針對 Microsoft 遠端桌面 Services 中拒絕存取和使用者未獲授權的問題進行疑難解答

本文可協助您針對嘗試連線到遠端計算機時發生的「拒絕存取」和「使用者未獲授權」錯誤進行疑難解答。

適用於： Windows Server 2012 和更新版本

徵兆

當您嘗試使用遠端桌面通訊協定 （RDP） 連線到 Windows 電腦或虛擬機時，您會收到類似下列其中一則訊息的訊息：

存取遭到拒絕。

使用者未獲授權。

原因

最常見的「拒絕存取」訊息，以及每個訊息最有可能的原因或情況如下：

• 存取遭到拒絕。 此錯誤通常表示嘗試連線的用戶沒有存取遠端伺服器的必要許可權。
• 線上遭到拒絕，因為用戶帳戶未獲授權進行遠端登錄。 此錯誤表示使用者帳戶沒有正確的使用者訪問許可權，無法建立目標伺服器的 RDP 連線。
• 若要從遠端登入，您需要透過遠端桌面服務登入的權利。 此錯誤通常與遠端桌面服務（連線到 RDS 伺服器陣列）相關，而不是獨立 RDP 連線。
• 要求的會話存取遭到 拒絕，或 帳戶限制會防止此使用者登入。 此錯誤通常表示 Credential Guard 之類的限制會防止存取。

疑難排解檢查清單

有許多潛在問題可能會導致 RDP 用戶發生「拒絕存取」問題。 若要縮小可能的原因清單，並提供進一步疑難解答的起點，請考慮下列事項：

1. 問題是否會影響一位使用者或一個以上的使用者？ 影響一位用戶的問題表示該用戶的設定或許可權中存在問題。 如需詳細資訊，請參閱 常見問題。

2. 此問題會影響系統管理使用者和一般使用者嗎？ 此行為可能表示與安全組設定相關的問題。 如需詳細資訊，請參閱 常見問題。

3. 使用者是否具有在非 RDP 內容中存取遠端電腦的正確許可權（例如，使用者是否可以在本機登入計算機）？ 在此情況下，使用者可能會有一般存取問題，而不是 RDP 問題。 您可能需要連絡 Active Directory 系統管理員以取得協助。

4. 遠端電腦是否可連線？

   • 如果使用者通常會使用非Microsoft用戶端進行連線，使用者可以使用替代的連線方法進行連線，例如遠端桌面 Web 應用程式 （RD Web） 或遠端桌面連線應用程式 （Mstsc.exe）？ 如果問題涉及非Microsoft應用程式，您可能必須連絡應用程式提供者以尋求協助。
   • 您可以啟動系統管理 RDP 連線嗎？ 若要這樣做，請開啟 Windows 命令提示字元視窗，然後輸入 mstsc /admin。
   • 使用者或系統管理員是否可以連線到目的地計算機？ 例如，系統管理員是否可以使用 ping 或 nslookup 命令成功連線？ 如果這些命令無法運作，則可能有網路、埠或 DNS 問題，而不是 RDP 問題。

5. 遠端電腦是否為域控制器？ 只有 Domain Admins 群組的成員可以使用 RDP 連線到域控制器。

常見問題

下列各節提供更具體的疑難解答資訊：

• 疑難排解權限
• 針對會話集合和應用程式的許可權進行疑難解答
• 針對使用者訪問許可權進行疑難解答
• 針對「帳戶限制防止此使用者登入」進行疑難解答
• 針對 SAM 存取限制進行疑難解答
• 針對遠端桌面服務服務問題進行疑難解答

疑難排解權限

若要檢查樹系層級的許可權，請遵循下列步驟：

1. 開啟 #D53835C66A8B64AB8813FC2E228DB2F79 MMC 嵌入式管理單元（可在 伺服器管理員 的 [工具] 選單上取得）。
2. 在網域節點底下，選取 [內建]，以滑鼠右鍵按兩下 [遠端桌面使用者]，然後選取 [ 內容]。
3. 請確定使用者是群組的成員。

如果遠端電腦不是網域成員，請檢查遠端計算機層級的許可權。 執行下列步驟:

1. 在遠端電腦上，開啟本機使用者和群組 （Lusermgr.msc） 工具。
2. 選取 [群組>遠端桌面使用者]，並確定使用者是群組的成員。

針對會話集合和應用程式的許可權進行疑難解答

如果您使用集合來管理 RDS 供應專案，您會有額外的授權層可搭配使用。 若要檢查使用者是否具有集合的存取權，請遵循下列步驟：

1. 在 [RD 工作階段主機] 的 [伺服器管理員] 中，選取 [遠端桌面服務>集合><名稱]。>

   注意

   在此序列中， <CollectionName> 代表您想要管理的集合名稱。

2. 檢查集合的 [屬性] 清單中的 [使用者群組] 專案。 執行下列其中一個動作：
   • 將使用者新增至已列出的群組（例如，使用 Active Directory 使用者和計算機）。
   • 若要將群組新增至集合，請找出 [屬性] 清單上方的區域，選取 [工作>編輯屬性>使用者群組]，然後選取 [新增]。
3. 若要檢查集合中特定應用程式的許可權，請在 RemoteApp Programs 清單中找出應用程式，以滑鼠右鍵按下應用程式，然後選取 [編輯屬性>使用者指派]。 若要進行變更，請遵循 [使用者指派] 頁面上的指示。

針對使用者訪問許可權進行疑難解答

請確定使用者帳戶屬於有權從遠端登入遠端電腦的群組。 根據您如何管理遠端電腦上的使用者存取許可權，使用下列程式。 請記住，組策略設定會覆寫本機安全策略設定。

如果您在網域層級使用組策略，請遵循下列步驟：

1. 在 [伺服器管理員 工具] 功能表上，開啟 [組策略管理控制台] （GPMC），以滑鼠右鍵單擊控制遠端計算機的組策略物件 （GPO），然後選取 [編輯] 以開啟組策略編輯器。
2. 選取 [計算機設定>原則>] [Windows 設定>安全性設定>] [本機原則>] [用戶權力指派]。
3. 選取 [ 允許透過遠端桌面服務登入]。 如果已啟用原則，請以滑鼠右鍵按兩下 [ 允許透過遠端桌面服務登入]，然後選取 [ 屬性]。 如果未定義原則，請參閱下一個程式來檢查本機安全策略。
4. 檢查已獲指派此許可權的群組。 如果使用者不屬於具有此許可權的群組，請將群組新增至原則，或將使用者新增至已設定的其中一個群組。

如果您使用本機安全策略，請遵循下列步驟：

1. 在遠端電腦上，開啟 [本機安全策略]。
2. 選取 [安全性設定>] [本機原則>] [用戶權力指派]。
3. 選取 [允許透過遠端桌面服務登入]，然後檢查 [安全性設定] 中的群組清單。 如果使用者不屬於具有此許可權的群組，請將群組新增至原則，或將使用者新增至已設定的其中一個群組。
4. 若要將群組新增至原則，請以滑鼠右鍵按兩下原則，然後選取 [ 屬性]。 選取 [ 新增使用者或群組]，然後選取群組。

針對「帳戶限制防止此使用者登入」進行疑難解答

訊息「帳戶限制正在防止此使用者登入」，通常表示 Credential Guard 正在限制使用者存取。

Credential Guard 只會影響遠端電腦的直接連線。 不支援使用 RD 連線代理人或 RD 閘道的連線。 如需如何使用 Credential Guard 的詳細資訊，請參閱 使用者無法驗證或必須驗證兩次。

針對 SAM 存取限制進行疑難解答

如果已啟用 [限制允許對 SAM 進行遠端呼叫的用戶端] 原則，它可能會防止使用者連線到遠端電腦。 此原則可控制哪些使用者可以列舉本機安全性帳戶管理員 （SAM） 資料庫和 Active Directory 中的使用者和群組。 原則存在於 Windows Server 2016 和更新版本中。

若要檢查此原則，請遵循下列步驟：

1. 在 [組策略編輯器] 中，選取 [計算機設定>>原則] [Windows 設定>安全性設定>] [本機原則>安全性選項]。
2. 檢查網路存取的狀態 ：限制允許對 SAM 原則進行遠端呼叫的用戶端。
3. 如果啟用此原則，請檢閱 網路存取：限制允許對 SAM 進行遠端呼叫的用戶端。

   重要

   此原則是無法使用預先定義組策略設定來新增或移除的安全性設定。 不過，它確實具有僅限稽核模式。 連結的文章提供如何設定僅限稽核模式，以及如何在測試環境中使用僅限稽核模式的資訊。

針對遠端桌面服務服務問題進行疑難解答

您可以使用 Services MMC 嵌入式管理單元（Services.msc，也可以在 [工具] 功能表上 伺服器管理員 取得），在本機或遠端管理服務。 您也可以在本機或遠端使用 PowerShell 來管理服務 (如果遠端電腦設定為可接受遠端的 PowerShell Cmdlet)。

如果問題涉及遠端電腦的直接 RDP 連線，請檢查遠端電腦上的服務狀態。 如果服務未執行，請加以啟動。

如果您使用 RD 工作階段主機伺服器的大規模部署，請檢查 RD 工作階段主機伺服器上的服務狀態。 如果服務未執行，請加以啟動。

如果您執行的 Windows Server 版本早於 Windows Server 2016，您可能會遇到遠端電腦或 RD 工作話主機伺服器無法正確查詢域控制器以取得使用者資訊的問題。 如果您懷疑發生此問題，請參閱 使用 RDP 連線到 Windows Server 2012 R2 時伺服器凍結或使用者登入速度緩慢。