Theo mặc định, chỉ các thành viên của Quản trị viên miền nhóm có quyền truy cập RDP từ xa vào bộ điều khiển miền Active Directory ‘Máy tính để bàn. Trong bài viết này, chúng tôi sẽ hướng dẫn cách cấp quyền truy cập RDP vào bộ điều khiển miền cho tài khoản người dùng không phải quản trị viên mà không cần cấp đặc quyền quản trị.
Nhiều người trong số các bạn có thể hỏi khá hợp lý:tại sao người dùng miền thông thường lại có quyền truy cập vào máy tính để bàn DC? Thật vậy, trong các cơ sở hạ tầng quy mô nhỏ hoặc trung bình, khi một số quản trị viên có đặc quyền của quản trị viên miền duy trì chúng, bạn sẽ hầu như không cần điều này. Trong hầu hết các trường hợp, ủy quyền một số quyền quản trị trong Active Directory hoặc sử dụng PowerShell Just Enough Administration (JEA) là đủ.
Tuy nhiên, trong các mạng công ty lớn do nhiều quản trị viên duy trì, có thể cần cấp quyền truy cập RDP vào DC (thường là cho văn phòng chi nhánh DC’s hoặc RODC) cho các nhóm quản trị máy chủ khác nhau, nhóm giám sát, quản trị viên trực hoặc các nhân viên kỹ thuật khác. Ngoài ra, đôi khi một số dịch vụ của bên thứ ba, không do quản trị viên miền quản lý, được triển khai trên DC và cần phải duy trì các dịch vụ này.
Mẹo. Microsoft không khuyên bạn nên cài đặt vai trò Dịch vụ miền Active Directory và Dịch vụ Máy tính Từ xa (máy chủ đầu cuối) trên một máy chủ. Nếu chỉ có một máy chủ vật lý, mà bạn muốn triển khai cả DC và RDS, thì tốt hơn bạn nên sử dụng ảo hóa, vì chính sách cấp phép ảo hóa của Microsoft cho phép bạn chạy hai máy chủ ảo theo cùng một giấy phép Windows Server Standard.
Để đăng nhập từ xa, bạn cần có quyền đăng nhập thông qua Dịch vụ máy tính từ xa
Sau khi máy chủ đã được nâng cấp lên bộ điều khiển miền, bạn không thể quản lý người dùng cục bộ và nhóm từ phần đính vào mmc Quản lý máy tính. Khi bạn cố gắng mở Người dùng và nhóm cục bộ (lusrmgr.msc
) bảng điều khiển, lỗi sau xuất hiện:
The computer xxx is a domain controller. This snip-in cannot be used on a domain controller. Domain accounts are managed with the Active Directory Users and Computers snap-in.
Như bạn có thể thấy, không có nhóm cục bộ nào trên bộ điều khiển miền. Thay vì nhóm cục bộ Người dùng Máy tính Từ xa , DC sử dụng nhóm miền tích hợp Người dùng Máy tính Từ xa (nằm trong Nội trang thùng đựng hàng). Bạn có thể quản lý nhóm này từ bảng điều khiển ADUC hoặc từ dấu nhắc lệnh trên DC.
Hiển thị các thành viên của nhóm miền Người dùng Máy tính Từ xa trên bộ điều khiển miền bằng lệnh:
net localgroup "Remote Desktop Users"
Như bạn có thể thấy, nó trống rỗng. Thêm người dùng miền it-pro vào đó (trong ví dụ của chúng tôi, it-pro là người dùng miền thông thường không có đặc quyền quản trị):
net localgroup "Remote Desktop Users" /add corp\it-pro
Đảm bảo rằng người dùng được thêm vào nhóm này:
net localgroup "Remote Desktop Users"
Bạn cũng có thể xác minh rằng người dùng hiện là thành viên của nhóm miền Người dùng Máy tính Từ xa bằng cách sử dụng ADUC (dsa.msc
) chụp nhanh.
Tuy nhiên, ngay cả sau đó, người dùng vẫn không thể kết nối với DC thông qua Remote Desktop với lỗi:
Để đăng nhập từ xa, bạn cần có quyền đăng nhập thông qua Dịch vụ Máy tính Từ xa. Theo mặc định, các thành viên của nhóm Quản trị viên có quyền này. Nếu nhóm bạn đang tham gia không có quyền hoặc nếu quyền đã bị xóa khỏi nhóm Quản trị viên, bạn cần được cấp quyền theo cách thủ công.
Chính sách Nhóm:Cho phép Đăng nhập thông qua Dịch vụ Máy tính Từ xa
Để cho phép người dùng miền hoặc nhóm kết nối RDP từ xa với Windows, bạn phải cấp cho nó SeRemoteInteractiveLogonRight
các đặc quyền. Theo mặc định, chỉ các thành viên của nhóm Quản trị viên mới có quyền này. Bạn có thể cấp quyền này bằng cách sử dụng Cho phép đăng nhập thông qua Dịch vụ Máy tính Từ xa chính sách.
Để cho phép kết nối từ xa với bộ điều khiển miền cho các thành viên của nhóm Người dùng Máy tính Từ xa, bạn cần thay đổi cài đặt của chính sách này trên bộ điều khiển miền của mình:
- Khởi chạy Local Group Policy Editor (
gpedit.msc
); - Đi tới phần GPO Cấu hình Máy tính -> Cài đặt Windows -> Cài đặt Bảo mật -> Chính sách cục bộ -> Gán Quyền của Người dùng ;
- Tìm chính sách Cho phép đăng nhập thông qua Dịch vụ Máy tính Từ xa ; Sau khi máy chủ được thăng cấp lên DC, chỉ có Quản trị viên nhóm (đây là những Quản trị viên Miền) vẫn nằm trong chính sách cục bộ này.
- Chỉnh sửa chính sách, thêm nhóm miền Người dùng Máy tính Từ xa (như sau:
domainname\Remote Desktop Users
), hoặc trực tiếp người dùng miền hoặc một nhóm (domain\CA_Server_Admins
) với nó; - Cập nhật cài đặt Chính sách Nhóm Cục bộ trên DC bằng lệnh:
gpupdate /force
Lưu ý rằng nhóm mà bạn đã thêm vào Cho phép đăng nhập thông qua Dịch vụ Máy tính Từ xa chính sách không được xuất hiện trong “ Từ chối đăng nhập thông qua Dịch vụ Máy tính Từ xa ”, Vì nó có mức độ ưu tiên cao hơn (xem bài viết Hạn chế quyền truy cập mạng trong tài khoản cục bộ). Ngoài ra, nếu bạn đang giới hạn danh sách máy tính mà người dùng có thể đăng nhập, bạn cần thêm tên DC vào thuộc tính của tài khoản AD (thuộc tính người dùng LogonWorkstations).
Lưu ý . Để cho phép người dùng đăng nhập cục bộ vào DC (thông qua bảng điều khiển máy chủ), bạn phải thêm tài khoản hoặc nhóm vào chính sách “ Cho phép đăng nhập cục bộ” . Theo mặc định, quyền này được cho phép đối với các nhóm miền sau:- Toán tử dự phòng
- Quản trị viên
- Các nhà khai thác in
- Người điều hành máy chủ
- Người điều hành tài khoản
Tốt hơn là tạo một nhóm bảo mật mới trong miền, ví dụ: AllowLogonDC và thêm các tài khoản người dùng cần truy cập từ xa vào DC. Nếu bạn muốn cho phép truy cập tất cả bộ điều khiển miền AD cùng một lúc, thay vì chỉnh sửa Chính sách cục bộ trên từng DC, tốt hơn nên thêm nhóm người dùng vào Chính sách bộ điều khiển miền mặc định sử dụng GPMC.msc
bảng điều khiển (thay đổi cài đặt chính sách trong cùng phần:Cấu hình máy tính \ Cài đặt Windows \ Cài đặt bảo mật \ Chính sách cục bộ \ Gán quyền người dùng -> Cho phép đăng nhập thông qua Dịch vụ máy tính từ xa).
Giờ đây, những người dùng (nhóm) bạn đã thêm vào chính sách sẽ có thể kết nối với bộ điều khiển miền AD thông qua RDP.
Nếu bạn cần cấp cho người dùng không phải quản trị viên quyền để bắt đầu / dừng các dịch vụ nhất định trên DC, hãy sử dụng hướng dẫn sau.Quyền truy cập phiên RDP được yêu cầu bị từ chối
Trong một số trường hợp, khi kết nối qua RDP với bộ điều khiển miền, lỗi có thể xuất hiện:
The requested session access is denied.
Nếu bạn đang kết nối với DC bằng tài khoản người dùng không phải quản trị viên, điều này có thể do hai vấn đề:
- Bạn đang cố gắng kết nối với bảng điều khiển máy chủ (sử dụng
mstsc /admin
chế độ). Chế độ kết nối này chỉ được phép cho quản trị viên. Cố gắng kết nối với máy chủ bằng ứng dụng khách mstsc.exe ở chế độ RDP bình thường (không có/admin
tùy chọn); - Máy chủ có thể đã có hai phiên RDP đang hoạt động (theo mặc định, bạn không thể sử dụng nhiều hơn hai phiên RDP đồng thời trên Windows Server mà không có vai trò RDS). Bạn không thể đăng xuất người dùng khác mà không có quyền của quản trị viên. Bạn cần đợi quản trị viên phát hành một trong các phiên.