如何在 AWS 受管 Microsoft AD 或 Simple AD 中使用群組政策,允許網域使用者 RDP 存取 EC2 Windows 執行個體?

1 分的閱讀內容
0

我的 Amazon Elastic Compute Cloud(Amazon EC2)Windows 執行個體加入到 Microsoft Active Directory 或 Simple Active Directory(Simple AD)的 AWS Directory Service 中。我想允許執行個體的網域使用者遠端桌面通訊協定 (RDP) 存取。當我嘗試以網域使用者身分使用內建的遠端桌面使用者群組進行連線時,收到下列訊息: 「連接被拒絕,因為使用者帳戶未授權進行遠端登入。」

簡短描述

AWS 受管 Microsoft AD 和 Simple AD 不允許您將網域使用者新增至內建的遠端桌面使用者網域群組。而是使用內建的 Admin 帳戶建立 Group Policy Object (GPO),然後將政策套用至委派的電腦。

**注意:**GPO 會套用至政策所連結之組織單位 (OU) 中的所有電腦。如果使用下列程序將使用者新增至群組,則使用者可享有 OU 中任何電腦的 RDP 存取權。

解決方法

先決條件:

允許網域使用者 RDP 存取 EC2 Windows 執行個體

若要允許網域使用者 RDP 存取已加入網域的 Windows 執行個體,請完成下列步驟:

  1. 使用 RDP 以連線至您的 Windows EC2 執行個體
  2. 建立使用者。如果您需要一個以上的使用者,請重複此步驟。
  3. 建立安全群組。請記下安全群組名稱,以便稍後執行的步驟。
  4. 將新使用者新增至新的安全群組
  5. 開啟「群组政策管理」。選取您網域的樹系,展開網域,然後展開您的網域名稱。
  6. 展開您委派的 OU (目錄的 NetBIOS 名稱)。開啟電腦的內容功能表,然後選擇在這個網域中建立 GPO,然後在此處連結。
  7. 輸入名稱做為名稱,然後選擇確定
  8. 在導覽窗格中,展開電腦。開啟政策的內容功能表,然後選擇編輯
  9. 在導覽窗格的電腦組態下,展開偏好設定,然後展開控制台設定
  10. 開啟本機使用者和群組的內容功能表。
  11. 選擇新增,然後選擇本機群組
  12. 群組名稱中,選擇遠端桌面使用者 (內建),然後選擇新增
  13. 名稱中,輸入您建立的安全群組名稱,然後選擇確定。或者,開啟內容功能表,輸入安全群組名稱,然後選擇檢查名稱
  14. 選擇確定

此政策會在下一個政策重新整理間隔時間更新您的環境。若要強制立即套用政策,請在目標伺服器上執行 gpupdate /force 命令。

相關資訊

AWS 受管 Microsoft AD

Simple AD

在 AWS 受管 Microsoft AD 中管理使用者和群組

AWS 官方
AWS 官方已更新 1 年前