Udostępnij za pośrednictwem

Zauważysz, że pole wyboru "Odmów temu użytkownikowi uprawnień logowania do serwera hosta sesji usług pulpitu zdalnego" działa inaczej w systemach Windows Server 2003 i Windows Server 2008

Ten artykuł zawiera pomoc w rozwiązaniu problemu polegającego na tym, że opcja Odmów temu użytkownikowi uprawnień logowania do funkcji serwera hosta sesji usług pulpitu zdalnego działa inaczej w różnych wersjach systemu Windows Server.

Oryginalny numer KB: 2258492

Symptomy

Można zauważyć, że zachowanie odmowy tego użytkownika uprawnień do logowania się do serwera hosta sesji usług pulpitu zdalnego różni się między systemem Windows Server 2003 i Windows Server 2008. W systemie Windows Server 2003 to ustawienie nosi nazwę Odmów temu użytkownikowi uprawnienia do logowania się do dowolnego serwera terminali.

Rozważ następującą konfigurację:

  1. Serwer członkowski systemu Windows 2008 Server.

  2. Serwer członkowski systemu Windows Server 2003.

  3. W Użytkownicy i komputery usługi Active Directory przystawki wybierz użytkownika i uzyskaj dostęp do karty Profil usług pulpitu zdalnego. Jeśli na kontrolerze domeny jest uruchomiony system Windows Server 2003, będzie to nazywane profilem usług terminalowych. W tym miejscu ustaw ustawienie "Odmów temu użytkownikowi uprawnienia do logowania się na serwerze hosta sesji usług pulpitu zdalnego". Ponownie w systemie Windows Server 2003 jest to nazywane "Odmów temu użytkownikowi uprawnienia do logowania do dowolnego serwera terminali".

  4. Ustaw tego użytkownika jako członka grupy "Użytkownicy pulpitu zdalnego" lub lokalnej grupy "Administratorzy" w ramach zarówno serwerów Windows Server 2003, jak i Windows Server 2008.

Teraz użyj poświadczeń tego użytkownika, aby zalogować się do serwera członkowskiego systemu Windows 2003 za pośrednictwem protokołu RDP, zauważysz, że ten użytkownik zostanie zablokowany. Jednak ten użytkownik będzie mógł zalogować się do serwera z systemem Windows Server 2008.

Przyczyna

Jest to celowe. W systemie Windows Server 2003 to ustawienie jest sprawdzane niezależnie od tego, czy serwer jest w trybie serwera terminalu administracji zdalnej, czy w trybie serwera terminalu aplikacji. Jednak w systemie Windows Server 2008 to ustawienie jest sprawdzane na maszynie z usługami pulpitu zdalnego tylko w trybie aplikacji. Tryb administracji zdalnej nie sprawdzi tego parametru. Jeśli zmienisz serwer systemu Windows Server 2008 na Tryb aplikacji usług pulpitu zdalnego, instalując rolę, ten użytkownik nie zostanie odrzucony za pośrednictwem protokołu RDP.

Rozwiązanie

Aby odmówić użytkownikowi lub grupie logowania za pośrednictwem protokołu RDP, jawnie ustaw uprawnienie "Odmowa logowania za pośrednictwem usług pulpitu zdalnego". W tym celu uzyskaj dostęp do edytora zasad grupy (lokalnego na serwerze lub z jednostki organizacyjnej) i ustaw następujące uprawnienia:

  1. Początek | Uruchom | Gpedit.msc, jeśli edytuje zasady lokalne lub wybierz odpowiednie zasady i edytuje je.

  2. Konfiguracja komputera | Ustawienia systemu Windows | Ustawienia zabezpieczeń | Zasady lokalne | Przypisywanie praw użytkownika.

  3. Znajdź i kliknij dwukrotnie pozycję "Odmów logowania za pośrednictwem usług pulpitu zdalnego".

  4. Dodaj użytkownika i/lub grupę, do której chcesz odmówić dostępu.

  5. Wybierz przycisk OK.

  6. Uruchom polecenie gpupdate /force /target:computer lub poczekaj na następne odświeżenie zasad, aby to ustawienie miało zastosowanie.