Active Directoryユーザーにリモートデスクトップを許可するにはどうすればよいですか?


40

Active Directoryをセットアップするか、使用するのは初めてです。

セットアップして、コンピューター(Hyper VのVM)をアクティブディレクトリに追加し、Hyper-Vを使用してVMに接続する場合、Active Directoryドメインのユーザーを使用して、 VM。

ただし、リモートデスクトップ経由でログインしようとすると、次のエラーが表示されます。

The connection was denied because the user account is not authorized for remote login.

試しました:
-Active Directory内から、ユーザーが属しているグループをリモートデスクトップユーザーに追加しました。
-VM自体で、Active Directoryグループ(ログインしようとしているユーザーを含む)を追加して、ローカルセキュリティポリシーのリモートデスクトップサービスを介したログオンを許可します。

同じ許可拒否エラーがまだあります。

すべての仮想マシンでリモートデスクトップを使用してログインできるように、Active Directoryのグループを適切にセットアップするにはどうすればよいですか?

ありがとう!


リモートデスクトップサービスの役割はVMにインストールされていますか?
KJ-SRS

グループポリシーもご覧ください。何か変更されましたか?どのOSがRDPセッションで適切なレベルのセキュリティを確保していますか?すなわちVista以上?イベントログに何かありますか?ローカルマシン上。MDMarraの答えはうまくいったはずです。OSはVM内などにありますか?
リースエヴァンス

そこから実際のVM OSの高度なシステムプロパティでリモートアクセスを許可することを忘れないでください。リモートアクセスを許可するユーザーのグループを選択できます。

回答:


33
  1. スタート→実行→ secpol.msc

    セキュリティ設定\ローカルポリシー\ユーザー権利の割り当て

    右ペイン→[ リモートデスクトップサービスからのログオン許可]をダブルクリック→[ ユーザーまたはグループを追加] →入力Remote Desktop Users

  2. スタート→実行→ services.msc

    リモートデスクトップサービスを探し、ログオンアカウントがローカルシステムではなくネットワークサービスであることを確認します。

  3. イベントログを確認します。


6
これは古い記事ですが、(私がしたように)動けなくなった人への将来の参照のために、Amit Naiduによる上記の答えは本当にその場にいます。私の意見では、(Active Directory上の)グループ「Remote Desktop Users」にユーザーを追加するだけでは不十分であり、その後、コマンド(上記のとおり)secpol.mscを使用してLOCALマシンポリシーを変更し、ローカルの Active Directoryグループ「Remote Desktop Users」は、リモートユーザーを許可しました。また、問題のトラブルシューティングを行うことができる2番目のステップで説明したチェックを実行します。アミット、時間と知識をありがとう。

1
良いものです。Domain Usersグループをグループに追加Remote Desktop Usersして、特定のPCを取得して、内部でアイテムを共有できるようにします。
jxramos

価値のあるもの-これは、Windowsのどのバージョンの標準インストールでも必要ありません。これは、たとえばセキュリティ強化のためにデフォルト状態から変更されたイメージを使用している場合にのみ必要です。
MDマーラ

16

問題のユーザーを各ローカルマシンの Remote Desktop Usersグループに追加します。


2
ユーザーがローカルマシンに属しているグループを追加しましたが、まだそのエラーが発生していました。興味深いことに、ユーザー自身を追加しましたが、そのエラーのポップアップの代わりに、RDPが接続し、ログイン画面で「アクセスが拒否されました」とだけ表示します。他に考えはありますか?
user1308743

この回答とAmit Naiduの組み合わせは、私のために働いています
アダムアダム

ここでMDMarraが示唆されて何をして上の優れたガイドです:support.ncomputing.com/portal/kb/articles/...は
アダム

5

私はこの問題の解決策を見つけたと思います。

接続するワークステーションのコントロールパネル\システムおよびセキュリティ\システムでこれを開き、[システムの詳細設定]をクリックします。[リモート]タブの[リモートデスクトップ]グループで、[ユーザーの選択...]ボタンをクリックします。

[追加]をクリックし、アクセスするユーザーを追加します。ADを使用している場合は、ドメインにpingできることを確認してください。[名前の確認]をクリックして、追加するユーザーが正しいことを確認してください。例:myusername@mydomain.com。


3

リモートデスクトップサービスサービスを確認することは非常に重要であり、再起動にも役立ちます。

私は同じ問題を抱えていて、それが私を殺していました。最初に行うことは、非ドメイン管理者が別のサーバーにRDPできるかどうかを確認することです。できる場合は、そのターミナルサーバーのローカル設定について心配するだけです。

私の場合、必要なユーザーをDCのリモートデスクトップユーザーグループに追加し、グループポリシー管理コンソールでドメインポリシーを設定します-グループポリシーオブジェクト-rtデフォルトのドメインポリシーをクリックします-編集-ポリシー-Windows設定-セキュリティ設定-ローカルポリシー-ユーザー権利の割り当て-リモートデスクトップサービスを介したログオンを許可します。このポリシーに「リモートデスクトップユーザー」を追加します。

次に、実行します:gpupdate / force

次に、ターミナルサーバーから:スタート-管理ツール-リモートデスクトップサービス-リモートデスクトップセッションホストの構成-RDP-Tcp-rt clk-プロパティ-セキュリティ-追加-ドメインユーザー-ユーザーアクセスとゲストアクセスを許可-OK

次に、ターミナルサーバー上のサービスに移動して、リモートデスクトップサービスサービスを再起動する必要があります。そうしないと、RDP-Tcp設定がすぐに有効になりません。

これで、Remote Desktop UsersグループとDomain Usersグループの一部であるすべてのユーザーが接続するはずです。


1

私はこの問題の解決策を見つけました...しかし、私はビューの質問があります..そのドメインユーザーですか?MSN.COM \ johnなど

答えが「はい」の場合、ユーザーアカウントプロパティに移動してからグループに移動し、このユーザーをリモートデスクトップユーザーとリモート管理ユーザーに追加する必要があります->ユーザーアカウント->他のユーザーを管理->他のユーザーを追加->ドメインに参加し、このユーザーに管理者レベルを付与すると、アクティブディレクトリから自動的に取得される名前を書き込んだ後

私は以前同じ問題に直面していましたが、次の手順に従って修正しようとしました...


0

一見、あなたは正しいことをしたと言うでしょう...
頭に浮かぶのは、間違ったタイプのグループを使用したということだけです。
セキュリティグループの代わりの配布グループ。


1
私はセキュリティグループを使用していますが、これは正しいグループだと理解していますか?
user1308743

はい、そうです。その場合、私も迷っています。私の知る限り、これは機能するはずです。
トニー

それはあなたが後にしているセキュリティグループです
リス・エヴァンス

0

私にとってうまくいったのは、ユーザー(ログインする必要がある)を「Remote Desktop Users」グループに追加することでした。

  1. 走る lusrmgr.msc

  2. ユーザーのプロパティページを開きます

  3. 「メンバー」タブに移動

  4. 「リモートデスクトップユーザー」を追加

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.