Résolution des problèmes d’accès refusés et d’utilisateur non autorisés dans Bureau à distance Microsoft Services

Cet article vous aide à résoudre les erreurs « Accès refusé » et « L’utilisateur n’est pas autorisé » qui se produisent lorsque vous essayez de vous connecter à un ordinateur distant.

S’applique à : Windows Server 2012 et versions ultérieures

Symptômes

Lorsque vous essayez de vous connecter à un ordinateur Windows ou à une machine virtuelle à l’aide du protocole RDP (Remote Desktop Protocol), vous recevez un message semblable à l’un des messages suivants :

L’accès est refusé.

L’utilisateur n’est pas autorisé.

Causes

Les messages « accès refusés » les plus courants et les causes ou circonstances les plus probables de chacun d’eux sont les suivants :

• L’accès est refusé. Cette erreur indique généralement que l’utilisateur qui tente de se connecter n’a pas l’autorisation nécessaire pour accéder au serveur distant.
• La connexion a été refusée, car le compte d’utilisateur n’est pas autorisé pour la connexion à distance. Cette erreur suggère que le compte de l’utilisateur n’a pas les droits d’accès utilisateur appropriés pour établir une connexion RDP au serveur cible.
• Pour vous connecter à distance, vous avez besoin du droit de vous connecter via les services Bureau à distance. Cette erreur est généralement liée aux services Bureau à distance (connexion à une batterie de serveurs RDS), et non à une connexion RDP autonome.
• L’accès à la session demandé est refusé ou la restriction de compte empêche cet utilisateur de se connecter. Cette erreur signifie généralement que les restrictions telles que Credential Guard empêchent l’accès.

Liste de contrôle pour la résolution des problèmes

Il existe de nombreux problèmes potentiels qui peuvent provoquer des problèmes d’accès refusés pour les utilisateurs RDP. Pour affiner la liste des causes possibles et fournir un point de départ pour une résolution plus approfondie des problèmes, tenez compte des éléments suivants :

1. Le problème affecte-t-il un utilisateur ou plusieurs utilisateurs ? Un problème qui affecte un utilisateur indique qu’un problème existe dans la configuration ou les autorisations de cet utilisateur. Pour plus d’informations, consultez Problèmes courants.

2. Le problème affecte-t-il les utilisateurs administratifs et les utilisateurs réguliers ? Ce comportement peut indiquer un problème lié aux paramètres du groupe de sécurité. Pour plus d’informations, consultez Problèmes courants.

3. L’utilisateur dispose-t-il des autorisations appropriées pour accéder à l’ordinateur distant dans un contexte non RDP (par exemple, l’utilisateur peut-il se connecter localement à l’ordinateur) ? Dans ce cas, l’utilisateur peut avoir un problème d’accès général au lieu d’un problème RDP. Vous devrez peut-être contacter votre administrateur Active Directory pour obtenir de l’aide.

4. L’ordinateur distant est-il accessible ?

   • Si l’utilisateur se connecte généralement à l’aide d’un client non-Microsoft, l’utilisateur peut-il se connecter à l’aide d’une autre méthode de connexion, telle que l’application Web Bureau à distance (RD Web) ou l’application connexion Bureau à distance (Mstsc.exe) ? Si le problème implique une application non-Microsoft, vous devrez peut-être contacter le fournisseur d’applications pour obtenir de l’aide.
   • Pouvez-vous démarrer une connexion RDP administrative ? Pour ce faire, ouvrez une fenêtre d’invite de commandes Windows et entrez mstsc /admin.
   • Un utilisateur ou un administrateur peut-il se connecter à l’ordinateur de destination ? Par exemple, un administrateur peut-il se connecter avec succès à l’aide des commandes ou nslookup des ping commandes ? Si ces commandes ne fonctionnent pas, il peut y avoir un problème de réseau, de port ou de DNS au lieu d’un problème RDP.

5. L’ordinateur distant est-il un contrôleur de domaine ? Seuls les membres du groupe Administrateurs de domaine peuvent utiliser RDP pour se connecter à un contrôleur de domaine.

Problèmes courants

Les sections suivantes fournissent des informations de résolution des problèmes plus spécifiques :

• Résoudre les problèmes liés aux autorisations
• Résoudre les problèmes d’autorisations pour les collections de sessions et les applications
• Résoudre les problèmes de droits d’accès utilisateur
• Résoudre les problèmes de « Restriction de compte empêche cet utilisateur de se connecter »
• Résoudre les problèmes de restriction d’accès SAM
• Résoudre les problèmes liés au service Services Bureau à distance

Résoudre les problèmes liés aux autorisations

Pour vérifier les autorisations au niveau de la forêt, procédez comme suit :

1. Ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory (disponible dans le menu Outils de Gestionnaire de serveur).
2. Sous le nœud de domaine, sélectionnez Intégré, cliquez avec le bouton droit sur Utilisateurs bureau à distance, puis sélectionnez Propriétés.
3. Vérifiez que l’utilisateur est membre du groupe.

Si l’ordinateur distant n’est pas membre du domaine, vérifiez les autorisations au niveau de l’ordinateur distant. Effectuez les étapes suivantes :

1. Sur l’ordinateur distant, ouvrez l’outil Utilisateurs et groupes locaux (Lusermgr.msc).
2. Sélectionnez Groupes>utilisateurs Bureau à distance et vérifiez que l’utilisateur est membre du groupe.

Résoudre les problèmes d’autorisations pour les collections de sessions et les applications

Si vous utilisez des collections pour gérer vos offres RDS, vous disposez de couches supplémentaires d’autorisation pour travailler avec. Pour vérifier que l’utilisateur a accès à la collection, procédez comme suit :

1. Sur l’hôte de session Bureau à distance, dans Gestionnaire de serveur, sélectionnez CollectionName> des services<>>Bureau à distance.

   Note

   Dans cette séquence, <CollectionName> représente le nom de la collection que vous souhaitez gérer.

2. Vérifiez l’élément Groupe d’utilisateurs dans la liste Propriétés de la collection. Effectuez l’une des actions suivantes :
   • Ajoutez l’utilisateur à un groupe déjà répertorié (par exemple, à l’aide des ordinateurs et des utilisateurs Active Directory).
   • Pour ajouter un groupe à la collection, recherchez la zone située au-dessus de la liste Propriétés, sélectionnez Tâches>Modifier les groupes d’utilisateurs des propriétés>, puis sélectionnez Ajouter.
3. Pour vérifier les autorisations d’une application particulière dans la collection, recherchez l’application dans la liste Programmes RemoteApp, cliquez avec le bouton droit sur l’application, puis sélectionnez Modifier l’attribution d’utilisateur des propriétés>. Pour apporter des modifications, suivez les instructions de la page Affectation d’utilisateur.

Résoudre les problèmes de droits d’accès utilisateur

Assurez-vous que le compte d’utilisateur appartient à un groupe disposant du droit de se connecter à distance à l’ordinateur distant. Utilisez les procédures suivantes, en fonction de la façon dont vous gérez les droits d’accès utilisateur sur l’ordinateur distant. N’oubliez pas que les paramètres de stratégie de groupe remplacent les paramètres de stratégie de sécurité locale.

Si vous utilisez la stratégie de groupe au niveau du domaine, procédez comme suit :

1. Dans le menu outils Gestionnaire de serveur, ouvrez la console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur l’objet de stratégie de groupe (GPO) qui contrôle l’ordinateur distant, puis sélectionnez Modifier pour ouvrir l’éditeur de stratégie de groupe.
2. Sélectionnez Stratégies de configuration>>ordinateur : Paramètres de sécurité paramètres de sécurité Paramètres>>locaux Attribution des droits utilisateur des stratégies locales.>
3. Sélectionnez Autoriser l’ouverture de session via les services Bureau à distance. Si la stratégie est activée, cliquez avec le bouton droit sur Autoriser l’ouverture de session via les services Bureau à distance, puis sélectionnez Propriétés. Si la stratégie n’est pas définie, consultez la procédure suivante pour vérifier la stratégie de sécurité locale.
4. Vérifiez les groupes auxquels ce droit a été attribué. Si l’utilisateur n’appartient pas à un groupe qui a ce droit, ajoutez le groupe à la stratégie ou ajoutez l’utilisateur à l’un des groupes déjà configurés.

Si vous utilisez la stratégie de sécurité locale, procédez comme suit :

1. Sur l’ordinateur distant, ouvrez stratégie de sécurité locale.
2. Sélectionnez Affectation des droits utilisateur des stratégies locales>des paramètres>de sécurité.
3. Sélectionnez Autoriser l’ouverture de session via les services Bureau à distance, puis vérifiez la liste des groupes dans Paramètres de sécurité. Si l’utilisateur n’appartient pas à un groupe qui a ce droit, ajoutez le groupe à la stratégie ou ajoutez l’utilisateur à l’un des groupes déjà configurés.
4. Pour ajouter un groupe à la stratégie, cliquez avec le bouton droit sur la stratégie, puis sélectionnez Propriétés. Sélectionnez Ajouter un utilisateur ou un groupe, puis sélectionnez un groupe.

Résoudre les problèmes de « Restriction de compte empêche cet utilisateur de se connecter »

Le message « Restriction de compte empêche cet utilisateur de se connecter », signifie généralement que Credential Guard limite l’accès utilisateur.

Credential Guard affecte uniquement les connexions directes aux ordinateurs distants. Elle n’est pas prise en charge pour les connexions qui utilisent le répartiteur de connexions Bureau à distance ou la passerelle Bureau à distance. Pour plus d’informations sur l’utilisation d’Credential Guard, consultez l’utilisateur ne peut pas s’authentifier ou doit s’authentifier deux fois.

Résoudre les problèmes de restriction d’accès SAM

Si les clients Restrict autorisés à passer des appels distants à la stratégie SAM sont activés, cela peut empêcher les utilisateurs de se connecter à des ordinateurs distants. Cette stratégie contrôle les utilisateurs qui peuvent énumérer les utilisateurs et les groupes dans la base de données SAM (Security Accounts Manager) locale et Active Directory. La stratégie est présente dans Windows Server 2016 et versions ultérieures.

Pour vérifier cette stratégie, procédez comme suit :

1. Dans l’Éditeur de stratégie de groupe, sélectionnez Options de sécurité des paramètres de sécurité>>des paramètres windows des stratégies>locales>des stratégies>ordinateurs.
2. Vérifiez l’état de l’accès réseau : restreindre les clients autorisés à passer des appels distants à la stratégie SAM .
3. Si cette stratégie est activée, passez en revue l’accès réseau : restreindre les clients autorisés à passer des appels distants à SAM.

   Important

   Cette stratégie est un paramètre de sécurité qui ne peut pas être ajouté ou supprimé à l’aide de paramètres de stratégie de groupe prédéfinis. Toutefois, il dispose d’un mode audit uniquement. L’article lié fournit des informations sur la configuration du mode audit uniquement et sur l’utilisation du mode audit uniquement dans un environnement de test.

Résoudre les problèmes liés au service Services Bureau à distance

Vous pouvez utiliser le composant logiciel enfichable Services MMC (Services.msc, également disponible dans le menu Outils dans Gestionnaire de serveur) pour gérer les services localement ou à distance. Vous pouvez également utiliser PowerShell pour gérer les services localement ou à distance (si l’ordinateur distant est configuré pour accepter les applets de commande PowerShell à distance).

Si le problème implique une connexion RDP directe à l’ordinateur distant, vérifiez l’état du service sur l’ordinateur distant. Si le service n’est pas en cours d’exécution, démarrez-le.

Si vous utilisez un déploiement à plus grande échelle de serveurs hôte de session Bureau à distance, vérifiez l’état du service sur les serveurs hôtes de session Bureau à distance. Si le service n’est pas en cours d’exécution, démarrez-le.

Si vous exécutez des versions de Windows Server antérieures à Windows Server 2016, vous pouvez rencontrer un problème dans lequel l’ordinateur distant ou le serveur hôte de session Bureau à distance ne peut pas interroger correctement le contrôleur de domaine pour obtenir des informations utilisateur. Si vous pensez que vous rencontrez ce problème, le blocage du serveur ou l’ouverture de session utilisateur est lent lors de la connexion à Windows Server 2012 R2 à l’aide de RDP.