ドメインコントローラーへのRDPアクセス（「ターミナルサービスを介したログオンを許可する」GPO）

Question

私は問題があります。 GPO "Domain Controllers" OUに "Allow Logon through Terminal Services"を設定し、1つのユーザーグループを設定しました。RDPアクセスを技術者のグループに割り当てたいと思いました。しかしその後、 Administratorsグループのアカウントとドメイン管理者アカウントを持つすべてのDCへのRDPアクセスを失いました。このGPOを削除すると、以前とは異なります。これらのアカウントでログインできません。指定する必要があります。このGPOでアクセスを取得します。ただし、デフォルトのドメインコントローラーポリシーではそのように設定されていません。どうすれば設定できますか？ありがとうございます...

joeqwerty · Accepted Answer

ユーザー権利の設定は、それらを構成したGPOが適用されなくなった場合でも残ります。

デフォルトでは、ドメインコントローラーには、組み込みの管理者グループに割り当てられた「リモートデスクトップサービスを介したログオンを許可する」というユーザー権限があります。 GPOで行ったことは、そのユーザー権限から組み込みの管理者グループを効果的に削除し、それを技術者グループに置き換えたことです。GPOこのユーザー権限の割り当てをデフォルト設定に「リセット」しないでください。

これを修正する方法は2つあります。

このユーザーを組み込みの管理者グループに戻すグループポリシーオブジェクトを適用します。
すべてのドメインコントローラーにログオンし、このユーザーをローカルグループポリシー（secpol.msc）のデフォルト設定に戻します。

将来、このユーザー権限をドメインコントローラーの技術者グループに付与する場合は、各ドメインコントローラーのローカルグループポリシーで行うか、ドメインベースのグループポリシーで行いますが、ビルトイン管理者グループをに含めるようにしてください。技術者グループに加えてポリシー。