이 문서에서는 원격 데스크톱 세션 호스트 서버 기능에 로그온할 수 있는 이 사용자 권한 거부가 다른 버전의 Windows Server에서 다르게 동작하는 문제를 해결하는 데 도움이 됩니다.
원래 KB 번호: 2258492
증상
원격 데스크톱 세션 호스트 서버에 로그온할 수 있는 이 사용자 권한 거부의 동작은 Windows Server 2003과 Windows Server 2008 간에 다를 수 있습니다. Windows Server 2003에서 이 설정을 터미널 서버에 로그온할 수 있는 이 사용자 권한 거부라고 합니다.
다음 설정을 고려하세요.
Windows 2008 서버 구성원 서버.
Windows Server 2003 멤버 서버.
Active Directory 사용자 및 컴퓨터 스냅인 내에서 사용자를 선택하고 원격 데스크톱 서비스 프로필 탭에 액세스합니다. 도메인 컨트롤러가 Windows Server 2003을 실행하는 경우 이를 터미널 서비스 프로필이라고 합니다. 여기서는 '원격 데스크톱 세션 호스트 서버에 로그온할 수 있는 이 사용자 권한 거부' 설정을 설정합니다. 다시 말하지만, Windows Server 2003에서는 이를 '모든 터미널 서버에 로그온할 수 있는 이 사용자 권한 거부'라고 합니다.
이 사용자를 Windows Server 2003 및 Windows Server 2008 서버 모두에서 "원격 데스크톱 사용자" 그룹 또는 로컬 "관리자" 그룹의 구성원으로 설정합니다.
이제 이 사용자의 자격 증명을 사용하여 RDP를 통해 Windows 2003 멤버 서버에 로그온하면 이 사용자가 차단됩니다. 그러나 이 사용자는 Windows Server 2008 서버에 로그온할 수 있습니다.
원인
이 동작은 의도된 것입니다. Windows Server 2003에서 이 설정은 서버가 원격 관리 터미널 서버 모드인지 또는 애플리케이션 터미널 서버 모드인지에 관계없이 확인됩니다. 그러나 Windows Server 2008에서 이 설정은 애플리케이션 모드에서만 원격 데스크톱 서비스가 있는 컴퓨터에서 확인됩니다. 원격 관리 모드는 이 매개 변수를 확인하지 않습니다. 역할을 설치하여 Windows Server 2008 서버를 원격 데스크톱 서비스 애플리케이션 모드로 변경하는 경우 이 사용자는 RDP를 통해 로그온이 거부되지 않습니다.
해결
RDP를 통해 사용자 또는 그룹 로그온을 거부하려면 "원격 데스크톱 서비스를 통한 로그온 거부" 권한을 명시적으로 설정합니다. 이렇게 하려면 그룹 정책 편집기(서버에 로컬 또는 OU)에 액세스하고 이 권한을 설정합니다.
시작 | 실행 | 로컬 정책을 편집하거나 적절한 정책을 선택하고 편집하는 경우 Gpedit.msc입니다.
컴퓨터 구성 | Windows 설정 | 보안 설정 | 로컬 정책 | 사용자 권한 할당.
"원격 데스크톱 서비스를 통한 로그온 거부"를 찾아 두 번 클릭합니다.
액세스를 거부할 사용자 및/또는 그룹을 추가합니다.
확인을 선택합니다.
이 설정이 적용될 때까지 다음 정책 새로 고침을 실행
gpupdate /force /target:computer하거나 기다립니다.