我的 Amazon Elastic Compute Cloud(Amazon EC2)Windows 執行個體加入到 Microsoft Active Directory 或 Simple Active Directory(Simple AD)的 AWS Directory Service 中。我想允許執行個體的網域使用者 Remote Desktop Protocol(RDP)存取。當我嘗試以網域使用者身分使用內建的 Remote Desktop Users 群組進行連線時,收到下列訊息: "The connection was denied because the user account is not authorized for remote login."(連接被拒絕,因為使用者帳戶未授權進行遠端登入。) 我該如何解決這個問題?
簡短描述
AWS 受管 Microsoft AD 和 Simple AD 不允許您將網域使用者新增至內建的遠端桌面使用者網域群組。而是使用內建的 Admin 帳戶建立 Group Policy Object(GPO),然後將政策套用至委派的電腦。
注意: GPO 會套用至政策所連結之組織單位(OU)中的所有電腦。使用下列程序新增至群組的使用者,都將擁有 OU 中電腦的 RDP 存取權。
解決方法
在開始之前:
若要允許網域使用者 RDP 存取已加入網域的 Windows 執行個體,請依照下列步驟執行:
- 使用 RDP 連線到您的 Windows EC2 執行個體。
- 建立使用者。如果您需要一個以上的使用者,請重複此步驟。
- 建立安全群組。請記下安全群組名稱,以便稍後執行的步驟。
- 將新使用者新增至新的安全群組。
- 開啟 Group Policy Management(群组政策管理)。選取您網域的Forest(樹系),展開Domains(網域),然後展開您的網域名稱。
- 展開您委派的 OU(目錄的 NetBIOS 名稱)。開啟 Computers(電腦)的內容(按一下滑鼠右鍵)功能表,然後選擇在這個網域中建立 GPO,然後在此處連結。
- 輸入名稱做為 Name(名稱),然後選擇 Ok(確定)。
- 在導覽窗格中,展開 Computers(電腦)。開啟政策的內容(按一下滑鼠右鍵)功能表,然後選擇 Edit(編輯)。
- 在導覽窗格的 Computer Configuration(電腦設定)區段中,展開 Preferences(偏好設定)、Control Panel Settings(控制台設定)。
- 開啟 Local Users and Groups(本機使用者和群組)的內容(按一下滑鼠右鍵)功能表,然後選擇 New(新增)、Local Group(本機群組)。
- 在 Group name(群組名稱)中,選擇 Remote Desktop Users (built-in)(遠端桌面使用者(內建)),然後選擇 Add(新增)。
- 在 Name(名稱)中,輸入您在步驟 3 中建立的安全群組名稱,然後選擇 Ok(確定)。
此政策會在下一個政策重新整理間隔時間更新您的環境。若要強制立即套用政策,請在目標伺服器上執行 gpupdate /force 命令。
相關資訊
AWS 受管 Microsoft AD
Simply Active Directory
在 AWS 受管 Microsoft AD 中管理使用者和群組