Comment autoriser les utilisateurs Active Directory à effectuer un poste de travail distant?


40

C'est la première fois que je configure ou même utilise Active Directory.

Je l'ai configuré et j'ai ajouté les ordinateurs (En fait, les ordinateurs virtuels dans Hyper V) à Active Directory, et si j'utilise Hyper-V pour me connecter aux ordinateurs virtuels, je peux utiliser des utilisateurs du domaine Active Directory pour me connecter au réseau. VMs.

Cependant, si j'essaie de me connecter via un poste de travail distant, j'obtiens cette erreur:

The connection was denied because the user account is not authorized for remote login.

J'ai essayé:
- Depuis Active Directory, j'ai ajouté le groupe de mon utilisateur aux utilisateurs du Bureau à distance.
- Sur la machine virtuelle elle-même, ajout du groupe Active Directory (contenant l'utilisateur avec lequel je tente de me connecter) à Autoriser la connexion via les services Bureau à distance dans la stratégie de sécurité locale.

J'ai toujours la même autorisation refusée erreur.

Comment configurer correctement un groupe dans Active Directory pour pouvoir se connecter avec un poste de travail distant sur tous mes ordinateurs virtuels?

Merci!


Le rôle Services Bureau à distance est-il installé sur la machine virtuelle?
KJ-SRS

Essayez également de consulter la stratégie de groupe. Avez-vous changé quelque chose? Quel système d'exploitation ... avez-vous le bon niveau de sécurité sur les sessions RDP? c'est à dire Vista et au-dessus? Quelque chose dans les journaux d'événements? sur des machines locales. La réponse de MDMarra aurait dû fonctionner. Quel type d'installation avez-vous? Le système d'exploitation se trouve dans la machine virtuelle, etc.
Rhys Evans

N'oubliez pas d'autoriser l'accès distant dans les propriétés système avancées du système d'exploitation VM actuel, à partir de là, vous pouvez choisir les groupes que nos utilisateurs autoriseront l'accès à distance.

Réponses:


33
  1. Démarrer → Exécuter → secpol.msc

    Paramètres de sécurité \ Stratégies locales \ Attribution des droits utilisateur

    Panneau de droite → double-cliquez sur Autoriser la connexion via les services Bureau à distance → Ajouter des utilisateurs ou des groupes → entrerRemote Desktop Users

  2. Démarrer → Exécuter → services.msc

    Recherchez les services de bureau à distance et assurez-vous que le compte d’ouverture de session est un service réseau et non un système local.

  3. Vérifiez vos journaux d'événements.


6
Ceci est un article plus ancien, mais pour référence future à quelqu'un qui s'est coincé (comme je l'ai fait), la réponse donnée ci-dessus par Amit Naidu frappe vraiment. Le problème à mon avis est que l’ajout d’un utilisateur au groupe «Utilisateurs du Bureau à distance» (sur votre Active Directory) ne suffit pas, vous devez ensuite modifier les stratégies de votre ordinateur LOCAL avec la commande (comme ci-dessus) secpol.msc et ajouter le Groupe Active Directory "Utilisateurs du Bureau à distance" de votre LOCAL utilisateurs distants autorisés. Faites également la vérification mentionnée à la deuxième étape, elle peut résoudre votre problème. Amit, merci pour votre temps et votre connaissance.

1
Bon matériel, j'ai ajouté le Domain Usersgroupe au Remote Desktop Usersgroupe pour obtenir un certain PC avec lequel nous préparons le partage interne.
Jxramos

Pour ce que cela vaut - cela n'est pas nécessaire dans une installation standard de toute version de Windows. Vous ne devez effectuer cette opération que si vous utilisez une image dont l'état par défaut a été modifié, par exemple en raison d'un renforcement de la sécurité.
MDMarra

16

Ajoutez les utilisateurs en question au groupe Utilisateurs du Bureau à distance sur chaque ordinateur local .


2
J'ai ajouté le groupe dont les utilisateurs faisaient partie sur la machine locale et je continuais à avoir cette erreur. Fait intéressant, j'ai ajouté l'utilisateur lui-même, et maintenant, au lieu d'une fenêtre contextuelle avec cette erreur, RDP se connecte et donne simplement un message "Accès refusé" à l'écran de connexion. D'autres pensées?
user1308743

Cette réponse combinée avec Amit Naidu a tout pour que ça marche pour moi
Adam

Voici un excellent guide sur ce que MDMarra suggère: support.ncomputing.com/portal/kb/articles/…
Adam

5

Je pense avoir trouvé la solution à ce problème.

Ouvrez-le sur le poste de travail auquel vous souhaitez vous connecter, Panneau de configuration \ Système et sécurité \ Système, cliquez sur Paramètres système avancés. Sous l'onglet Distant, dans le groupe Bureau à distance, cliquez sur le bouton Sélectionner les utilisateurs ...

Cliquez sur Ajouter et ajoutez l'utilisateur auquel vous souhaitez avoir accès. Si vous utilisez AD, assurez-vous de pouvoir envoyer une requête ping au domaine. Cliquez toujours sur Vérifier les noms pour vous assurer que l'utilisateur que vous ajoutez est correct. ex: myusername@mydomain.com.


3

Vérifier le service Services Bureau à distance est très important et permet également de le redémarrer.

J'avais le même problème et ça me tuait. La première chose à faire est de voir si un administrateur hors domaine peut utiliser RDP et un autre serveur. S'ils le peuvent, il vous suffit de vous soucier d'un paramètre local sur ce serveur Terminal Server.

Dans mon cas, j'ai ajouté les utilisateurs nécessaires au groupe Utilisateurs du Bureau à distance sur le CD, puis défini la stratégie de domaine dans la console de gestion des stratégies de groupe - Objets de stratégie de groupe - Cliquez sur votre stratégie de domaine par défaut - Modifier - Stratégies - Paramètres Windows - Paramètres de sécurité - Local Stratégies - Attribution des droits utilisateur - Autoriser la connexion via des services de bureau à distance. Ajoutez "Utilisateurs du Bureau à distance" à cette stratégie.

Puis lancez: gpupdate / force

Ensuite, à partir de votre serveur Terminal Server: Démarrer - Outils d’administration - Services Bureau à distance - Configuration d’hôte de session Bureau à distance - RDP-Tcp - rt clk - propriétés - sécurité - Ajouter - Utilisateurs du domaine - Accorder puis Accès utilisateur et Accès invité - OK.

Ensuite, vous devez accéder aux services sur le serveur Terminal Server et redémarrer le service Services Bureau à distance. Sinon, le réglage RDP-Tcp ne prendra pas effet immédiatement.

Tous les utilisateurs appartenant aux groupes Utilisateurs du Bureau à distance et Utilisateurs du domaine doivent maintenant se connecter.


1

j'ai trouvé la solution à ce problème ... mais j'ai des questions de vue .. est-ce que cet utilisateur de domaine? comme MSN.COM \ john

si votre réponse est oui, vous devez accéder aux propriétés du compte de l'utilisateur, puis accéder à des groupes et ajouter cet utilisateur à l'utilisateur de bureau distant et à l'utilisateur de gestion à distance. -> comptes d'utilisateurs -> gérer un autre utilisateur -> ajouter un autre utilisateur -> après avoir écrit le nom, il viendra automatiquement de l'annuaire actif si ce dernier rejoint le domaine et lui donne le niveau d'administrateur.

Je faisais face aux mêmes problèmes auparavant et j'essayais de le réparer en suivant ces étapes ...


0

À première vue, je dirais que vous avez fait les bonnes choses ...
La seule chose qui me vient à l’esprit, c’est que vous avez utilisé le mauvais type de groupe.
Groupe de distribution au lieu du groupe de sécurité.


1
J'utilise des groupes de sécurité, ce que je crois comprendre, c'est le bon groupe à utiliser, non?
user1308743

Oui c'est vrai. Dans ce cas, je suis aussi perdue. Cela devrait fonctionner aussi loin que je sache.
Tonny

C'est un groupe de sécurité que vous recherchez
Rhys Evans

0

Ce qui a fonctionné pour moi a été d'ajouter l'utilisateur (qui doit se connecter) au groupe "Utilisateurs du Bureau à distance".

  1. Courir lusrmgr.msc

  2. Ouvrir la page de propriétés de l'utilisateur

  3. Aller sur l'onglet "Membre de"

  4. Ajouter "Utilisateurs du Bureau à distance"

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.