远程桌面功能默认处于禁用状态,需要启用。在 Windows 10 或 11 工作站上,单个用户可以通过 RDP 进行连接,而在 Windows Server 上,允许同时进行两个会话。
RDP 访问权限仅限于管理员
在这两种情况下,默认情况下,访问权限仅限于管理员。如果标准用户尝试建立远程桌面连接,他们将收到以下错误消息:
“连接被拒绝,因为用户帐户无权进行远程登录。”
要避免这种情况,您可以在远程桌面激活期间通过控制面板 (sysdm.cpl) 中的小程序配置允许的用户和组。然后,在此处选择的帐户将添加到内置远程桌面用户组。
如果选择使用其他方法(如组策略)激活远程桌面,或者以后需要授予 RDP 连接权限,则需要通过不同的方式管理此本地组中的成员身份。
使用 PowerShell 将成员添加到本地组
对于单个计算机,可以使用基于 MMC 的计算机管理或 PowerShell。
PowerShell 提供了多个用于管理本地组的 cmdlet。例如,可以使用以下命令将 AD 组(如 RDPUser)添加到本地远程桌面用户组:
Add-LocalGroupMember -name “Remote Desktop Users” -Member contoso\RDPUser
通过 GPO 将用户添加到远程桌面用户
在集中管理的环境中,管理本地远程桌面用户组成员的首选方法是通过组策略。有两种选择。
受限组
受限组允许您控制哪些成员应属于本地组以及应将他们添加到哪些组。可以在“计算机配置>策略”>“Windows 设置”>“安全设置”下找到此设置。
从那里,从上下文菜单中选择“添加组”命令。它将打开一个对话框,您可以在其中输入本地组的名称。为此,请单击“浏览”按钮。
请务必注意,Microsoft 已翻译本地化系统上的组名。因此,您应该使用当地语言搜索相应的术语。在语言混合的环境中,选择两个名称中的哪一个并不重要;该分配基于 SID,无论如何都将适用于所有系统。
之后,有两个添加按钮可用。第一个允许您指定哪些成员应属于该组。
此组策略将目标电脑上的组成员与 GPO 中的条目对齐。因此,GPO 中未列出的任何用户都将自动从组中删除。
组策略首选项
或者,您可以使用“计算机配置>首选项”>“控制面板设置”下的“本地用户和组”设置来完成此任务。
选择“新建 >本地组”以管理用户组的成员。可以使用相应的复选框删除所有现有用户和组,以便远程桌面组仅包含 GPO 显式分配给它的成员。
默认的“更新”操作使成员列表保持所需状态,以便您可以保持原样。
活动目录中的远程桌面用户组
上述方法与本地远程桌面用户组中的成员身份有关。但是,在Active Directory中也有一个同名的组。简单地将所需帐户包含在此 AD 组中以授予它们访问 OU 中每台电脑上的远程桌面的权限不是更容易吗?
此 AD 组仅引用域控制器,其成员不会获得对成员服务器或工作站的 RDP 访问权限。
通常,不应将上述 GPO 与域控制器链接。否则,通常仅成为本地组成员的用户也将添加到远程桌面用户 AD 组,出于安全原因,通常不需要该组。
但 AD 组中的用户远程桌面用户仍无法在 DC 上打开远程桌面会话,因为他们没有连接权限。他们还需要权限“允许通过远程桌面服务登录”设置。此设置位于“计算机配置>策略”下>“Windows 设置”>“本地策略”>“用户权限分配”。
总结
默认情况下,仅允许管理帐户建立远程桌面连接。如果希望标准用户也能够执行此操作,则需要将其添加到目标主机上的本地远程桌面用户组。
您可以使用“计算机管理”或 PowerShell 等工具以交互方式对单个计算机执行此操作。但是,在托管环境中,组策略是首选方法。
为此,组策略提供了两种替代方法。链接 GPO 时,请注意不要影响域控制器。如果发生这种情况,所选帐户也将成为 AD 组远程桌面用户的成员,这通常是不希望的。