기본적으로 도메인 관리자의 구성원만 그룹에 원격 RDP 액세스가 있습니다. Active Directory 도메인 컨트롤러에 ' 데스크탑. 이 문서에서는 관리자 권한을 부여하지 않고 비관리자 사용자 계정의 도메인 컨트롤러에 대한 RDP 액세스 권한을 부여하는 방법을 보여줍니다.
많은 사람들이 상당히 합리적으로 질문할 수 있습니다. 일반 도메인 사용자가 DC 데스크톱에 액세스해야 하는 이유는 무엇입니까? 실제로 중소 규모의 인프라에서는 도메인 관리자 권한을 가진 여러 관리자가 유지 관리하는 경우 거의 필요하지 않습니다. 대부분의 경우 Active Directory에서 일부 관리 권한을 위임하거나 PowerShell JEA(Just Enough Administration)를 사용하면 충분합니다.
그러나 많은 관리자가 유지 관리하는 대규모 기업 네트워크에서는 다른 서버 관리 그룹, 모니터링 팀, 당직 관리자 또는 기타 기술 직원을 위해 DC(일반적으로 지점 DC 또는 RODC)에 대한 RDP 액세스 권한을 부여해야 할 수 있습니다. 또한 때때로 도메인 관리자가 관리하지 않는 일부 타사 서비스가 DC에 배포되며 이러한 서비스를 유지 관리해야 합니다.
팁. Microsoft는 단일 서버에 Active Directory 도메인 서비스 및 원격 데스크톱 서비스 역할(터미널 서버)을 설치하는 것을 권장하지 않습니다. DC와 RDS를 모두 배포하려는 물리적 서버가 하나만 있는 경우 Microsoft 가상화 라이선스 정책에 따라 동일한 Windows Server Standard 라이선스로 두 개의 가상 서버를 실행할 수 있으므로 가상화를 사용하는 것이 좋습니다.
원격으로 로그인하려면 원격 데스크톱 서비스를 통해 로그인할 수 있는 권한이 필요합니다.
서버가 도메인 컨트롤러로 승격된 후에는 컴퓨터 관리 mmc 스냅인에서 로컬 사용자 및 그룹을 관리할 수 없습니다. 로컬 사용자 및 그룹을 열려고 할 때 (lusrmgr.msc ) 콘솔에서 다음 오류가 나타납니다.
The computer xxx is a domain controller. This snip-in cannot be used on a domain controller. Domain accounts are managed with the Active Directory Users and Computers snap-in.
보시다시피 도메인 컨트롤러에는 로컬 그룹이 없습니다. 로컬 그룹 원격 데스크톱 사용자 대신 , DC는 기본 제공 도메인 그룹 원격 데스크톱 사용자를 사용합니다. (내장에 있음) 컨테이너). ADUC 콘솔이나 DC의 명령 프롬프트에서 이 그룹을 관리할 수 있습니다.
다음 명령을 사용하여 도메인 컨트롤러에서 도메인 그룹 원격 데스크톱 사용자의 구성원을 표시합니다.
net localgroup "Remote Desktop Users"
보시다시피 비어 있습니다. 도메인 사용자 it-pro를 추가합니다(이 예에서 it-pro는 관리 권한이 없는 일반 도메인 사용자임).
net localgroup "Remote Desktop Users" /add corp\it-pro
사용자가 이 그룹에 추가되었는지 확인하십시오:
net localgroup "Remote Desktop Users"
ADUC(dsa.msc)를 사용하여 사용자가 이제 원격 데스크톱 사용자 도메인 그룹의 구성원인지 확인할 수도 있습니다. ) 스냅인.
그러나 그 후에도 사용자는 다음 오류와 함께 원격 데스크톱을 통해 DC에 연결할 수 없습니다. 원격으로 로그인하려면 원격 데스크톱 서비스를 통해 로그인할 수 있는 권한이 필요합니다. 기본적으로 Administrators 그룹의 구성원은 이 권한을 가집니다. 속한 그룹에 권한이 없거나 관리자 그룹에서 권한이 제거된 경우 수동으로 권한을 부여해야 합니다.
그룹 정책:원격 데스크톱 서비스를 통한 로그온 허용
도메인 사용자 또는 그룹이 Windows에 대한 원격 RDP 연결을 허용하려면 SeRemoteInteractiveLogonRight 특권. 기본적으로 관리자 그룹의 구성원만 이 권한을 가집니다. 원격 데스크톱 서비스를 통한 로그온 허용을 사용하여 이 권한을 부여할 수 있습니다. 정책.
원격 데스크톱 사용자 그룹 구성원의 도메인 컨트롤러에 대한 원격 연결을 허용하려면 도메인 컨트롤러에서 이 정책의 설정을 변경해야 합니다.
- 로컬 그룹 정책 편집기(
gpedit.msc)를 시작합니다. ); - GPO 섹션 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 사용자 권한 할당으로 이동합니다.;
- 원격 데스크톱 서비스를 통한 로그온 허용 정책 찾기; 서버가 DC로 승격된 후에는 관리자만 그룹(Domain Admins)은 이 로컬 정책에 남아 있습니다.
- 정책을 수정하고 도메인 그룹 원격 데스크톱 사용자를 추가합니다(예:
domainname\Remote Desktop Users). ) 또는 직접 도메인 사용자 또는 그룹(domain\CA_Server_Admins) 그것에;
gpupdate /force명령을 사용하여 DC에서 로컬 그룹 정책 설정 업데이트
원격 데스크톱 서비스를 통한 로그온 허용에 추가한 그룹 정책이 "원격 데스크톱 서비스를 통한 로그온 거부에 있어서는 안 됩니다. ” 정책 , 우선 순위가 더 높기 때문에(로컬 계정에서 네트워크 액세스 제한 문서 확인). 또한 사용자가 로그온할 수 있는 컴퓨터 목록을 제한하는 경우 AD 계정 속성(LogonWorkstations 사용자 특성)에 DC 이름을 추가해야 합니다.
참고 . 사용자가 서버 콘솔을 통해 로컬로 DC에 로그온할 수 있도록 하려면 "로컬 로그온 허용" 정책에 계정 또는 그룹을 추가해야 합니다. . 기본적으로 이 권한은 다음 도메인 그룹에 허용됩니다.- 백업 운영자
- 관리자
- 인쇄 운영자
- 서버 운영자
- 계정 운영자
도메인에 새 보안 그룹을 만드는 것이 좋습니다(예:AllowLogonDC). DC에 대한 원격 액세스가 필요한 사용자 계정을 추가합니다. 모든 AD 도메인 컨트롤러에 한 번에 액세스를 허용하려면 각 DC의 로컬 정책을 수정하는 대신 기본 도메인 컨트롤러 정책에 사용자 그룹을 추가하는 것이 좋습니다. GPMC.msc 사용 콘솔(같은 섹션에서 정책 설정 변경:컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\사용자 권한 할당 -> 원격 데스크톱 서비스를 통한 로그온 허용).
이제 정책에 추가한 사용자(그룹)는 RDP를 통해 AD 도메인 컨트롤러에 연결할 수 있습니다.
관리자가 아닌 사용자에게 DC에서 특정 서비스를 시작/중지할 수 있는 권한을 부여해야 하는 경우 다음 가이드를 사용하세요.요청된 RDP 세션 액세스가 거부되었습니다.
경우에 따라 RDP를 통해 도메인 컨트롤러에 연결할 때 오류가 나타날 수 있습니다.
The requested session access is denied.
관리자가 아닌 사용자 계정으로 DC에 연결하는 경우 다음 두 가지 문제가 원인일 수 있습니다.
- 서버 콘솔에 연결하려고 합니다(
mstsc /admin방법). 이 연결 모드는 관리자에게만 허용됩니다. 일반 RDP 모드(/admin제외)에서 mstsc.exe 클라이언트를 사용하여 서버에 연결을 시도합니다. 옵션); - 서버에 이미 2개의 활성 RDP 세션이 있을 수 있습니다(기본적으로 RDS 역할 없이 Windows Server에서 동시에 2개 이상의 RDP 세션을 사용할 수 없음). 관리자 권한이 없으면 다른 사용자를 로그오프할 수 없습니다. 관리자가 세션 중 하나를 해제할 때까지 기다려야 합니다.