今早抽出点时间,对远程桌面登录所需的必要条件进行了测试,权且记录一下。测试平台是Windows Server 2003 R2 SP2。

0. Terminal Services服务

Terminal Services服务很重要,作为服务器操作系统,我想绝大多数管理员都知道这个服务是不能轻易被关闭的吧。

1. Enable Remote Desktop

要使用远程桌面功能,按照正常的流程,我们首先会在System Properties > Remote中勾选Enable Remote Desktop on this computer:

远程服务器输入shutdown 远程桌面登录服务器_远程服务器输入shutdown

如果当前系统不是域控,默认情况下,管理员组的成员帐户就已经可以远程登录系统了。

如果想使用非管理员组的成员帐户远程登录系统,则必须手动添加用户帐户。

2. Select Remote Users...

远程服务器输入shutdown 远程桌面登录服务器_网络_02

点击Add...添加用户:

远程服务器输入shutdown 远程桌面登录服务器_网络_03

此时,被添加的用户自动隶属于Remote Desktop Users组:

远程服务器输入shutdown 远程桌面登录服务器_远程服务器输入shutdown_04

如果当前系统不是域控,默认情况下,被添加的用户帐户就已经可以远程登录系统了。反之,如果系统正是域控,则只有管理员组成员有权远程登录域控,其他组成员还不行,我们需要继续修改安全策略。

3. 安全策略:Allow logon through Terminal Services Properties

有关组策略操作步骤这种事务性工作的具体说明这里就省略了。

在组策略模板中,依次展开Computer Configuration > Windows Settings > Security Settings > Local Policies,选中User Rights Assignment:

远程服务器输入shutdown 远程桌面登录服务器_操作系统_05

双击Allow logon through Terminal Services Properties,先看Explain This Setting:

 

远程服务器输入shutdown 远程桌面登录服务器_操作系统_06

解释的很清楚:

Default:
On workstation and servers:
 Administrators
 Remote Desktop Users.

On domain controllers:
 Administrators.

这就是造成“任何非管理员组的成员帐户都无法远程登录域控”的原因,如果需要,我们可以修改它:

远程服务器输入shutdown 远程桌面登录服务器_远程登录_07

修改这条安全设置将会覆盖其默认的安全设置:这里我们只添加了tom_chen和jack_yao这两个用户,因此只有这两个用户被允许远程登录,而默认被允许远程登录的Administrators组成员帐户将无法再使用远程登录。当然,如果需要,我们可以再手动添加。

一般情况下,远程登录的用户权限设置就到此为止了,然而在特定的系统环境下,远程登录仍可能会遇到困难。

4. 安全策略:Deny log on through Terminal Services

远程服务器输入shutdown 远程桌面登录服务器_网络_08

这时,jack_yao将无法远程登录。

5. Firewall:TCP Port 3389

这里仅以Windows自带的Firewall为例:

远程服务器输入shutdown 远程桌面登录服务器_远程登录_09

有关远程登录的设置主要就是以上几个方面,在远程登录遇到问题需要诊断时可供参考。一般情况下,基于安全考虑,多数管理员也不会允许普通用户远程登录域控,所以这次实验的内容仅供技术探讨和交流,切勿轻易用于生产环境。

 


转载于:https://blog.51cto.com/fooismbar/660304