RDP - Доступ к пользователю домена
I have :
- An Active Directory with the domain name : domain.com on a machine A
- An admin domain user named controller
- A machine B running Windows 2008R2 joined to the AD
I want to connect to B through RDP as controller@domain.com but it doesn't work. I get the error : "The username and password didn't work ..." whereas if I connect directly in B with these credentials it works so I know the credentials are correct.
Кроме того, если я попытаюсь подключиться к локальным пользователям с RDP в B, например, с локальным администратором, он будет работать отлично. Проблема только с пользователями домена.
Чтобы решить эту проблему, я:
- Использовал другой формат имени пользователя ( контроллер @ ..., domain.com\controller)
- Added the AD user controller to the Remote Desktop Users of the AD
- Tried to add the AD user controller to the Local Remote Desktop Users group of the machine B but it doesn't accept it. I go to Remote settings, add user, find it and click on ok. It seems to work until I realize nothing appears in the Remote Desktop Users list. It says that the Administrator already has access. So it confuses the local administrator and the domain admin controller. I still can't connect after that obviously.
I'm really stuck at that point, any help would be great.
Thank you in advance
EDIT : Я запускаю команду gpresult (gpresult / Scope Computer) на пораженном компьютере, и вот применяемые параметры GPO:
Таким образом, GPO действительно применяется (политика домена по умолчанию), но Я не думаю, что есть что-нибудь об удаленном доступе. Следует отключить этот объект групповой политики на этом компьютере и попытаться еще раз добавить пользователя домена к локальным пользователям удаленных рабочих столов или мне следует использовать этот объект групповой политики для добавления удаленного доступа для данного пользователя домена из AD?
Пытался добавить пользовательский контроллер AD в группу «Локальные пользователи удаленного рабочего стола» на машине B, но он не принял его. Я захожу в настройки удаленного доступа, добавляю пользователя, нахожу его и нажимаю ОК. Кажется, это работает до тех пор, пока я не пойму, что в списке «Пользователи удаленного рабочего стола» ничего не отображается
. Если вы не смогли добавить пользователя в группу «Локальные пользователи удаленного рабочего стола» (например, параметры были выделены серым цветом, и вы не смогли никого добавить), и вы не могли использовать интерфейс «удаленных настроек» для добавления пользователя в группу. Весьма вероятно, что у вас может быть применена групповая политика «Группы с ограниченным доступом», которая предотвращает локальную модификацию локальной группы пользователей удаленного рабочего стола.
Я бы предложил просмотреть Результирующий набор политик (gpresult [запускать от имени администратора] ) на затронутых компьютерах, чтобы подтвердить, что это возможная причина.
Если это причина, вы можете разрешить своему пользователю доступ к серверу через RDP:
- добавив этого пользователя в локальную группу, изменив текущую ограниченную Группы GPO (если возможно),
- исключение этого компьютера из группы GPO с ограничениями (если возможно),
- настройка права пользователя «Разрешить вход через службы удаленного рабочего стола» - непосредственно в локальной политике безопасности или через GPO .
Метод, который вы выбираете, в значительной степени зависит от ряда факторов в вашей среде, включая желаемый доступ учетной записи к любым серверам, на которые в настоящее время влияет групповая политика. Но на самом деле самым важным фактором является подтверждение того, является ли объект групповой политики причиной, по которой вы не можете добавить пользователя в группу локально.
На сервере Win2008R2: Щелкните правой кнопкой мыши Компьютер> Свойства> Удаленный> выберите пользователя> Добавить> добавить пользователя контроллера> ОК.
После этого пользователь контроллера должен иметь доступ к серверу 2008R2 с помощью RDP.