مشکل عدم اتصال به وسیله Remote Desktop
سلام دوستان ، من میخوام روی ویندوزم برای چندتا یوزر خاص دسترسی ریموت بزارم ، با اینکه از توی بخش Remote و گزینه Select users کاربراهای مجازم رو تعریف میکنم ولی باز هم کاربران غیر مجازم میتونن ریموت بزنن... بنظرتون اشکال کارم کجاست؟!
12 پاسخ
دوست عزیز این ویندوزی که میفرمایید کلاینتی است یا سرور؟
کاربرای شما عضو چه گروهی هستند؟؟
دوست عزیز ببیند اون یوزر هایی که غیر مجازن پرمیشن هاشون چجوزیه؟؟؟
ادمین
انجام دادم ولی باز هم کاربرایی که تعریف نشده ان میتونن ریموت بزنن
برای همین می تونند ریموت بزنند
به نظرم کلا برنامه ریموت دسکتاپ رو روی کاربرانی که قصد دارید ریموت نزنند بوسیله گروپ پالیسی ببندید
سلام
شما می تونید در group policy وارد مسیر زیر بشید
Computer Configuration-Windows Settings-Security Settings-Local Policies-User Right Assignment-
در این قسمت گزینه ی Allow Log on Through Remote desktop رو انتخاب کنید و کاربرانی که قصد دارید اجازه ریموت زدن داشته باشند رو داخلش اضافه کنید
دوست عزیز برای اجازه دادن به یوزرها برای اینکه به سرور و DC شما ریموت بزنند علاوه بر این که یوزرها باید در گروه Remoteباشن باید اجازه لاگین کردن به DC رو هم داشته باشن
برای اینکه یوزرها بتونند به DC لاگین کنند باید تغییراتی رو در پالیسی مربوط به DCبدید و یوزرها و گروه های مورد نظرتون رو در قسمتی از پالیسی که مسیرشو خدمتتون عرض میکنم باید اضافه کنید تا یوزرها بتونند لوکالی و ریموتلی به dc و سرورتون وصل بشن
برای اینکار وارد پالیسی مربوط به DC شده از این مسیر:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
پالیسی با عنوان Allow LogOn Locally را باز کنید و گروه و یوزر موردن ظرتون رو اضافه کنید
دقت کنید که بعضی از گروه ها اعم از گروه Administratorداخل این پالیسی بصورت پیش فرض وجود دارند و درصورتی که یوزرهای شما عضو این گروه ها باشند میتونند ریموت بزنند.
و همچنین برای اینکه یوزر ها نتونند بصورت ریموت و لوکال به dc و سرور لاگین کنند باید در همین مسیر در پالیسی
یوزر و گروه مورد نظرتون رو به پالیسی Deny Log On Locally اضافه کنید
خوب من میخوام افرادی توی شبکه روی کلاینت ها اختیار کامل داشته باشن و لی اصلا به سرور نتونن ریموت بزنن این افراد رو عضو Domain addmin کردم حالا نمیتونم ریموتشون رو ببندم
الان باید چیکار کنم بنظرتون؟
عضو گروه Denied RODC کردمشو درست شدن
البته مکانیزم کاری شما اشتباه هست دوست من ، شما دارید یک گروه HelpDesk ایجاد می کنید و نباید عضو گروه دیگه ای بشن مخصوصا Domain Admins ، شما باید بعد از تعریف گروه اون رو از طریق Policy ای به نام Restricted Groups یا Preferences به عضویت Local Administrators همه سیستم ها در بیارید ، حالا یک گروه محدود خواهید داشت که ضمن اینکه به سرورها اصلا دسترسی ندارند روی کلاینت ها دسترسی کامل دارند ، حالا با استفاده از همین Policy شما باید بتونید این گروه HelpDesk رو عضو گروه Remote Desktop Users کلاینت ها هم بکنید حالا دسترسی Remote هم به سیستم ها خواهند داشت ضمن اینکه باید فایروال و سرویس RDP روی کلاینت ها فعال شده باشه ، لینک زیر بیشتر راهنماییتون می کنه :
ITPRO باشید
SRV 2008 R2
توی دامین هم هستش