一用户可以使用远程桌面连接计算机的要求

1.1使用户可以使用远程桌面的四个要求

要想让域用户可以通过远程桌面的功能远程连接计算机,必须满足几个条件:

1.客户端计算机必须开启“允许远程桌面”功能:

151066745_1_20190102020034857.jpg

2.需要使用远程桌面功能的用户必须在客户端计算机的“Remote Desktop Users”组中(管理员组除外,管理员组成员不需要满足此条件):

151066745_2_20190102020034982.jpg

3.在“Remote Desktop Users”中的成员必须具有登录到客户端计算机的权限:

151066745_3_2019010202003591.jpg

4.在客户端计算机的“Remote Desktop Users”中的成员没有被组策略所排除。组策略可以设置禁止用户或组进行远程桌面连接。

只有同时满足以上四个条件,域用户才能通过远程桌面去连接域中的计算机。分别对以上四个条件进行不同的设置,即可实现,仅有域用户本身才能使用远程桌面的功能控制自己的计算机。下面将详细介绍。

二实现仅普通域用户可通过远程桌面控制自身计算机

2.1使用组策略开启所有客户端的“允许远程桌面连接”功能;

1.展开组策略并导航到“组策略对象”,新建一条组策略,并命名为“开启远程桌面功能”:

151066745_4_20190102020035153.jpg

2.右键“编辑”刚才新建的GPO,并导航到“计算机配置--策略—管理模板—windows组件—远程桌面服务—远程桌面回话主机—连接”,找到“允许用户使用远程桌面服务进行远程连接”,并右键“编辑”:

151066745_5_20190102020035232.jpg

3.点击“已启用”,后确认。

151066745_6_20190102020035310.jpg

4.把策略链接到测试OU中,并使用“gpupdate /force”刷新组策略后,测试OU中的所有计算机的“允许远程桌面连接”功能都会被启用。

151066745_7_20190102020035388.jpg

至此,客户端的“允许远程桌面连接”功能已被启用。但此时只有管理员组里面的成员可以通过远程桌面强制性控制测试OU中的客户端计算机。因为“Remote Desktop Users”组中并没有添加任何成员,所以就算远程桌面功能被启用,普通域用户都无法使用远程桌面功能连接任何域内的计算机。但管理员组成员不受“Remote Desktop Users”组的限制,因此管理员组成员可以使用远程桌面连接测试OU内的计算机。

2.2使用组策略把“Domain users”组加入到“Remote Desktop Users”组中

1.打开组策略对象,新建一条名为“Remote Desktop Users组的添加”的GPO,右键“编辑”此GPO,导航到“计算机配置—首选项—控制面板设置—本地用户和组”,新建“本地组”,在里面选择“Remote Desktop Users(内置)”并添加“Domain users”组,然后“确认”;

151066745_8_20190102020035450.jpg

2.把GPO:“Remote Desktop Users组的添加”连接到测试OU中,并使用“gpupdate /force”刷新组策略;

151066745_9_20190102020035560.jpg

3.登录到测试OU中的win7计算机,发现组策略已应用成功,“Domain Users”组已经加入到“Remote Desktop Users”组中。

151066745_10_20190102020035669.jpg

至此,域用户组已经加入到“Remote Desktop Users”组中。此时,管理组中的成员和所有域用户都能通过远程桌面功能强行控制测试OU中的计算机。

2.3锁定普通域用户登录到指定计算机

1.对普通域用户设置只能登录到自己的计算机

151066745_11_20190102020035747.jpg

2.通过以上设置,每个域用户锁定一台计算机,因此,每个域用户只能登录到自己的计算机。此设置同时限制了远程桌面功能,域用户A由于无法登录到计算机B,因此也无法通过远程桌面连接到计算机B。

此时,只有管理组中的成员和域用户本身才能通过远程桌面功能强行控制测试OU中的计算机。只要再将管理员组中的成员进行限制,仅能实现仅域用户本身才能通过远程桌面去控制自身的计算机。

2.4通过组策略对管理员组进行远程桌面连接限制

1.新建名称为“禁止管理员组使用远程桌面功能”的GPO,并编辑此GPO,展开“计算机配置—windows设置—安全设置—本地策略—用户权限分配”,打开“拒绝通过远程桌面服务”,把管理员组“Administrators”添加,按“确认”即可。

151066745_12_20190102020035825.jpg

2.把GPO:“禁止管理员组使用远程桌面功能”,链接到测试OU中,并刷新组策略。打开远程桌面连接框,使用域管理员凭证进行连接,发现域管理员已无法使用远程桌面去控制域中的客户端:

151066745_13_20190102020035903.jpg

使用此计算机的普通域用户凭证去进行远程桌面连接,远程桌面连接正常:

151066745_14_20190102020035966.jpg

至此,所有配置完成。在AD活动目录环境中,实现仅普通域用户本身,才能通过远程桌面去控制自身计算机。

【结语】

通过以上方法,可以在AD环境中,实现仅普通域用户本身可通过远程桌面控制自身计算机。但上述2.4的设置是使用组策略对管理员组成员进行限制,而域管理员组可以更改、删除这一组策略。因此,对管理员组的限制,其实是管理员组成员在对自己进行限制。尽管如此,此方法对提高用户办公需求的同时也对用户计算机的隐私和安全提供了保证。而管理员需要远程解决客户端问题,可通过使用相对被动的远程协助功能,而非主动的远程控制功能。

Logo
DAMO开发者矩阵

DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。

更多推荐

cover

DreamZero技术解析:当世界模型成为机器人“物理大脑”

avatar DAMO开发者矩阵
cover

硬实时·强生态:鸿道Intewell硬实时操作系统

avatar DAMO开发者矩阵

Science Robotics | 从模拟到现实零迁移:用“具身智能”让手术机器人学会自主完成5种手术操作

手术机器人已经完成了数百万例微创手术,但目前的机器人本质上还是医生的“遥控工具”。让机器人自主完成手术操作,是下一个技术高地——但要实现这一点,面临一个根本难题:手术场景太复杂,传统编程方法无法穷举所有情况。

avatar DAMO开发者矩阵