ドメインユーザーはドメインコントローラーにRDPできますか?
Vanilla Windows Server 2008 x64 Standard DC(AD、DNS)。私は自分のDCに少し作業をし、習慣の力で、ドメイン管理者ではなく、通常のドメインアカウントを使用してサーバーにログインしました。このボックスにRDPを実行できたのを見てショックを受けました。なぜそうなるのでしょうか。ポリシーを調べて、ドメインコントローラーの「ログオンを許可する」 「ターミナルサービス経由」は「未定義」です。使用していたユーザーアカウントはDomainAdminsグループのメンバーではありません。このユーザーアカウントがドメインコントローラーにログインできた理由を理解するために使用できる他のポリシーモデリングはありますか? ?
リモートデスクトップユーザーと呼ばれる組み込みグループがあり、ドメインコントローラーにRDPできます。そのグループに含まれるアカウントを確認してください。
ドメインコントローラーでrsop.mscを実行します。これにより、gpoを介して適用されるすべての設定の一覧が表示されます。適用される設定がどこかに定義されているかどうかを確認してください。ある場合は、グループポリシー管理コンソールに移動し、モデリングウィザードを実行します。これにより、どのポリシーがどこに適用されているかがわかります。
まず最初に、通常はドメイン管理者としてリモートインするため、リモートインする機能は明らかに有効になっています。 「ターミナルサービスを介したログオンを許可する」設定が定義されていないという事実は、単に設定がポリシーによって管理されていないことを意味します。システムプロパティの[リモート]タブを見ると、[このコンピューターでリモートデスクトップを有効にする]設定がオンになっていることがわかります。
TS構成のRDPプロトコルのアクセス許可タブを見ると、サーバー上のRDPプロトコルのRDPアクセス許可が表示されます。パーミッションリストにユーザーとゲストのアクセス権を持つdomain\Remote Desktop Usersグループが見つかると思います。このグループのメンバーを確認し、それに応じて調整してください。
ユーザーとゲストのアクセス権を持つ別のグループがあることに気付くかもしれません。それに応じてこれらの権限を調整する必要があります。