Como permitir aos usuários do diretório ativo a área de trabalho remota?

40

Esta é a primeira vez que eu configuro ou até mesmo uso o Active Directory.

Eu o configurei e adicionei os computadores (atualmente VMs no Hyper V) ao diretório ativo e, se eu usar o hyper-V para conectar-me às VMs, poderei usar usuários do domínio do diretório ativo para fazer login no VMs.

No entanto, se eu tentar fazer login pela área de trabalho remota, recebo este erro:

The connection was denied because the user account is not authorized for remote login.

Eu tentei:
- No diretório ativo, adicionei o grupo em que meu usuário pertence aos usuários da Área de Trabalho Remota.
- Na própria VM, adicionar o grupo de diretório ativo (que contém o usuário com o qual estou tentando fazer login) para permitir o logon pelos Serviços de Área de Trabalho Remota na Diretiva de Segurança Local.

Eu ainda tenho o mesmo erro de autorização negada.

Como configuro corretamente um grupo no diretório ativo para poder fazer login na área de trabalho remota em todas as minhas máquinas virtuais?

Obrigado!

active-directory remote-desktop rdp user1308743
fonte
A função Serviços de Área de Trabalho Remota está instalada na VM?
KJ-SRS
Tente examinar também a Diretiva de Grupo. Você mudou alguma coisa lá? Quais sistemas operacionais .. você tem o nível certo de segurança nas sessões RDP? ou seja, Vista e acima? Alguma coisa nos logs de eventos? em máquinas locais. A resposta da MDMarra deveria ter funcionado .. que tipo de configuração você tem? SOs dentro de VMs etc?
Rhys Evans
Não se esqueça de permitir o acesso remoto nas propriedades avançadas do sistema no sistema operacional real da VM. A partir daí, você pode escolher grupos de nossos usuários para permitir acesso remoto.

Respostas:

33

  1. Iniciar → Executar → secpol.msc

    Configurações de segurança \ Diretivas locais \ Atribuição de direitos do usuário

    Painel direito → clique duas vezes em Permitir logon através dos Serviços de Área de Trabalho Remota → Adicionar Usuários ou Grupo → insiraRemote Desktop Users

  2. Iniciar → Executar → services.msc

    Procure Serviços de Área de Trabalho Remota e verifique se a conta de Logon é Serviço de Rede, não Sistema Local.

  3. Verifique seus logs de eventos.

Amit Naidu
fonte
6
Este é um post antigo, mas para referência futura a alguém que ficou preso (como eu) a resposta dada acima por Amit Naidu realmente atinge o ponto. O problema, na minha opinião, é que adicionar um usuário ao grupo "Usuários da Área de Trabalho Remota" (no seu Active Directory) não é suficiente; depois, você precisa alterar as políticas da máquina LOCAL com o comando (como acima) secpol.msc e adicionar o O Active Directory agrupa "Usuários da Área de Trabalho Remota" para seus usuários remotos permitidos LOCAL . Faça também a verificação mencionada na segunda etapa, pois isso pode solucionar o seu problema. Amit, obrigado pelo seu tempo e conhecimento.
11
Coisas boas, eu adicionei o Domain Usersgrupo ao Remote Desktop Usersgrupo para obter um certo PC que estamos preparando para compartilhar coisas internamente.
jxramos
Pelo que vale a pena - isso não é necessário em uma instalação padrão de qualquer versão do Windows. Você só precisará fazer isso se estiver usando uma imagem que foi alterada do estado padrão, por exemplo, devido à proteção da segurança.
MDMarra
16

Adicione os usuários em questão ao grupo Usuários da Área de Trabalho Remota em cada máquina local .

MDMarra
fonte
2
Eu adicionei o grupo do qual os usuários faziam parte na máquina local e ainda estava recebendo esse erro. Curiosamente, eu adicionei o próprio usuário e, agora, em vez de um pop-up com esse erro, o RDP se conecta e apenas fornece um "Acesso negado" na tela de login. Algum outro pensamento?
user1308743
Esta resposta combinada com Amit Naidu da tenho que trabalhar para mim
Adam
Aqui está um excelente guia em fazer o que MDMarra está sugerindo: support.ncomputing.com/portal/kb/articles/...
Adam
5

Acho que encontrei a solução para esse problema.

Abra isso na estação de trabalho em que deseja conectar, Painel de Controle \ Sistema e Segurança \ Sistema, clique em Configurações Avançadas do Sistema. Na guia Remoto, no grupo Área de Trabalho Remota, clique no botão Selecionar Usuários ...

Clique em Adicionar e adicione o usuário que você deseja acessar. Se você estiver usando o AD, verifique se pode executar ping no domínio. Sempre clique em Verificar nomes, para garantir que o usuário que você está adicionando esteja correto. ex: nome_do_usuá[email protected].

Jayrich
fonte
3

A verificação do serviço dos Serviços de Área de Trabalho Remota é muito importante e também ajuda a reiniciá-lo.

Eu estava tendo o mesmo problema e isso estava me matando. A primeira coisa a fazer é verificar se um administrador que não é de domínio pode fazer RDP para um servidor diferente. Se eles puderem, você só precisa se preocupar com uma configuração local no Terminal Server.

No meu caso, adicionei os usuários necessários ao grupo Usuários da Área de Trabalho Remota no controlador de domínio e, em seguida, defina a Diretiva de Domínio no Console de Gerenciamento de Diretiva de Grupo - Objetos de Diretiva de Grupo - rt clique na diretiva de domínio padrão - editar - Diretivas - Configurações do Windows - Configurações de Segurança - Local Políticas - Atribuição de direitos do usuário - Permitir logon através de serviços de área de trabalho remota. Adicione "Usuários da área de trabalho remota" a esta política.

Em seguida, execute: gpupdate / force

Em seguida, no seu Terminal Server: Iniciar - Ferramentas administrativas - Serviços de área de trabalho remota - Configuração do host da sessão da área de trabalho remota - RDP-Tcp - rt clk - propriedades - segurança - Adicionar - Usuários do domínio - Conceda acesso ao usuário e acesso ao convidado - OK.

Então você precisa ir aos serviços no Terminal Server e reiniciar o serviço Remote Desktop Services. Caso contrário, a configuração RDP-Tcp não entrará em vigor imediatamente.

Todos os usuários que fazem parte do grupo Usuários da Área de Trabalho Remota e do grupo Usuários do Domínio agora devem se conectar.

Dave
fonte
1

Encontrei a solução para esse problema ... mas tenho dúvidas. É esse usuário do domínio? como MSN.COM \ john

se sua resposta for sim, você deve acessar as propriedades da conta de usuário e, em seguida, acessar grupos e adicionar esse usuário ao usuário de área de trabalho remota remota e ao usuário de gerenciamento remoto, a segunda coisa que você acessa no computador remoto -> no painel de controle -> contas de usuário -> gerenciar outro usuário -> adicionar outro usuário -> depois de escrever o nome, ele virá automaticamente do diretório ativo se ele ingressar no domínio e fornecer ao nível de administrador do usuário

Eu estava enfrentando os mesmos problemas antes e estava tentando corrigi-lo seguindo estas etapas ...

Eng.Emad Alzaobi
fonte
0

À primeira vista, eu diria que você fez as coisas certas ...
Sobre a única coisa que vem à mente é que você usou o tipo errado de grupo.
Grupo de distribuição em vez do grupo de segurança.

Tonny
fonte
11
Estou usando grupos de segurança, que meu entendimento é que é o grupo correto para usar, certo?
user1308743
Sim está certo. Nesse caso, também estou perdido. Isso deve funcionar tanto quanto eu sei.
quer
É um grupo de segurança que você
procura
0

O que funcionou para mim foi adicionar o usuário (que precisa fazer login) ao grupo "Usuários da área de trabalho remota".

  1. Corre lusrmgr.msc

  2. Abra a página de propriedades do usuário

  3. Saltar a guia "Membro de"

  4. Adicionar "Usuários da área de trabalho remota"

atraso
fonte