デフォルトのドメインポリシーを変更した後、管理者がリモートデスクトップ経由でサーバーにログオンできない
ドメインセキュリティグループのリモートデスクトップアクセスを有効にしたいので、検索して指示 here に従って「未定義」と表示されている設定に移動し、設定を変更してセキュリティグループを追加しました、しかしそれはまだ動作しませんでした。同じ "..Allow Logon .."エラーメッセージが引き続き表示されます。したがって、GPOの設定をあきらめて未定義に戻すことにしました。
次に、常に機能していた管理者アカウントでRDPを試行しましたが、恐ろしいことに、機能しなくなり、同じ「..Allow Logon ..」エラーが表示されます。
やってみました gpupdate /forceですが、何も機能しません。このドキュメントでは、Windows Server 2008のデフォルトでは、管理者に対してRDPアクセスが有効になっているため、未定義の場合、GPOの変更後も管理者アカウントは引き続きログインする必要があると思いますか?他に何をすべきか設定をリセットするために行う必要がありますか?
サーバーにローカルでログオンし、RDP設定を確認します。
Start> Administrative Tools> Remote Desktop Services> Remote Desktop Session Host Configuration。
(これは、Terminal Services)の代わりにRemote Desktop Servicesと呼ばれることがあります)。
画面の中央にある[接続]リストで、[RDP-Tcp]を右クリックし、[プロパティ]を選択します。 [セキュリティ]タブを選択します。これは、ターミナルサーバーへのアクセスを許可または拒否されたグループのアクセス制御リストです。 GPOは、このリストからいくつかのグループを削除した可能性があります。
現在、私のマシンにはSYSTEM、LOCAL SERVICE、NETWORK SERVICE、Administrators、Remote Desktop UsersおよびINTERACTIVEがあります。
あなたにとって重要なのは、Administrators(フルコントロール、ユーザーアクセス、ゲストアクセスが必要)とRemote Desktop Users(ユーザーアクセス、ゲストアクセスが必要)だと思います)。それらのグループがリストにない場合は、追加します。
もちろん、それらのグループのメンバーシップを確認してください。うまくいけば、すべての管理スタッフがローカルAdministratorsグループに属していると思います(おそらくDOMAIN\Domain Adminsのメンバーシップを介して)。
AdministratorsとRemote Desktop Usersのデフォルトのアクセスは、Allow log on through Terminal Servicesの設定を特定のアカウントで変更し、再度Not Configuredに設定した場合、元に戻りません。
この場合、AdministratorsとRemote Desktop Usersを明示的に定義する必要があります。
ファルーク、ありがとう
この情報は非常に役に立ちました。
ユーザーのAllow log on through Remote Desktop Servicesオプションを変更してデフォルトのドメインコントローラーポリシーを変更すると(Domain\xyz)、すべてのタイプの管理者のすべてのDCへのRDPアクセスが失われ、それらを追加することによってのみ利用可能になります。このオプションでも同様です(リモートデスクトップサービスを介したログオンを許可します)。
このオプションにAdministratorsグループを追加するだけで、ドメイン管理者または任意の管理者グループのメンバーが5分後にすべてのドメインコントローラーにログインできるようになります。
GPO overwritesすべてのローカルポリシーからの設定。使用するグループだけでなく、使用するallグループを追加する必要があります。追加したいです。