今早抽出点时间,对远程桌面登录所需的必要条件进行了测试,权且记录一下。测试平台是Windows Server 2003 R2 SP2。
0. Terminal Services服务
Terminal Services服务很重要,作为服务器操作系统,我想绝大多数管理员都知道这个服务是不能轻易被关闭的吧。
1. Enable Remote Desktop
要使用远程桌面功能,按照正常的流程,我们首先会在System Properties > Remote中勾选Enable Remote Desktop on this computer:
如果当前系统不是域控,默认情况下,管理员组的成员帐户就已经可以远程登录系统了。
如果想使用非管理员组的成员帐户远程登录系统,则必须手动添加用户帐户。
2. Select Remote Users...
点击Add...添加用户:
此时,被添加的用户自动隶属于Remote Desktop Users组:
如果当前系统不是域控,默认情况下,被添加的用户帐户就已经可以远程登录系统了。反之,如果系统正是域控,则只有管理员组成员有权远程登录域控,其他组成员还不行,我们需要继续修改安全策略。
3. 安全策略:Allow logon through Terminal Services Properties
有关组策略操作步骤这种事务性工作的具体说明这里就省略了。
在组策略模板中,依次展开Computer Configuration > Windows Settings > Security Settings > Local Policies,选中User Rights Assignment:
双击Allow logon through Terminal Services Properties,先看Explain This Setting:
解释的很清楚:
Default:
On workstation and servers:
Administrators
Remote Desktop Users.
On domain controllers:
Administrators.
这就是造成“任何非管理员组的成员帐户都无法远程登录域控”的原因,如果需要,我们可以修改它:
修改这条安全设置将会覆盖其默认的安全设置:这里我们只添加了tom_chen和jack_yao这两个用户,因此只有这两个用户被允许远程登录,而默认被允许远程登录的Administrators组成员帐户将无法再使用远程登录。当然,如果需要,我们可以再手动添加。
一般情况下,远程登录的用户权限设置就到此为止了,然而在特定的系统环境下,远程登录仍可能会遇到困难。
4. 安全策略:Deny log on through Terminal Services
这时,jack_yao将无法远程登录。
5. Firewall:TCP Port 3389
这里仅以Windows自带的Firewall为例:
有关远程登录的设置主要就是以上几个方面,在远程登录遇到问题需要诊断时可供参考。一般情况下,基于安全考虑,多数管理员也不会允许普通用户远程登录域控,所以这次实验的内容仅供技术探讨和交流,切勿轻易用于生产环境。
转载于:https://blog.51cto.com/fooismbar/660304