Windows Server 安装 Active Directory 域后,可以在服务端统一维护 “组织单位”、“组”、“用户”等,以便客户端直接使用维护好的用户进行远程桌面等操作。
说明:客户端无需安装 AD 域(即无需加入 AD 域),即可使用服务端创建的用户,在客户端直接远程桌面到服务端。
详细步骤如下:
一、打开 “Active Directory 用户和计算机”
打开服务器端的 “服务管理器” -> 右上角菜单 -> 工具 -> Active Directory 用户和计算机
二、新建 “组织单位”(类似于分公司、部门)
1)左侧树形菜单 -> 选中域名 -> 右键 -> 新建 -> 组织单位
2)输入名称,如 “工程部”,确定即可。
三、组织单位下,新建 “用户”
1)选中步骤二创建的组织单位 -> 右键 -> 新建 -> 用户
2)输入姓、名、用户登录名后,点击 “下一步”
3)输入密码,并设置相关密码策略,如 “密码永不过期”,完成即可。
说明:此步骤未给用户分配角色权限,是为了把权限分配给步骤四的 “组”中,然后用户隶属于组即可。如此设置,目的在于当组权限变更时,只需变更组的角色权限,无需对每个用户都变更角色权限。当然,也可以直接把角色权限赋予用户,这样步骤四可省略。
四、组织单位下,新建 “组” (类似于角色,便于分配权限)
1)选中步骤二创建的组织单位 -> 右键 -> 新建 -> 组
2)输入组名,如 “工程部领导”,确定即可。
3)双击打开 “工程部领导” 组 属性窗口,选择 "成员" 选项卡,把步骤三 新建的用户添加进来。
4) “工程部领导” 组 属性窗口,选择 "隶属于" 选项卡,添加 “Remote Desktop Users” 角色权限(若有其他需求,可按需添加)。
五、设置 “本地安全策略”
1)控制面板 -> 系统和安全 -> 管理工具 -> 本地安全策略
2)左侧树形菜单 -> 安全设置 -> 本地策略 -> 用户权限分配
3)左侧窗口,双击打卡 “允许通过远程桌面服务登录” 属性窗口,把 “工程部领导” 添加进来。
六、设置 “本地组策略”
1)运行中输入 “gpedit.msc”,打开本地组策略编辑器
2)左侧树形菜单 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配
3)右侧窗口,双击打卡 “允许通过远程桌面服务登录” 属性窗口,把 “工程部领导” 添加进来。
4)更新组策略:gpupdate /force