Jak zezwolić użytkownikom Active Directory na zdalny pulpit?

40

To jest moja pierwsza konfiguracja, a nawet korzystanie z Active Directory.

Skonfigurowałem go i dodałem komputery (w rzeczywistości maszyny wirtualne w Hyper V) do katalogu aktywnego, a jeśli użyję funkcji Hyper-V do łączenia się z maszynami wirtualnymi, będę mógł użyć użytkowników z domeny active directory do zalogowania się do Maszyny wirtualne.

Jeśli jednak spróbuję zalogować się za pomocą pulpitu zdalnego, pojawia się ten błąd:

The connection was denied because the user account is not authorized for remote login.

Próbowałem:
- Z poziomu usługi Active Directory dodałem grupę, w której jest mój użytkownik, do użytkowników pulpitu zdalnego.
- Na samej maszynie wirtualnej, dodanie grupy active directory (zawierającej użytkownika, z którym próbuję się zalogować), aby umożliwić logowanie za pośrednictwem usług pulpitu zdalnego w lokalnych zasadach zabezpieczeń.

Nadal mam ten sam błąd odmowy autoryzacji.

Jak poprawnie skonfigurować grupę w active directory, aby móc zalogować się za pomocą zdalnego pulpitu na wszystkich moich maszynach wirtualnych?

Dzięki!

active-directory remote-desktop rdp użytkownik1308743
źródło
Czy rola usług pulpitu zdalnego jest zainstalowana na maszynie wirtualnej?
KJ-SRS,
Spróbuj także przyjrzeć się zasadom grupy, czy coś tam zmieniłeś? W jakim systemie operacyjnym… masz odpowiedni poziom bezpieczeństwa podczas sesji RDP? tj. Vista i wyżej? Coś w dziennikach zdarzeń? na lokalnych komputerach. Odpowiedź MDMarry powinna była zadziałać ... jaki masz zestaw? Systemy operacyjne w maszynach wirtualnych itp.?
Rhys Evans,
Nie zapomnij zezwolić na zdalny dostęp w zaawansowanych właściwościach systemu w rzeczywistym systemie operacyjnym VM. Stamtąd możesz wybrać grupy naszych użytkowników, aby umożliwić zdalny dostęp.

Odpowiedzi:

33

  1. Start → Uruchom → secpol.msc

    Ustawienia zabezpieczeń \ Zasady lokalne \ Przypisywanie praw użytkownika

    Prawy panel → kliknij dwukrotnie Zezwalaj na logowanie za pośrednictwem usług pulpitu zdalnego → Dodaj użytkowników lub grupę → enterRemote Desktop Users

  2. Start → Uruchom → services.msc

    Poszukaj usług pulpitu zdalnego i upewnij się, że konto logowania to usługa sieciowa, a nie system lokalny.

  3. Sprawdź swoje dzienniki zdarzeń.

Amit Naidu
źródło
6
To jest starszy post, ale dla odniesienia w przyszłości do kogoś, kto utknął (tak jak ja), odpowiedź podana powyżej przez Amit Naidu naprawdę trafia w sedno. Moim zdaniem problem polega na tym, że dodanie użytkownika do grupy „Użytkownicy pulpitu zdalnego” (w usłudze Active Directory) nie wystarczy, następnie musisz zmienić swoje LOKALNE zasady komputera za pomocą polecenia (jak wyżej) secpol.msc i dodać Grupa Active Directory „Użytkownicy pulpitu zdalnego” do LOKALNYCH dozwolonych użytkowników zdalnych. Wykonaj również czynności kontrolne wymienione w drugim kroku, aby rozwiązać problem. Amit, dziękuję za poświęcony czas i wiedzę.
1
Dobre rzeczy, dodałem Domain Usersgrupę do Remote Desktop Usersgrupy, aby uzyskać komputer, z którym jesteśmy przygotowani, aby udostępniać rzeczy wewnętrznie.
jxramos
Za to, co jest warte - nie jest to wymagane w standardowej instalacji żadnej wersji systemu Windows. Musisz to zrobić tylko wtedy, gdy używasz obrazu, który został zmieniony w stosunku do stanu domyślnego, na przykład z powodu zaostrzenia bezpieczeństwa.
MDMarra,
16

Dodaj tych użytkowników do grupy Użytkownicy pulpitu zdalnego na każdym komputerze lokalnym .

MDMarra
źródło
2
Dodałem grupę, której użytkownicy byli częścią na komputerze lokalnym, i nadal otrzymywałem ten błąd. Co ciekawe, dodałem samego użytkownika, a teraz zamiast wyskakującego okienka z tym błędem RDP łączy się i po prostu wyświetla komunikat „Odmowa dostępu” na ekranie logowania. Jakieś inne myśli?
user1308743,
Ta odpowiedź w połączeniu z Amit Naidu sprawiła, że ​​zadziałało dla mnie
Adam
Oto doskonały przewodnik na temat robienia tego, co sugeruje MDMarra: support.ncomputing.com/portal/kb/articles/…
Adam
5

Myślę, że znalazłem rozwiązanie tego problemu.

Otwórz to na stacji roboczej, z którą chcesz się połączyć, Panel sterowania \ System i zabezpieczenia \ System, kliknij Zaawansowane ustawienia systemowe. Na karcie Zdalne w grupie Pulpit zdalny kliknij przycisk Wybierz użytkowników ...

Kliknij Dodaj i dodaj użytkownika, do którego chcesz mieć dostęp. Jeśli używasz AD, upewnij się, że możesz pingować domenę. Zawsze klikaj Sprawdź nazwy, aby upewnić się, że dodawany użytkownik jest poprawny. np. moja nazwa_użytkownika@moja_domena.com.

Jayrich
źródło
3

Sprawdzanie usług pulpitu zdalnego jest bardzo ważne, a także pomaga je ponownie uruchomić.

Miałem ten sam problem i to mnie zabijało. Pierwszą rzeczą do zrobienia jest sprawdzenie, czy administrator spoza domeny może RDP i inny serwer. Jeśli mogą, musisz po prostu martwić się ustawieniami lokalnymi na tym serwerze terminali.

W moim przypadku dodałem potrzebnych użytkowników do grupy użytkowników pulpitu zdalnego na DC, a następnie ustawiłem zasady domeny w konsoli zarządzania zasadami grupy - obiekty zasad grupy - kliknij przycisk domyślnej zasady domeny - edytuj - zasady - ustawienia systemu Windows - ustawienia zabezpieczeń - lokalne Zasady - Przypisywanie praw użytkownika - Zezwalaj na logowanie za pośrednictwem usług pulpitu zdalnego. Dodaj „użytkowników pulpitu zdalnego” do tej zasady.

Następnie uruchom: gpupdate / force

Następnie z serwera terminali: Start - Narzędzia administracyjne - Usługi pulpitu zdalnego - Konfiguracja hosta sesji pulpitu zdalnego - RDP-Tcp - rt clk - właściwości - bezpieczeństwo - Dodaj - Użytkownicy domeny - Udziel, a następnie Dostęp użytkownika i Dostęp gościa - OK.

Następnie musisz przejść do usług na serwerze terminali i ponownie uruchomić usługę usług pulpitu zdalnego. W przeciwnym razie ustawienie RDP-Tcp nie zadziała od razu.

Wszyscy użytkownicy należący do grupy Użytkownicy pulpitu zdalnego i grupy Użytkownicy domeny powinni się teraz połączyć.

Dave
źródło
1

znalazłem rozwiązanie tego problemu ... ale mam pytania dotyczące pytań .. czy to użytkownik domeny? jak MSN.COM \ John

jeśli twoja odpowiedź tak, powinieneś przejść do właściwości konta użytkownika, a następnie przejść do grup i dodać tego użytkownika do użytkownika zdalnego pulpitu i użytkownika zdalnego zarządzania drugą rzeczą, którą odwiedzasz na tym komputerze zdalnym -> przejdź do panelu sterowania -> konta użytkowników -> zarządzaj innym użytkownikiem -> dodaj innego użytkownika -> po wpisaniu nazwy automatycznie przejdzie z katalogu aktywnego, jeśli przyłączy się do domeny i da ten poziom administratora użytkownikowi

napotykałem już te same problemy i próbowałem to naprawić, wykonując następujące kroki ...

Eng. Aladobi
źródło
0

Na pierwszy rzut oka powiedziałbym, że zrobiłeś właściwe rzeczy ...
Jedyne, co przychodzi mi na myśl, to to, że użyłeś niewłaściwego rodzaju grupy.
Grupa dystrybucyjna zamiast grupy bezpieczeństwa.

Tonny
źródło
1
Korzystam z grup zabezpieczeń, z których rozumiem, że jest to właściwa grupa, prawda?
user1308743,
Tak to prawda. W tym przypadku też jestem zagubiony. O ile mi wiadomo, to powinno działać.
Tonny,
To grupa bezpieczeństwa, której szukasz
Rhys Evans,
0

Dla mnie zadziałało dodanie użytkownika (który musi się zalogować) do grupy „Użytkownicy pulpitu zdalnego”.

  1. Biegać lusrmgr.msc

  2. Otwórz stronę właściwości użytkownika

  3. Przejdź do karty „Członek”

  4. Dodaj „użytkowników pulpitu zdalnego”

laggingreflex
źródło