使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

如何使用 AWS Managed Microsoft AD 或 Simple AD 中的组策略授予域用户对 EC2 Windows 实例的 RDP 访问权限?

1 分钟阅读
0

我的 Amazon Elastic Compute Cloud(Amazon EC2)Windows 实例已加入 Microsoft Active Directory 或 Simple Active Directory(Simple AD)的 AWS Directory Service。我想授予域用户对该实例的远程桌面协议(RDP)访问权限。当我尝试使用内置的远程桌面用户组作为域用户进行连接时,会收到以下消息: “The connection was denied because the user account is not authorized for remote login.”

简短描述

AWS Managed Microsoft AD 和 Simple AD 不允许将域用户添加到内置的远程桌面用户域组中。而是要使用内置的管理员账户创建组策略对象(GPO),然后将策略应用于委托的计算机。

**注意:**GPO 会应用于该策略相关联的组织单位中的所有计算机。如果您使用以下步骤将用户添加到组,则该用户拥有对组织单位中任何计算机的 RDP 访问权限。

解决方法

先决条件:

授予域用户对 EC2 Windows 实例的 RDP 访问权限

要授予域用户对加入 Windows 实例的域的 RDP 访问权限,请完成以下步骤:

  1. 使用 RDP 连接到您的 Windows EC2 实例
  2. 创建用户。如果您需要多个用户,请重复此步骤。
  3. 创建安全组。请记下安全组的名称,供后续步骤使用。
  4. 向新安全组添加新用户
  5. 打开“组策略管理”。选择您域的,展开,然后展开您的域名。
  6. 展开您委托的组织单位(即该目录的 NetBIOS 名称)。打开计算机的上下文菜单,然后选择在这个域中创建 GPO 并在此处链接
  7. 对于名称,输入一个名称,然后选择确定
  8. 在导航窗格中,展开计算机。打开策略的上下文菜单,然后选择编辑
  9. 在导航窗格的计算机配置下,展开首选项,然后展开控制面板设置
  10. 打开本地用户和组的上下文菜单。
  11. 选择新建,然后选择本地组
  12. 对于组名称,选择远程桌面用户(内置),然后选择添加
  13. 对于名称,输入您创建的安全组的名称,然后选择确定。或者,打开上下文菜单,输入安全组名称,然后选择检查名称
  14. 选择确定

该策略将在下一个策略刷新间隔更新您的环境。要强制立即应用该策略,请在目标服务器上运行 gpupdate /force 命令。

相关信息

Amazon Managed Microsoft AD

Simple AD

在 AWS Managed Microsoft AD 中管理用户和组

AWS 官方
AWS 官方已更新 1 年前