为什么远程桌面服务属性的组策略编辑器中的添加用户或组按钮不可用?

2

我有一个Windows 2008 R2服务器,我试图给一个非域管理员的域用户通过RDC登录此框的权限。我以域管理员身份登录。我就在这里:

enter image description here

当我在右侧窗格中双击“策略”时,我看到的是:

I blacked-out the existing accounts, but a couple were shown here - both are domain admin accounts

如您所见,我无法将用户添加到此策略中。有人可以解释为什么会这样吗?

windows-server-2008  group-policy 
Ducain
source
如果这是域环境 - 是否已在dc上定义了此组策略?
Jeff
另外我认为他们用来编辑本地组策略的帐户必须是本地管理员,我不知道域管理员是否会工作 - 可能需要是企业管理员(我认为)
Jeff
这是一个域环境。这可以在域控制器上定义,但不确定在哪里查找它。
Ducain
1
在DC上转到管理工具 - >组策略管理。我不知道您的策略对象名称有多友好,我通常将自定义设置限制为具有适当名称的一些更改 - 在默认域策略下检查 - 单击设置选项卡并展开报告,看看您是否注意到任何内容
Jeff
您可以通过打开命令提示符并检查gpresult / r来检查应用于服务器的组策略对象,以便缩小搜索范围
Jeff

Answers:

3

该策略的图标表示它受域策略控制。注意它的图标是如何使用小脚本/文档的两个服务器。

这意味着你需要

  • 创建另一个仅适用于相关计算机的域级GPO。您可以通过更改计算机的OU并将策略放在那里来实现。此外,您可以更改新GPO上的安全筛选,使其仅适用于相关计算机,并设置GPO顺序,以便在当前GPO之后应用新GPO。

要么

  • 防止有问题的计算机应用现在生效的域级GPO,然后设置本地GPO。您可以更改域级GPO的权限,以便不允许给定计算机应用它。
Patrick Seymour
source
我希望我足够了解所有这一切。 : - )我得到了基础知识,我可以访问我们的域控制器框。有没有办法在域控制器上添加有问题的用户,作为域级设置?我知道这是次要问题,但肯定是相关的。
Ducain
我不会在域级别设置中执行此操作,除非您希望该用户具有对域中所有计算机的rd访问权限
Jeff
我同意杰夫的观点。
Patrick Seymour
@Ducain既然你把它搞黑了我就无法判断这是否适用于你的情况,但默认情况下安全策略包括本地组远程桌面用户。如果将用户帐户添加到该本地组,它还将继承通过RDP登录的功能。这样,您就可以避免为单个计算机创建组策略。
Stephen Jennings
@StephenJennings - 问题是我在域控制器上定义了这个策略。感谢您的进一步投入。
Ducain
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.