リモートデスクトップサービスのプロパティのグループポリシーエディターでユーザーまたはグループの追加ボタンが使用できないのはなぜですか?

2

Windows 2008 R2サーバーを使用していますが、ドメイン管理者ではないドメインユーザーに、RDC経由でこのボックスにログインする権限を与えようとしています。ドメイン管理者としてログインしています。ここに私がいる:

ここに画像の説明を入力してください

右側のペインでポリシーをダブルクリックすると、次のように表示されます。

既存のアカウントをブラックアウトしましたが、ここにいくつか表示されました-両方ともドメイン管理者アカウントです

ご覧のとおり、このポリシーにユーザーを追加することはできません。誰かがこれがなぜなのか説明できますか?

windows-server-2008  group-policy 
ドゥカイン
ソース
これがドメイン環境の場合-このグループポリシーは既にDCで定義されていますか?
ジェフ
企業の管理者(と思う)する必要があるかもしれない-また、私は、ドメイン管理者が動作する場合、ローカル管理者である必要があり、私にはわからない、彼らはあなたがローカルグループポリシーを編集するために使用するアカウントを考える
ジェフ
これはドメイン環境です。これはドメインコントローラーで定義できますが、どこを探すべきかはわかりません。
ドゥカイン
1
DCで、管理ツール->グループポリシー管理に移動します。既定のドメインポリシーの下で確認してください- -あなたが何かに気づくかどうかを確認し、設定タブをクリックして、レポートを展開する私はあなたのポリシー・オブジェクト名がどのように友好的かわからない、私は通常、適当な名前を持ついくつかの変更にカスタム設定を制限する
ジェフ
コマンドプロンプトを開いてgpresult / rを入力することで、サーバーに適用されているグループポリシーオブジェクトを確認できるため、検索を絞り込むことができます
ジェフ

回答:

3

そのポリシーのアイコンは、ドメインポリシーによって制御されていることを示します。そのアイコンが小さなスクリプト/ドキュメントのある2つのサーバーであることに注意してください。

つまり、次のいずれかが必要です。

  • 問題のコンピューターにのみ適用される別のドメインレベルのGPOを作成します。これを行うには、コンピューターのOUを変更し、そこにポリシーを配置します。また、問題のコンピューターにのみ適用されるように新しいGPOのセキュリティフィルターを変更し、現在のGPOの後に新しいGPOが適用されるようにGPOの順序を設定できます。

または

  • 問題のコンピューターが現在有効なドメインレベルのGPOを適用しないようにしてから、ローカルGPOを設定します。ドメインレベルのGPOのアクセス許可を変更して、特定のコンピューターに適用を許可しないようにすることができます。
パトリックシーモア
ソース
そのすべてを理解するのに十分な知識があればいいのに。:-)基本を理解し、ドメインコントローラーボックスにアクセスできます。ドメインレベルの設定として、ドメインコントローラーで問題のユーザーを追加する方法はありますか?これは二次的な質問ですが、間違いなく関連しています。
ドゥカイン
あなたは、ユーザーがドメイン内のすべてのコンピュータへのRDのアクセス権を持っているという場合を除き、私は、ドメインレベルの設定でそれをしないだろう
ジェフ・
私はジェフに同意します。
パトリックシーモア
@Ducainブラックアウトしているので、これがあなたの状況に当てはまるかどうかはわかりませんが、デフォルトでは、そのセキュリティポリシーにはローカルグループRemote Desktop Usersが含まれています。ユーザーアカウントをそのローカルグループに追加すると、RDPを介してログインする機能も継承されます。これにより、個々のマシンのグループポリシーを作成することを回避できます。
スティーブンジェニングス
@StephenJennings-問題は、ドメインコントローラーでこのポリシーを定義していたことです。さらにご意見をお寄せいただきありがとうございます。
ドゥカイン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.