Windows Server 安裝 Active Directory 域後,可以在服務端統一維護 “組織單位”、“組”、“用戶”等,以便客戶端直接使用維護好的用戶進行遠程桌面等操作。
說明:客戶端無需安裝 AD 域(即無需加入 AD 域),即可使用服務端創建的用戶,在客戶端直接遠程桌面到服務端。
詳細步驟如下:
一、打開 “Active Directory 用戶和計算機”
打開服務器端的 “服務管理器” -> 右上角菜單 -> 工具 -> Active Directory 用戶和計算機
二、新建 “組織單位”(類似於分公司、部門)
1)左側樹形菜單 -> 選中域名 -> 右鍵 -> 新建 -> 組織單位
2)輸入名稱,如 “工程部”,確定即可。
三、組織單位下,新建 “用戶”
1)選中步驟二創建的組織單位 -> 右鍵 -> 新建 -> 用戶
2)輸入姓、名、用戶登錄名後,點擊 “下一步”
3)輸入密碼,並設置相關密碼策略,如 “密碼永不過期”,完成即可。
說明:此步驟未給用戶分配角色權限,是爲了把權限分配給步驟四的 “組”中,然後用戶隸屬於組即可。如此設置,目的在於當組權限變更時,只需變更組的角色權限,無需對每個用戶都變更角色權限。當然,也可以直接把角色權限賦予用戶,這樣步驟四可省略。
四、組織單位下,新建 “組” (類似於角色,便於分配權限)
1)選中步驟二創建的組織單位 -> 右鍵 -> 新建 -> 組
2)輸入組名,如 “工程部領導”,確定即可。
3)雙擊打開 “工程部領導” 組 屬性窗口,選擇 "成員" 選項卡,把步驟三 新建的用戶添加進來。
4) “工程部領導” 組 屬性窗口,選擇 "隸屬於" 選項卡,添加 “Remote Desktop Users” 角色權限(若有其他需求,可按需添加)。
五、設置 “本地安全策略”
1)控制面板 -> 系統和安全 -> 管理工具 -> 本地安全策略
2)左側樹形菜單 -> 安全設置 -> 本地策略 -> 用戶權限分配
3)左側窗口,雙擊打卡 “允許通過遠程桌面服務登錄” 屬性窗口,把 “工程部領導” 添加進來。
六、設置 “本地組策略”
1)運行中輸入 “gpedit.msc”,打開本地組策略編輯器
2)左側樹形菜單 -> 計算機配置 -> Windows 設置 -> 安全設置 -> 本地策略 -> 用戶權限分配
3)右側窗口,雙擊打卡 “允許通過遠程桌面服務登錄” 屬性窗口,把 “工程部領導” 添加進來。
4)更新組策略:gpupdate /force