1. 在AD開啟群組原則管理,第一層按滑鼠右鍵,點選「在這個網域中建立GPO並連結到(C)…」新增一個原則(不要在預設的Default Domain Policy做設定,避免混淆),另取一個名稱,中英文皆可;筆者在此實作取的名稱是「開啟ClientPC遠端桌面連線」
2. 編輯該原則,會跳出群組原則管理編輯器,展開「電腦設定→原則→系統管理範本→Windows 元件→遠端桌面服務→遠端桌面工作階段主機→連線」,再點選右側「允許使用者使用遠端桌面服務從遠端連線」,將之啟用即可
3. 再到用戶端電腦更新群組原則後,看看該設定是否生效了
--------------------------------------------
補充說明:
1. 基本上只要啟用上述設定,網域內的電腦都會啟用遠端連線的功能,可被連線;而具備該用戶端「本機系統管理員」權限的帳號就可遠端連線至目標電腦(所以也包含網域管理者,電腦加入網域後,網域管理者也具備該電腦的本機管理者權限)。
2. 值得注意的是,網域內通常會有其他Server,有的組織/公司基於安全性考量,Server是不經由遠端登入來操控的。所以如果有這樣的政策,得另外在Server群組下再建一個群組原則,將其功能停用,才不會讓Server也可以遠端操控。
------------------------------------------
後記(2019/05/16):
近日有發現部分電腦仍無法被遠端連線,檢查後發現被控端電腦的防火牆並未允許遠端桌面(TCP 3389未開啟),所以筆者又到GPO查相關設定,也發現了要在「電腦設定→原則→系統管理範本→網路→網路連線→Windows防火牆→網域設定檔」將「Windows防火牆:允許輸入的遠端桌面例外」啟用(記得設定允許的IP範圍)。
=========================
延伸閱讀:
沒有留言:
張貼留言