Comment accorder aux utilisateurs de domaine un accès RDP aux instances EC2 en utilisant une stratégie de groupe dans AWS Managed Microsoft AD ?

Date de la dernière mise à jour : 17/05/2019

Je veux accorder aux utilisateurs de domaine un accès RDP (Remote Desktop Protocol) pour mon instance Amazon Elastic Compute Cloud (Amazon EC2) Windows qui est jointe à un annuaire AWS Managed Microsoft AD. Lorsque j'essaie de me connecter en utilisant le groupe intégré Remote Desktop Users (Utilisateurs du Bureau à distance) comme utilisateur de domaine, je reçois le message « The connection was denied because the user account is not authorized for remote login » (La connexion a été refusée, car le compte utilisateur n'est pas autorisé pour la connexion à distance). Comment résoudre ce problème ?

Brève description

AWS Managed Microsoft AD ne permet pas d'ajouter des utilisateurs de domaine au groupe de domaine intégré Remote Desktop Users (Utilisateurs du Bureau à distance). À la place, vous pouvez utiliser le compte intégré Admin (Administrateur) pour créer un objet de stratégie de groupe (GPO, Group Policy Object), puis appliquer la stratégie aux ordinateurs délégués.

Remarque : L'objet GPO s'applique à toutes les ordinateurs dans l'unité d'organisation (UO) à laquelle la stratégie est liée. Tous les utilisateurs que vous ajoutez au groupe en utilisant la procédure suivante disposeront d'un accès RDP aux ordinateurs dans l'UO.

Résolution

Conditions préalables

Pour accorder aux utilisateurs de domaine un accès RDP aux instances Windows jointes au domaine, procédez comme suit :

  1. Connectez-vous à votre instance Windows EC2 en utilisant RDP.
  2. Créez un utilisateur. Répétez cette étape si vous avez besoin de plusieurs utilisateurs.
  3. Créez un groupe de sécurité.
  4. Ajoutez les nouveaux utilisateurs au nouveau groupe de sécurité.
  5. Ouvrez la gestion des stratégies de groupe. Sélectionnez la forêt de votre domaine, puis développez Domains (Domaines) et votre nom de domaine.
  6. Développez votre UO déléguée (Nom NetBIOS de l'annuaire). Ouvrez le menu contextuel (clic droit) pour Computers (Ordinateurs), puis choisissez Create a GPO in this domain, and Link it here (Créer un objet GPO dans ce domaine, et le lier ici).
  7. Pour Name (Nom), saisissez un nom, puis choisissez Ok.
  8. Dans le volet de navigation, développez Computers (Ordinateurs). Ouvrez le menu contextuel (clic droit) de la stratégie, puis choisissez Edit (Modifier).
  9. Dans la section Computer Configuration (Configuration de l'ordinateur) du volet de navigation, développez Preferences (Préférences), Control Panel Settings (Paramètres du Panneau de configuration).
  10. Ouvrez le menu contextuel (clic droit) pour Local Users and Groups (Utilisateurs et groupes locaux), puis choisissiez New (Nouveau), Local Group (Groupe local).
  11. Pour Group name (Nom du groupe), choisissez Remote Desktop Users (built-in) (Utilisateurs du Bureau à distance (intégré)), puis choisissez Add (Ajouter).
  12. Pour Name (Nom), saisissez le nom du groupe de sécurité que vous avez créé dans l'étape 3, puis choisissez Ok.

Cette stratégie met à jour votre environnement lors de la prochaine actualisation de stratégie. Pour forcer l'application immédiate de la stratégie, exécutez la commande gpupdate /force sur le serveur cible.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?