จะอนุญาตให้ผู้ใช้ไดเรกทอรีที่ใช้งานอยู่ไปยังเดสก์ท็อประยะไกลได้อย่างไร?


40

นี่เป็นครั้งแรกที่ฉันตั้งค่าหรือแม้กระทั่งการใช้ไดเรกทอรีที่ใช้งานอยู่

ฉันตั้งค่าและเพิ่มคอมพิวเตอร์ (จริง VMs ใน Hyper V) ไปยังไดเรกทอรีที่ใช้งานและถ้าฉันใช้ Hyper-V เพื่อเชื่อมต่อกับ VMs ฉันสามารถใช้ผู้ใช้จากโดเมนไดเรกทอรีที่ใช้งานเพื่อเข้าสู่ระบบ VMs

อย่างไรก็ตามหากฉันพยายามเข้าสู่ระบบผ่านเดสก์ท็อประยะไกลฉันได้รับข้อผิดพลาดนี้

The connection was denied because the user account is not authorized for remote login.

ฉันได้ลอง:
- จากภายในไดเรกทอรีที่ใช้งานอยู่ฉันได้เพิ่มกลุ่มที่ผู้ใช้ของฉันอยู่ในผู้ใช้เดสก์ท็อประยะไกล
- บน VM เองให้เพิ่มกลุ่มไดเรกทอรีที่ใช้งานอยู่ (ซึ่งมีผู้ใช้ที่ฉันพยายามเข้าสู่ระบบด้วย) เพื่ออนุญาตให้เข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกลในนโยบายความปลอดภัยท้องถิ่น

ฉันยังคงมีข้อผิดพลาดการอนุญาตเดียวกันที่ถูกปฏิเสธ

ฉันจะตั้งค่ากลุ่มในไดเรกทอรีที่ใช้งานอย่างถูกต้องเพื่อให้สามารถเข้าสู่ระบบด้วยเดสก์ท็อประยะไกลบนเครื่องเสมือนทั้งหมดของฉันได้อย่างไร

ขอบคุณ!


มีการติดตั้งบทบาทบริการเดสก์ท็อประยะไกลบน VM หรือไม่
KJ-SRS

ลองดูที่นโยบายกลุ่มและคุณได้เปลี่ยนอะไรที่นั่นไหม ระบบปฏิบัติการใดของคุณมีระดับความปลอดภัยที่เหมาะสมในเซสชัน RDP หรือไม่ เช่น Vista ขึ้นไป มีอะไรในบันทึกเหตุการณ์? บนเครื่องท้องถิ่น คำตอบของ MDMarra ควรได้ผล .. คุณมีการตั้งค่าแบบไหน? ระบบปฏิบัติการภายใน VM และอื่น ๆ
ริสอีแวนส์

อย่าลืมอนุญาตให้มีการเข้าถึงระยะไกลในคุณสมบัติของระบบขั้นสูงบน VM OS จริงจากที่นั่นคุณสามารถเลือกกลุ่มผู้ใช้ของเราเพื่ออนุญาตการเข้าถึงระยะไกล

คำตอบ:


33
  1. เริ่ม→เรียกใช้→ secpol.msc

    การตั้งค่าความปลอดภัย \ นโยบายท้องถิ่น \ การกำหนดสิทธิ์ของผู้ใช้

    บานหน้าต่างด้านขวา→ดับเบิลคลิกที่อนุญาตการเข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล →เพิ่มผู้ใช้หรือป้อนกลุ่ม→Remote Desktop Users

  2. เริ่ม→เรียกใช้→ services.msc

    ค้นหาบริการเดสก์ท็อประยะไกลและตรวจสอบให้แน่ใจว่าบัญชีผู้ใช้เข้าสู่ระบบคือบริการเครือข่ายไม่ใช่ระบบภายใน

  3. ตรวจสอบบันทึกเหตุการณ์ของคุณ


6
นี่คือโพสต์เก่า แต่สำหรับการอ้างอิงในอนาคตถึงใครบางคนที่ติดอยู่ (เหมือนที่ฉันทำ) คำตอบที่ได้รับจาก Amit Naidu ได้รับความนิยมจริงๆ ปัญหาในความคิดของฉันคือการเพิ่มผู้ใช้ในกลุ่ม "ผู้ใช้เดสก์ท็อประยะไกล" (ใน Active Directory ของคุณ) ไม่เพียงพอหลังจากนั้นคุณต้องเปลี่ยนนโยบายเครื่องLOCALของคุณด้วยคำสั่ง (ดังกล่าว) secpol.msc และเพิ่ม กลุ่ม Active Directory "ผู้ใช้เดสก์ท็อประยะไกล" ถึงLOCALของคุณอนุญาตผู้ใช้ระยะไกล ตรวจสอบทำในขั้นตอนที่สองก็สามารถแก้ไขปัญหาของคุณ ขอบคุณมากสำหรับเวลาและความรู้ของคุณ

1
สิ่งที่ดีฉันได้เพิ่มDomain Usersกลุ่มลงในRemote Desktop Usersกลุ่มเพื่อรับพีซีบางเครื่องที่เราเตรียมไว้เพื่อแชร์สิ่งต่างๆกับภายใน
jxramos

สำหรับสิ่งที่คุ้มค่า - ไม่จำเป็นต้องใช้ในการติดตั้งมาตรฐานของ Windows ทุกรุ่น คุณจะต้องทำเช่นนี้หากคุณใช้ภาพที่ถูกเปลี่ยนจากสถานะเริ่มต้นตัวอย่างเช่นเนื่องจากการรักษาความปลอดภัยที่แข็ง
MDMarra

16

เพิ่มผู้ใช้ในคำถามไปยังกลุ่มผู้ใช้ระยะไกลสก์ท็อปบนเครื่องแต่ละท้องถิ่น


2
ฉันเพิ่มกลุ่มที่ผู้ใช้เป็นส่วนหนึ่งของเครื่องท้องถิ่นและฉันยังคงได้รับข้อผิดพลาดนั้น น่าสนใจที่ฉันเพิ่มผู้ใช้เองและตอนนี้แทนที่จะเป็นป๊อปอัพที่มีข้อผิดพลาดนั้น RDP เชื่อมต่อและเพียงแค่ให้ "การเข้าถึงถูกปฏิเสธ" ที่หน้าจอเข้าสู่ระบบ ความคิดอื่น ๆ ?
user1308743

คำตอบนี้รวมกับ Amit Naidu ทำให้มันใช้ได้สำหรับฉัน
Adam

นี่คือคำแนะนำที่ยอดเยี่ยมเกี่ยวกับการทำสิ่งที่ MDMarra แนะนำ: support.ncomputing.com/portal/kb/articles/…
อดัม

5

ฉันคิดว่าฉันพบวิธีแก้ปัญหานี้แล้ว

เปิดสิ่งนี้ในเวิร์กสเตชันที่คุณต้องการเชื่อมต่อแผงควบคุม \ ระบบและความปลอดภัย \ ระบบคลิกการตั้งค่าระบบขั้นสูง บนแท็บระยะไกลในกลุ่มเดสก์ท็อประยะไกลให้คลิกปุ่มเลือกผู้ใช้ ...

คลิกเพิ่มและเพิ่มผู้ใช้ที่คุณต้องการเข้าถึง หากคุณใช้โฆษณาตรวจสอบให้แน่ใจว่าคุณสามารถ ping โดเมนได้ คลิกตรวจสอบชื่อเสมอเพื่อให้แน่ใจว่าผู้ใช้ที่คุณเพิ่มนั้นถูกต้อง เช่น myusername@mydomain.com


3

การตรวจสอบบริการบริการเดสก์ท็อประยะไกลนั้นสำคัญมากและช่วยในการรีสตาร์ท

ฉันมีปัญหาเดียวกันและมันก็ฆ่าฉัน สิ่งแรกที่ต้องทำคือดูว่าผู้ดูแลระบบที่ไม่ใช่โดเมนสามารถใช้ RDP กับเซิร์ฟเวอร์อื่นได้หรือไม่ หากพวกเขาสามารถทำได้คุณเพียงแค่ต้องกังวลเกี่ยวกับการตั้งค่าท้องถิ่นใน Terminal Server นั้น

ในกรณีของฉันฉันเพิ่มผู้ใช้ที่จำเป็นในกลุ่มผู้ใช้เดสก์ท็อประยะไกลบน DC จากนั้นตั้งค่านโยบายโดเมนในคอนโซลการจัดการนโยบายกลุ่ม - วัตถุนโยบายกลุ่ม - rt คลิกนโยบายโดเมนเริ่มต้นของคุณ - แก้ไข - นโยบาย - การตั้งค่า Windows - การตั้งค่าความปลอดภัย - ท้องถิ่น นโยบาย - การกำหนดสิทธิ์ของผู้ใช้ - อนุญาตการเข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล เพิ่ม "ผู้ใช้เดสก์ท็อประยะไกล" ให้กับนโยบายนี้

จากนั้นเรียกใช้: gpupdate / force

จากนั้นเทอร์มินัลเซิร์ฟเวอร์ของคุณ: เริ่ม - เครื่องมือการดูแลระบบ - บริการเดสก์ท็อประยะไกล - การกำหนดค่าโฮสต์เซสชันเดสก์ท็อประยะไกล - RDP-Tcp - rt clk - คุณสมบัติ - ความปลอดภัย - เพิ่ม - ผู้ใช้โดเมน -

จากนั้นคุณต้องไปที่บริการบนเซิร์ฟเวอร์เทอร์มินัลและเริ่มบริการบริการเดสก์ท็อประยะไกล มิฉะนั้นการตั้งค่า RDP-Tcp จะไม่มีผลทันที

ผู้ใช้ทั้งหมดที่เป็นส่วนหนึ่งของกลุ่มผู้ใช้เดสก์ท็อประยะไกลและกลุ่มผู้ใช้โดเมนควรเชื่อมต่อ


1

ฉันพบวิธีแก้ปัญหาสำหรับปัญหานี้ ... แต่ฉันมีคำถามดู .. เป็นผู้ใช้โดเมนหรือไม่ เหมือน MSN.COM \ john

ถ้าคำตอบของคุณใช่คุณควรไปที่คุณสมบัติบัญชีผู้ใช้หลังจากนั้นไปที่กลุ่มและเพิ่มผู้ใช้นี้ไปยังผู้ใช้เดสก์ท็อประยะไกลระยะไกลและผู้ใช้การจัดการระยะไกลสิ่งที่สองที่คุณไปที่คอมพิวเตอร์ระยะไกล -> ไปที่แผงควบคุม -> บัญชีผู้ใช้ -> จัดการผู้ใช้คนอื่น -> เพิ่มผู้ใช้คนอื่น -> หลังจากเขียนชื่อมันจะมาจากไดเรกทอรีที่ใช้งานโดยอัตโนมัติหากเข้าร่วมโดเมนและให้ระดับผู้ดูแลระบบผู้ใช้นี้

ฉันกำลังเผชิญปัญหาเดียวกันก่อนหน้านี้และฉันพยายามแก้ไขโดยทำตามขั้นตอนเหล่านี้ ...


0

ฉันจะบอกว่าคุณทำในสิ่งที่ถูกต้อง ...
เกี่ยวกับสิ่งเดียวที่อยู่ในใจคือคุณใช้กลุ่มผิดประเภท
กลุ่มการแจกจ่ายแทนกลุ่มความปลอดภัย


1
ฉันใช้กลุ่มความปลอดภัยความเข้าใจของฉันคือกลุ่มที่ถูกต้องที่จะใช้ใช่ไหม
user1308743

ถูกต้องเลย. ในกรณีนั้นฉันก็ขาดทุนเหมือนกัน สิ่งนี้ควรทำงานเท่าที่ฉันรู้
Tonny

มันเป็นกลุ่มความปลอดภัยที่คุณตามมา
ริสอีแวนส์

0

สิ่งที่ใช้ได้ผลสำหรับฉันคือการเพิ่มผู้ใช้ (ที่ต้องเข้าสู่ระบบ) ในกลุ่ม "ผู้ใช้เดสก์ท็อประยะไกล"

  1. วิ่ง lusrmgr.msc

  2. เปิดหน้าคุณสมบัติของผู้ใช้

  3. ไปที่แท็บ "สมาชิกของ"

  4. เพิ่ม "ผู้ใช้เดสก์ท็อประยะไกล"

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.