排查Microsoft 远程桌面服务中拒绝访问和用户未授权的问题
本文可帮助你排查尝试连接到远程计算机时出现的“访问被拒绝”和“用户未授权”错误。
适用于: Windows Server 2012 及更高版本
现象
尝试使用远程桌面协议(RDP)连接到 Windows 计算机或虚拟机时,会收到类似于以下消息之一的消息:
拒绝访问。
用户未获得授权。
原因
最常见的“访问被拒绝”消息,以及每种消息最有可能的原因或情况,如下所示:
故障排除清单
有许多潜在问题可能导致 RDP 用户出现“访问被拒绝”问题。 若要缩小可能的原因列表并提供进一步故障排除的起点,请考虑以下事项:
此问题是否影响一个用户或多个用户?影响一个用户的问题表示该用户的配置或权限中存在问题。 有关详细信息,请参阅 。
此问题是否同时影响管理用户和常规用户?此行为可能表示与安全组设置相关的问题。 有关详细信息,请参阅 。
用户是否具有在非 RDP 上下文中访问远程计算机的正确权限(例如,用户是否可以在本地登录计算机) ?在这种情况下,用户可能会有常规访问问题,而不是 RDP 问题。 可能需要联系 Active Directory 管理员以获取帮助。
远程计算机是否可访问?
远程计算机是否为域控制器?只有域管理员组的成员才能使用 RDP 连接到域控制器。
常见问题
以下部分提供了更具体的故障排除信息:
权限疑难解答
若要在林级别检查权限,请执行以下步骤:
打开Active Directory 用户和计算机 MMC 管理单元(服务器管理器中的“工具”菜单上可用)。在域节点下,选择“内置”,右键单击“远程桌面用户”,然后选择“属性”。确保用户是组的成员。
如果远程计算机不是域成员,请检查远程计算机级别的权限。 执行以下步骤:
在远程计算机上,打开本地用户和组(Lusermgr.msc)工具。选择“组>远程桌面用户”,并确保该用户是组的成员。排查会话集合和应用的权限问题
如果使用集合来管理 RDS 产品/服务,则可以使用额外的授权层。 若要检查用户是否有权访问集合,请执行以下步骤:
在 RD 会话主机上,在服务器管理器中,选择远程桌面服务>集合名称。>
注意
在此序列中, 表示要管理的集合的名称。
检查集合的“属性”列表中的“用户组”项。 执行下列操作之一:若要检查集合中特定应用的权限,请在 RemoteApp 程序列表中找到该应用,右键单击该应用,然后选择“编辑属性>用户分配”。 若要进行更改,请按照“用户分配”页上的说明进行操作。排查用户访问权限问题
确保用户帐户属于有权远程登录到远程计算机的组。 根据管理远程计算机上的用户访问权限的方式,使用以下过程。 请记住,组策略设置替代本地安全策略设置。
如果在域级别使用组策略,请执行以下步骤:
在“服务器管理器工具”菜单上,打开组策略管理控制台(GPMC),右键单击控制远程计算机的组策略对象(GPO),然后选择“编辑”以打开组策略编辑器。选择计算机配置>策略>Windows 设置>安全设置>本地策略>用户权限分配。选择“ 允许通过远程桌面服务登录”。 如果启用策略,请右键单击“ 允许通过远程桌面服务登录”,然后选择“ 属性”。如果未定义策略,请参阅下一个过程来检查本地安全策略。检查已分配此权限的组。如果用户不属于具有此权限的组,请将组添加到策略,或将用户添加到已配置的组之一。
如果使用本地安全策略,请执行以下步骤:
在远程计算机上,打开“本地安全策略”。选择“安全设置>本地策略>”用户权限分配。选择“允许通过远程桌面服务登录”,并检查“安全设置”中的组列表。如果用户不属于具有此权限的组,请将组添加到策略,或将用户添加到已配置的组之一。若要将组添加到策略,请右键单击该策略,然后选择“ 属性”。 选择“ 添加用户或组”,然后选择一个组。排查“帐户限制阻止此用户登录”的问题
消息“帐户限制正在阻止此用户登录”,通常意味着 Credential Guard 正在限制用户访问。
Credential Guard 仅影响与远程计算机的直接连接。 使用 RD 连接代理或 RD 网关的连接不支持它。 有关如何使用 Credential Guard 的详细信息,请参阅 用户无法进行身份验证或必须进行身份验证两次。
排查 SAM 访问限制问题
如果启用了“限制允许对 SAM 策略进行远程调用”的客户端,它可能会阻止用户连接到远程计算机。 此策略控制哪些用户可以枚举本地安全帐户管理器(SAM)数据库和 Active Directory 中的用户和组。 该策略存在于 Windows Server 2016 及更高版本中。
若要检查此策略,请执行以下步骤:
在组策略编辑器中,选择计算机配置>策略>Windows 设置>安全设置>本地策略>安全选项。检查网络访问的状态 :限制允许对 SAM 策略进行远程调用的客户端。如果启用此策略,请查看 网络访问:限制允许对 SAM 进行远程调用的客户端。
重要
此策略是无法使用预定义的组策略设置添加或删除的安全设置。 但是,它确实具有仅审核模式。 链接的文章提供了有关如何配置仅审核模式以及如何在测试环境中使用仅审核模式的信息。
排查远程桌面服务服务问题
可以使用 Services MMC 管理单元(Services.msc,也可在 服务器管理器 中的“工具”菜单上使用)在本地或远程管理服务。 还可以通过本地或远程方式使用 PowerShell 来管理服务(如果远程计算机配置为接受远程 PowerShell cmdlet)。
如果问题涉及与远程计算机的直接 RDP 连接,请检查远程计算机上的服务状态。 如果服务未运行,请启动它。
如果使用 RD 会话主机服务器的大规模部署,请检查 RD 会话主机服务器上的服务状态。 如果服务未运行,请启动它。
如果运行的是早于 Windows Server 2016 的 Windows Server 版本,则可能会遇到远程计算机或 RD 会话主机服务器无法正确查询域控制器以获取用户信息的问题。 如果你怀疑你遇到此问题,请参阅 使用 RDP 连接到 Windows Server 2012 R2 时服务器冻结或用户登录速度缓慢。
