Mon instance Windows Amazon Elastic Compute Cloud (Amazon EC2) est jointe à AWS Directory Service for Microsoft Active Directory ou Simple Active Directory (Simple AD). Je veux accorder aux utilisateurs de domaine un accès RDP (Remote Desktop Protocol) à l'instance. Lorsque j'essaie de me connecter en utilisant le groupe intégré d'utilisateurs du bureau à distance (Remote Desktop Users) comme utilisateur du domaine, je reçois le message : « The connection was denied because the user account is not authorized for remote login » (La connexion a été refusée, car le compte utilisateur n'est pas autorisé à effectuer la connexion à distance). Comment résoudre ce problème ?
Brève description
AWS Managed Microsoft AD et Simple AD ne vous permettent pas d'ajouter des utilisateurs de domaine au groupe de domaine intégré d'utilisateurs du Bureau à distance (Remote Desktop Users). À la place, créez un objet de stratégie de groupe (GPO, Group Policy Object), à l’aide du compte Administrateur, puis appliquer la stratégie aux ordinateurs délégués.
Remarque : l'objet GPO s'applique à tous les ordinateurs dans l'unité organisationnelle (UO) à laquelle la stratégie est liée. Tous les utilisateurs que vous ajoutez au groupe en utilisant la procédure suivante disposeront d'un accès RDP aux ordinateurs dans l'UO.
Résolution
Avant de commencer :
Pour accorder aux utilisateurs de domaine un accès RDP aux instances Windows jointes au domaine, procédez comme suit :
- Connectez-vous à votre instance Windows EC2 en utilisant RDP.
- Créez un utilisateur. Répétez cette étape si vous avez besoin de plusieurs utilisateurs.
- Créez un groupe de sécurité. Notez le nom du groupe de sécurité pour une étape ultérieure.
- Ajoutez les nouveaux utilisateurs au nouveau groupe de sécurité.
- Ouvrez la gestion des stratégies de groupe. Sélectionnez la forêt de votre domaine, puis développez Domains (Domaines) et votre nom de domaine.
- Développez votre UO déléguée (Nom NetBIOS de l'annuaire). Ouvrez le menu contextuel (clic droit) pour Computers (Ordinateurs), puis choisissez Create a GPO in this domain, and Link it here (Créer un objet GPO dans ce domaine, et le lier ici).
- Pour Name (Nom), saisissez un nom, puis choisissez Ok.
- Dans le volet de navigation, développez Computers (Ordinateurs). Ouvrez le menu contextuel (clic droit) de la stratégie, puis choisissez Edit (Modifier).
- Dans la section Computer Configuration (Configuration de l'ordinateur) du volet de navigation, développez Preferences (Préférences), Control Panel Settings (Paramètres du Panneau de configuration).
- Ouvrez le menu contextuel (clic droit) pour Local Users and Groups (Utilisateurs et groupes locaux), puis choisissiez New (Nouveau), Local Group (Groupe local).
- Pour Group name (Nom du groupe), choisissez Remote Desktop Users (built-in) (Utilisateurs du Bureau à distance (intégré)), puis choisissez Add (Ajouter).
- Pour Name (Nom), saisissez le nom du groupe de sécurité que vous avez créé dans l'étape 3, puis choisissez Ok.
Cette stratégie met à jour votre environnement lors de la prochaine actualisation de stratégie. Pour forcer l'application immédiate de la stratégie, exécutez la commande gpupdate /force sur le serveur cible.
Informations connexes
AWS Managed Microsoft AD
Simplement Active Directory
Gérer les utilisateurs et les groupes dans AWS Managed Microsoft AD