Come consentire agli utenti di directory attive di accedere al desktop remoto?

40

Questa è la prima volta che installo o utilizzo anche Active Directory.

L'ho impostato e ho aggiunto i computer (in realtà macchine virtuali in Hyper V) alla directory attiva e, se utilizzo hyper-V per connettermi alle macchine virtuali, sono in grado di utilizzare gli utenti dal dominio della directory attiva per accedere al VM.

Tuttavia, se provo ad accedere tramite desktop remoto, ottengo questo errore:

The connection was denied because the user account is not authorized for remote login.

Ho provato:
- Dall'interno di active directory, ho aggiunto il gruppo in cui si trova il mio utente agli utenti di Desktop remoto.
- Sulla stessa macchina virtuale, aggiungendo il gruppo di directory attiva (che contiene l'utente con cui sto tentando di accedere) per consentire l'accesso tramite Servizi Desktop remoto nella politica di sicurezza locale.

Ho ancora lo stesso errore di autorizzazione negata.

Come posso impostare correttamente un gruppo in active directory per poter accedere con il desktop remoto su tutte le mie macchine virtuali?

Grazie!

active-directory  remote-desktop  rdp 
user1308743
fonte
Il ruolo di Servizi Desktop remoto è installato nella VM?
KJ-SRS,
Prova a guardare anche i Criteri di gruppo: hai cambiato qualcosa lì? Che SO .. hai il giusto livello di sicurezza nelle sessioni RDP? cioè Vista e sopra? Qualcosa nei registri degli eventi? su macchine locali. La risposta di MDMarra avrebbe dovuto funzionare ... che tipo di installazione hai? SO all'interno di VM ecc.?
Rhys Evans,
Non dimenticare di consentire l'accesso remoto nelle proprietà di sistema avanzate sul sistema operativo VM effettivo da lì puoi scegliere i gruppi che i nostri utenti consentono l'accesso remoto.

Risposte:

33

  1. Start → Esegui → secpol.msc

    Impostazioni di sicurezza \ Criteri locali \ Assegnazione diritti utente

    Riquadro destro → fare doppio clic su Consenti accesso tramite Servizi Desktop remoto → Aggiungi utenti o gruppo → invioRemote Desktop Users

  2. Start → Esegui → services.msc

    Cerca Servizi Desktop remoto e assicurati che l'account di accesso sia Servizio di rete, non Sistema locale.

  3. Controlla i log degli eventi.

Amit Naidu
fonte
6
Questo è un post più vecchio, ma per riferimento futuro a qualcuno che si è bloccato (come ho fatto io) la risposta data sopra da Amit Naidu colpisce davvero il punto. Il problema secondo me è che l'aggiunta di un utente al gruppo "Utenti desktop remoto" (su Active Directory) non è sufficiente, quindi è necessario modificare i criteri della macchina LOCAL con il comando (come sopra) secpol.msc e aggiungere il Il gruppo "Utenti desktop remoto" di Active Directory per LOCAL ha consentito agli utenti remoti. Effettua anche il controllo menzionato nel secondo passaggio per risolvere il problema. Amit, grazie per il tuo tempo e le tue conoscenze.
1
Roba buona, ho aggiunto il Domain Usersgruppo al Remote Desktop Usersgruppo per ottenere un determinato PC con cui ci stiamo preparando per condividere cose internamente.
jxramos,
Per quello che vale - questo non è richiesto in un'installazione standard di qualsiasi versione di Windows. Dovrai farlo solo se stai usando un'immagine che è stata modificata dallo stato predefinito, ad esempio a causa di un rafforzamento della sicurezza.
MDMarra,
16

Aggiungere gli utenti in questione al gruppo Utenti desktop remoto su ciascun computer locale .

MDMarra
fonte
2
Ho aggiunto il gruppo di cui gli utenti facevano parte sul computer locale e continuavo a riscontrare quell'errore. È interessante notare che ho aggiunto l'utente stesso e ora invece di un popup con quell'errore, RDP si collega e dà solo un "Accesso negato" nella schermata di accesso. Qualche altro pensiero?
user1308743
Questa risposta combinata con Amit Naidu ha funzionato per me
Adam,
Ecco una guida eccellente su ciò che MDMarra sta suggerendo: support.ncomputing.com/portal/kb/articles/…
Adam
5

Penso di aver trovato la soluzione a questo problema.

Aprire questo nella workstation in cui si desidera connettersi, Pannello di controllo \ Sistema e sicurezza \ Sistema, fare clic su Impostazioni di sistema avanzate. Nella scheda Remoto, nel gruppo Desktop remoto, fai clic sul pulsante Seleziona utenti ...

Fai clic su Aggiungi e aggiungi l'utente a cui desideri accedere. Se stai utilizzando AD, assicurati di poter eseguire il ping del dominio. Fai sempre clic su Controlla nomi per assicurarti che l'utente che stai aggiungendo sia corretto. ad es .: myusername@mydomain.com.

Jayrich
fonte
3

Controllare il servizio di Servizi Desktop remoto è molto importante e aiuta anche a riavviarlo.

Stavo avendo lo stesso problema e mi stava uccidendo. La prima cosa da fare è vedere se un amministratore non di dominio può eseguire il RDP su un server diverso. Se possono, devi solo preoccuparti di un'impostazione locale su quel Terminal Server.

Nel mio caso ho aggiunto gli utenti necessari al gruppo Utenti desktop remoto sul controller di dominio e quindi ho impostato i criteri di dominio nella Console Gestione criteri di gruppo - Oggetti Criteri di gruppo - fare clic sul criterio di dominio predefinito - modifica - Criteri - Impostazioni di Windows - Impostazioni di sicurezza - Locale Politiche - Assegnazione diritti utente - Consenti accesso tramite servizi desktop remoto. Aggiungi "Utenti desktop remoto" a questo criterio.

Quindi eseguire: gpupdate / force

Quindi dal Terminal Server: Start - Strumenti di amministrazione - Servizi desktop remoto - Configurazione host sessione Desktop remoto - RDP-Tcp - rt clk - proprietà - sicurezza - Aggiungi - Utenti dominio - Concedi quindi Accesso utente e Accesso ospite - OK.

Quindi devi andare ai servizi sul Terminal Server e riavviare il servizio di Servizi Desktop remoto. In caso contrario, l'impostazione RDP-Tcp non avrà effetto immediato.

Tutti gli utenti che fanno parte del gruppo Utenti desktop remoto e del gruppo Utenti dominio ora dovrebbero connettersi.

Dave
fonte
1

ho trovato la soluzione per questo problema ... ma ho domande sulla vista ... è quell'utente del dominio? come MSN.COM \ john

se la tua risposta sì, dovresti andare alle proprietà dell'account utente dopo che vai a gruppi e aggiungi questo utente all'utente desktop remoto remoto e all'utente di gestione remota la seconda cosa che vai a quel computer remoto -> vai al pannello di controllo -> account utente -> gestisci altro utente -> aggiungi altro utente -> dopo aver scritto il nome verrà automaticamente dalla directory attiva se si unisce al dominio e fornisce a questo amministratore livello utente

stavo affrontando gli stessi problemi prima e stavo cercando di risolverlo seguendo questi passaggi ...

Eng.Emad Alzaobi
fonte
0

A prima vista direi che hai fatto le cose giuste ...
L'unica cosa che mi viene in mente è che hai usato il tipo sbagliato di gruppo.
Gruppo di distribuzione al posto del gruppo di sicurezza.

Tonny
fonte
1
Sto usando i gruppi di sicurezza, la mia comprensione è che è il gruppo corretto da usare, giusto?
user1308743
Sì, è giusto. In quel caso, anch'io sono in perdita. Questo dovrebbe funzionare per quanto ne so.
Tonny,
È un gruppo di sicurezza che stai
cercando
0

Ciò che ha funzionato per me è stato l'aggiunta dell'utente (che deve accedere) al gruppo "Utenti desktop remoto".

  1. Correre lusrmgr.msc

  2. Apri la pagina delle proprietà dell'utente

  3. Vai alla scheda "Membro di"

  4. Aggiungi "Utenti desktop remoto"

laggingreflex
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.