Alapértelmezett távirányító RDP-hozzáférés az asztalra tartományvezérlők Csak az Active Directory tagjai domain rendszergazdák. Ebben a cikkben bemutatjuk, hogyan biztosíthatjuk az RPD hozzáférést a tartományvezérlőkhez rendes felhasználók számára rendszergazdai jogosultságok nélkül..
Sokan ésszerűen azzal érvelnek, hogy valójában a hétköznapi felhasználóknak távoli hozzáférésre van szükségük a DC asztalhoz. Valójában kicsi és közepes méretű infrastruktúrákban, amikor a teljes infrastruktúrát több rendszergazda szolgáltatja, tartományi rendszergazdai jogokkal, valószínűleg nincs ilyen szükség. A nagy számú személyzet által kiszolgált nagyvállalati hálózatokban azonban gyakran biztosítani kell az rdp hozzáférést a DC-hez (általában DC-k vagy RODC-k átalakításához) a kiszolgáló-adminisztrátorok különböző csoportjai számára, egy megfigyelő csoport, az ügyintéző rendszergazdái és más műszaki szakemberek. Vannak olyan helyzetek is, amikor harmadik féltől származó szolgáltatásokat telepítenek DC-re, amelyeket nem domain adminisztrátorok irányítanak, amelyeket szintén valamilyen módon kell kiszolgálni..
tanács. Az Active Directory tartományi szolgáltatások és a távoli asztali szolgáltatás szerepkörök (terminálkiszolgálói szerepkör) egyidejű együttélése ugyanazon a kiszolgálón nem támogatott. Ha csak egy fizikai kiszolgálón helyezkedik el a DC és a terminálszolgáltatások, akkor jobb a virtualizációt igénybe venni, annál inkább a Microsoft licencelési politikája lehetővé teszi két virtuális kiszolgáló indítását ugyanazon a Windows Server 2016/2012 R2 licencben a Standard kiadásban.Miután a kiszolgálót tartományvezérlővé tették, a helyi felhasználók és csoportok felügyeleti eszközei eltűnnek a számítógépkezelő beépülő modulokból. Amikor megpróbálta megnyitni a Helyi felhasználók és csoportok konzolt (lusrmgr.msc). hiba jelenik meg:
Az xxx számítógép egy tartományvezérlő. Ez a bevágás nem használható tartományvezérlőn. A tartományi fiókokat az Active Directory - felhasználók és számítógépek beépülő modullal kezeljük.
Mint láthatja, nincsenek helyi csoportok a tartományvezérlőn. A helyi távoli asztali felhasználók csoportja helyett a DC a beépített tartományi távoli asztali felhasználók csoportot használja (amely a Builtin tárolóban található). Ezt a csoportot az ADUC konzolon vagy a DC parancssorából kezelheti.
Felsoroljuk a helyi távoli asztali felhasználók csoportjának összetételét a tartományvezérlőn:
net localgroup "Távoli asztali felhasználók"
Mint láthatja, üres. Adja hozzá az itpro tartományi felhasználót (a példánkban az itpro egy rendszeres domain felhasználó, rendszergazdai jogosultságok nélkül).
net localgroup "Távoli asztali felhasználók" / add corp \ itpro
Győződjön meg arról, hogy a felhasználót felvették a csoportba.
net localgroup "Távoli asztali felhasználók"
Azt is ellenőrizheti, hogy a felhasználó mostantól a Távoli asztali felhasználók tartományi csoportjának tagja.
Ennek ellenére a felhasználó nem tud csatlakozni a DC-hez a távoli asztalon keresztül.
A távoli bejelentkezéshez engedélyekre van szüksége a Távoli asztali szolgáltatások bejelentkezéséhez. Alapértelmezés szerint csak a Rendszergazdák csoport tagjai használják ezt a jogot. Ha a csoport, amelyben tartózkodik, nem rendelkezik ezzel a joggal, vagy ha a jogot eltávolították a Rendszergazdák csoportból, ezt a jogot kézzel kell megadni.
A tény az, hogy az RDP-hez való kapcsolódás képességét a Windows rendszereken a házirend határozza meg Hagyjuk log tovább keresztül Távoli asztali szolgáltatások (Windows 2003 és korábbi verziókban a házirend neve: Bejelentkezés a terminálszolgáltatásokon keresztül). Miután a kiszolgálót DC-re bocsátották, csak a Rendszergazdák csoport (ezek domain adminisztrátorok) maradnak ebben a házirendben ...
A távoli asztali felhasználók csoport tagjaival történő kapcsolat engedélyezéséhez a tartományvezérlőn be kell lépnie:
- Indítsa el a helyi házirend-szerkesztőt (gpedit.msc)
- Lépjen a szakaszba Számítógép konfigurálása -> Windows beállítások -> Biztonsági beállítások -> Helyi házirendek -> Felhasználói jogok kiosztása
- Keressen egy nevet tartalmazó házirendet Belépés engedélyezése a Távoli asztali szolgáltatásokon keresztül
- Szerkessze a házirendet a Távoli asztali felhasználók tartománycsoportjának hozzáadásával (a formátumban domain \ Távoli asztal felhasználói), vagy közvetlenül egy domain felhasználónak vagy csoportnak (formátumban domain \ valamilyen csoportnév)
- Futtassa a helyi házirend-frissítést
gpupdate / force
Felhívjuk figyelmét, hogy a szükséges csoportoknak nem szabad szerepelniük a Távoli asztali szolgáltatások házirendje alapján történő bejelentkezés megtagadásában, mint elsőbbséget élvez (lásd a cikk A domain hozzáférés korlátozása a helyi fiókok alatt című cikket).
megjegyzés. Annak érdekében, hogy a felhasználó lokálisan bejelentkezzen a DC-be (a szerverkonzolon keresztül), a fiókját vagy a csoportot, amelyben tagja, szintén hozzá kell adni a házirendhez Hagyjuk log tovább helyileg. Alapértelmezés szerint a következő domain csoportoknak van ez a joga- Fiókkezelők
- A rendszergazdák
- Biztonsági mentési operátorok
- Nyomtatási operátorok
- Szerver operátorok.
A legjobb, ha létrehoz egy új biztonsági csoportot a tartományban, például az AllowDCLogin, és olyan felhasználói fiókokat ad hozzá, amelyeknek lehetővé kell tenniük a DC távoli elérését. Ha engedélyeznie kell a hozzáférést az összes AD tartományvezérlőhöz, ahelyett, hogy az egyes DC-kben a helyi házirendet szerkesztené, akkor jobb, ha felhasználói csoportot ad hozzá az Alapértelmezett tartományvezérlő házirend tartományi házirendjéhez (Számítógép konfiguráció \ Windows beállítások \ Biztonsági beállítások \ Helyi házirendek \ Felhasználó a GPMC konzolon keresztül). Jogok átruházása -> Bejelentkezés a Távoli asztali szolgáltatásokon keresztül).
Fontos. Ha megváltoztatja a domain házirendet, ne felejtsd el hozzá adni a domain / vállalati rendszergazdai csoportokat, különben elveszítik a távoli hozzáférést a tartományvezérlőkhöz.
Ezen változtatások után a megadott felhasználók és csoportok képesek lesznek az RPD-hez kapcsolódni a tartományvezérlőhöz. Próbálja meg az RDP használatával csatlakozni a DC-hez felhasználói fiók alatt. Látnia kell a tartományvezérlő asztalát. A szokásos felhasználók számára az alábbiak szerint fel lehet adni a jogot bizonyos szolgáltatások DC-n történő indítására / leállítására.
