我的 Amazon Elastic Compute Cloud(Amazon EC2)Windows 实例已加入 Microsoft Active Directory 或 Simple Active Directory(Simple AD)的 AWS Directory Service。我想授予域用户对该实例的远程桌面协议(RDP)访问权限。当我尝试使用内置的远程桌面用户组作为域用户进行连接时,会收到以下消息: “The connection was denied because the user account is not authorized for remote login.”
简短描述
AWS Managed Microsoft AD 和 Simple AD 不允许将域用户添加到内置的远程桌面用户域组中。而是要使用内置的管理员账户创建组策略对象(GPO),然后将策略应用于委托的计算机。
**注意:**GPO 会应用于该策略相关联的组织单位中的所有计算机。如果您使用以下步骤将用户添加到组,则该用户拥有对组织单位中任何计算机的 RDP 访问权限。
解决方法
先决条件:
授予域用户对 EC2 Windows 实例的 RDP 访问权限
要授予域用户对加入 Windows 实例的域的 RDP 访问权限,请完成以下步骤:
- 使用 RDP 连接到您的 Windows EC2 实例。
- 创建用户。如果您需要多个用户,请重复此步骤。
- 创建安全组。请记下安全组的名称,供后续步骤使用。
- 向新安全组添加新用户。
- 打开“组策略管理”。选择您域的林,展开域,然后展开您的域名。
- 展开您委托的组织单位(即该目录的 NetBIOS 名称)。打开计算机的上下文菜单,然后选择在这个域中创建 GPO 并在此处链接。
- 对于名称,输入一个名称,然后选择确定。
- 在导航窗格中,展开计算机。打开策略的上下文菜单,然后选择编辑。
- 在导航窗格的计算机配置下,展开首选项,然后展开控制面板设置。
- 打开本地用户和组的上下文菜单。
- 选择新建,然后选择本地组。
- 对于组名称,选择远程桌面用户(内置),然后选择添加。
- 对于名称,输入您创建的安全组的名称,然后选择确定。或者,打开上下文菜单,输入安全组名称,然后选择检查名称。
- 选择确定。
该策略将在下一个策略刷新间隔更新您的环境。要强制立即应用该策略,请在目标服务器上运行 gpupdate /force 命令。
相关信息
Amazon Managed Microsoft AD
Simple AD
在 AWS Managed Microsoft AD 中管理用户和组