько я знаю.
Тонни
Это группа безопасности, которую вы преследуете
Рис Эванс
0

Для меня работало добавление пользователя (который должен войти в систему) в группу «Пользователи удаленного рабочего стола».

  1. Бег lusrmgr.msc

  2. Откройте страницу свойств пользователя

  3. Перейти на вкладку "Член"

  4. Добавить «Пользователи удаленного рабочего стола»

laggingreflex
источник