如何使用 AWS Managed Microsoft AD 中的组策略授予域用户对 EC2 Windows 实例的 RDP 访问权限?
上次更新日期
我的 Amazon Elastic Compute Cloud (Amazon EC2) Windows 实例无缝加入到适用于 Microsoft Active Directory 目录的 AWS Directory Service。我想允许域用户对实例进行远程桌面协议 (RDP) 访问。当我尝试使用内置的远程桌面用户组作为域用户进行连接时,收到以下消息:“The connection was denied because the user account is not authorized for remote login.” 如何修复此问题?
简短描述
AWS Managed Microsoft AD 不允许将域用户添加到内置的远程桌面用户域组。但您可以使用内置管理员账户创建组策略对象 (GPO),然后将策略应用到委托的计算机。
注意:GPO 会应用于与策略相关联的组织部门 (OU) 中的所有计算机。您使用以下步骤添加到组的所有用户都将具有对组织部门中任何计算机的 RDP 访问权限。
解决方法
开始之前:
- 将 EC2 Windows 实例(Windows Server 2012 R2 或更高版本)加入 Simple AD 或 AWS Managed Microsoft AD 目录。
- 在实例上安装远程服务器管理工具 (RSAT) 和组策略管理控制台。
要授予域用户对加入 Windows 实例的域的 RDP 访问权限,请按照下列步骤操作:
- 使用 RDP 连接到您的 Windows EC2 实例。
- 创建用户。如果您需要多个用户,请重复此步骤。
- 创建安全组。请注意以后步骤的安全组名称。
- 将新用户添加到新的安全组。
- 打开组策略管理。选择您的域的林,展开域,然后展开您的域名。
- 展开您的委托组织部门(目录的 NetBIOS 名称)。打开计算机的上下文(右键单击)菜单,然后选择在这个域中创建 GPO 并在此处链接。
- 对于名称,输入一个名称,然后选择确定。
- 在导航窗格中,展开计算机。打开策略的上下文(右键单击)菜单,然后选择编辑。
- 在导航窗格的计算机配置部分,展开首选项和控制面板设置。
- 打开本地用户和组的上下文(右键单击)菜单,然后选择新建、本地组。
- 对于组名称,选择远程桌面用户(内置),然后选择添加。
- 对于名称,输入您在步骤 3 中创建的安全组,然后选择确定。
此策略会在下一个策略更新间隔更新您的环境。要立即强制应用策略,请在目标服务器上运行 gpupdate /force 命令。