¿Cómo permitir que los usuarios del directorio activo accedan al escritorio remoto?

40

Esta es la primera vez que configuro o incluso uso el directorio activo.

Lo configuré y agregué las computadoras (en realidad máquinas virtuales en Hyper V) al directorio activo, y si uso Hyper-V para conectarme a las máquinas virtuales, puedo usar usuarios del dominio del directorio activo para iniciar sesión en el VM.

Sin embargo, si intento iniciar sesión a través del escritorio remoto, aparece este error:

The connection was denied because the user account is not authorized for remote login.

He intentado:
- Desde el directorio activo, he agregado el grupo en el que está mi usuario a los usuarios de Escritorio remoto.
- En la propia máquina virtual, agregue el grupo del directorio activo (que contiene el usuario con el que estoy intentando iniciar sesión) para permitir el inicio de sesión a través de Servicios de escritorio remoto en la Política de seguridad local.

Todavía tengo el mismo error de autorización denegada.

¿Cómo configuro correctamente un grupo en el directorio activo para poder iniciar sesión con el escritorio remoto en todas mis máquinas virtuales?

¡Gracias!

usuario1308743
fuente
¿Está instalada la función Servicios de escritorio remoto en la máquina virtual?
KJ-SRS
Intenta mirar la Política de grupo y ¿has cambiado algo allí? ¿Qué sistema operativo ... tiene el nivel correcto de seguridad en las sesiones RDP? es decir, Vista y superior? ¿Algo en el registro de eventos? en máquinas locales. La respuesta de MDMarra debería haber funcionado ... ¿qué tipo de configuración tienes? ¿Sistemas operativos dentro de máquinas virtuales, etc.?
Rhys Evans el
No olvide permitir el acceso remoto en las propiedades avanzadas del sistema en el sistema operativo VM real desde allí, puede elegir grupos de nuestros usuarios para permitir el acceso remoto.

Respuestas:

33
  1. Inicio → Ejecutar → secpol.msc

    Configuración de seguridad \ Políticas locales \ Asignación de derechos de usuario

    Panel derecho → haga doble clic en Permitir iniciar sesión a través de Servicios de escritorio remoto → Agregar usuarios o grupo → ingresarRemote Desktop Users

  2. Inicio → Ejecutar → services.msc

    Busque los Servicios de escritorio remoto y asegúrese de que la cuenta de inicio de sesión sea Servicio de red, no Sistema local.

  3. Revisa tus registros de eventos.

Amit Naidu
fuente
66
Esta es una publicación anterior, pero para referencia futura a alguien que se atascó (como lo hice), la respuesta dada por Amit Naidu realmente da en el clavo. El problema en mi opinión es que agregar un usuario al grupo "Usuarios de escritorio remoto" (en su Active Directory) no es suficiente, luego debe cambiar las políticas de su máquina LOCAL con el comando (como arriba) secpol.msc y agregar el Active Directory agrupe "Usuarios de escritorio remoto" a sus usuarios remotos permitidos LOCAL . También haga la verificación mencionada en el segundo paso, puede solucionar su problema. Amit, gracias por tu tiempo y conocimiento.
1
Lo bueno es que agregué el Domain Usersgrupo al Remote Desktop Usersgrupo para obtener cierta PC con la que nos estamos preparando para compartir cosas internamente.
jxramos
Por lo que vale, esto no es necesario en una instalación estándar de ninguna versión de Windows. Solo tendrá que hacer esto si está utilizando una imagen que ha sido alterada del estado predeterminado, por ejemplo, debido al endurecimiento de la seguridad.
MDMarra
16

Agregue los usuarios en cuestión al grupo de usuarios de Escritorio remoto en cada máquina local .

MDMarra
fuente
2
Agregué el grupo del que los usuarios formaban parte en la máquina local y todavía recibía ese error. Curiosamente, agregué el propio usuario, y ahora en lugar de una ventana emergente con ese error, RDP se conecta y solo da un "Acceso denegado" en la pantalla de inicio de sesión. ¿Alguna otra idea?
user1308743
Esta respuesta combinada con Amit Naidu lo tiene funcionando para mí
Adam
Aquí hay una excelente guía para hacer lo que sugiere MDMarra: support.ncomputing.com/portal/kb/articles/…
Adam
5

Creo que encontré la solución a este problema.

Abra esto en la estación de trabajo donde desea conectarse, Panel de control \ Sistema y seguridad \ Sistema, haga clic en Configuración avanzada del sistema. En la pestaña Remoto, en el grupo Escritorio remoto, haga clic en el botón Seleccionar usuarios ...

Haga clic en Agregar y agregue el usuario al que desea tener acceso. Si está utilizando AD, asegúrese de poder hacer ping al dominio. Haga clic siempre en Comprobar nombres para asegurarse de que el usuario que está agregando sea correcto. Por ejemplo: [email protected].

Jayrich
fuente
3

Verificar el servicio de Servicios de Escritorio remoto es muy importante y también ayuda a reiniciarlo.

Estaba teniendo el mismo problema y me estaba matando. Lo primero que debe hacer es ver si un administrador que no sea de dominio puede RDP y un servidor diferente. Si pueden, entonces solo debe preocuparse por una configuración local en ese Terminal Server.

En mi caso, agregué los usuarios necesarios al grupo de usuarios de Escritorio remoto en el DC y luego configuré la Política de dominio en la Consola de administración de políticas de grupo - Objetos de política de grupo - rt haga clic en su política de dominio predeterminada - editar - Políticas - Configuración de Windows - Configuración de seguridad - Local Políticas - Asignación de derechos de usuario - Permitir iniciar sesión a través de servicios de escritorio remoto. Agregue "Usuarios de escritorio remoto" a esta política.

Luego ejecute: gpupdate / force

Luego, desde su Terminal Server: Inicio - Herramientas administrativas - Servicios de escritorio remoto - Configuración de host de sesión de escritorio remoto - RDP-Tcp - rt clk - propiedades - seguridad - Agregar - Usuarios de dominio - Otorgue luego acceso de usuario y acceso de invitado - OK.

Luego debe ir a los servicios en Terminal Server y reiniciar el servicio de Servicios de escritorio remoto. De lo contrario, la configuración RDP-Tcp no tendrá efecto de inmediato.

Todos los usuarios que forman parte del grupo de usuarios de escritorio remoto y el grupo de usuarios de dominio ahora deben conectarse.

Dave
fuente
1

encontré la solución para este problema ... pero tengo preguntas de vista ... ¿es ese usuario de dominio? como MSN.COM \ john

si su respuesta es sí, debe ir a las propiedades de la cuenta de usuario, luego ir a grupos y agregar este usuario al usuario remoto de escritorio remoto y al usuario de administración remota; la segunda cosa es ir a esa computadora remota -> ir al panel de control -> cuentas de usuario -> administrar otro usuario -> agregar otro usuario -> después de escribir el nombre, vendrá automáticamente del directorio activo si se une al dominio y le da a este usuario el nivel de administrador

Estaba enfrentando los mismos problemas antes e intentaba solucionarlo siguiendo estos pasos ...

Ing. Emad Alzaobi
fuente
0

A primera vista, diría que hiciste lo correcto ...
Lo único que me viene a la mente es que usaste el tipo de grupo incorrecto.
Grupo de distribución en lugar de grupo de seguridad.

Tonny
fuente
1
Estoy usando grupos de seguridad, que entiendo es que es el grupo correcto para usar, ¿verdad?
user1308743
Si, eso es correcto. En ese caso yo también estoy perdido. Esto debería funcionar hasta donde yo sé.
Tonny
Es un grupo de seguridad lo que buscas
Rhys Evans
0

Lo que funcionó para mí fue agregar al usuario (que necesita iniciar sesión) al grupo "Usuarios de escritorio remoto".

  1. correr lusrmgr.msc

  2. Abra la página de propiedades del usuario.

  3. Ir a la pestaña "Miembro de"

  4. Agregar "Usuarios de escritorio remoto"

laggingreflex
fuente