本文提供了帮助来解决以下问题: 拒绝此用户登录远程桌面会话主机服务器 功能在不同版本的 Windows Server 中的行为不同。
原始 KB 数: 2258492
现象
你可能会注意到,拒绝此用户登录远程桌面会话主机服务器的行为在 Windows Server 2003 和 Windows Server 2008 之间是不同的。 在 Windows Server 2003 中,此设置称为 拒绝此用户登录到任何终端服务器的权限。
请考虑以下设置:
Windows 2008 服务器成员服务器。
Windows Server 2003 成员服务器。
在Active Directory 用户和计算机管理单元中,选择用户并访问远程桌面服务配置文件选项卡。如果域控制器正在运行 Windows Server 2003,则这称为终端服务配置文件。 此处设置“拒绝此用户登录远程桌面会话主机服务器的权限” 设置。 同样,在 Windows Server 2003 中,这称为“拒绝此用户登录到任何终端服务器的权限”。
将此用户设置为 Windows Server 2003 和 Windows Server 2008 服务器下的“远程桌面用户”组或本地“管理员”组的成员。
现在,使用此用户的凭据通过 RDP 登录到 Windows 2003 成员服务器,你会注意到此用户将被阻止。 但是,此用户将能够登录到 Windows Server 2008 服务器。
原因
此为有意行为。 在 Windows Server 2003 中,无论服务器是处于远程管理终端服务器模式还是应用程序终端服务器模式,都检查此设置。 但是,在 Windows Server 2008 中,仅在应用程序模式下具有远程桌面服务的计算机上检查此设置。 远程管理模式不会检查此参数。 如果通过安装角色将 Windows Server 2008 服务器更改为远程桌面服务应用程序模式,则不会通过 RDP 拒绝此用户登录。
解决方法
若要通过 RDP 拒绝用户或组登录,请显式设置“拒绝通过远程桌面服务登录”权限。 为此,请访问组策略编辑器(本地服务器或 OU),并设置以下权限:
开始 |运行 |如果编辑本地策略或选择相应的策略并对其进行编辑,则 Gpedit.msc。
计算机配置 |Windows 设置 |安全设置 |本地策略 |用户权限分配。
找到并双击“拒绝通过远程桌面服务登录”。
添加要拒绝访问的用户和/或组。
选择“确定”。
运行
gpupdate /force /target:computer或等待下一个策略刷新,使此设置生效。