Quyền RDP của Nhóm AD lồng nhau không áp dụng cho máy ảo Windows Server 2019 mới

Vấn đề tương tự không có phản hồi: Các nhóm AD lồng nhau hoạt động trong các nhóm máy tính cục bộ, nhưng một số máy chủ nhất định không cho phép RDP?

Tôi chỉ mới làm quen với môi trường này và người mà tôi đã tiếp quản vấn đề này cũng gặp phải sự cố này nhưng không giải quyết được vấn đề quá xa (được coi là mức độ ưu tiên thấp do cuối cùng nó cũng tự khắc phục).

Sau khi xây dựng một máy ảo (VMWare) mới và cài đặt windows 2019 trên đó, sử dụng chuỗi tác vụ. Trình tự tác vụ tạo các nhóm quản trị cục bộ toàn cầu cho mỗi máy chủ mới, sau đó thêm các nhóm này vào các nhóm quản trị viên cục bộ mặc định. Các nhóm toàn cầu sau đó có nhóm quản trị viên nhóm của chúng tôi được thêm vào nhóm với GPO được định cấu hình để cho phép RDP. Một số các máy chủ gặp sự cố không cho phép quản trị viên mạng RDP cho chúng nhưng quản trị viên miền vẫn hoạt động. Tôi không thể thấy mẫu số chung nào giữa chúng ngoài vấn đề này chỉ xảy ra với tôi vào các ngày thứ Sáu (điều này có thể gợi ý một số quy trình/nhiệm vụ mà tôi không biết về việc chạy vào các ngày thứ Sáu, điều này gây ra sự chậm trễ trong việc truyền bá).

Máy chủ 1: VM mới, Hệ điều hành được triển khai chuỗi tác vụ, kết nối với miền mà không gặp sự cố và tôi có thể RDP cho nó mà không gặp sự cố.

Máy chủ 2: VM mới, cùng một chuỗi tác vụ chạy vài phút sau/cùng lúc, kết nối với miền, có thể đăng nhập qua bảng điều khiển nhưng RDP đưa ra thông báo "không được ủy quyền cho rdp".

Mọi máy chủ sau đó đều có cùng một vấn đề nhưng những máy chủ trước đó thì không, mặc dù tất cả đều được tạo gần như cùng một lúc. Ngày hôm trước, tôi đã có thể thực hiện chính xác điều tương tự (có nhiều máy chủ được triển khai cùng lúc bằng cách sử dụng cùng một chuỗi tác vụ) mà không gặp bất kỳ sự cố nào, sau đó khoảng nửa ngày thứ Sáu, họ bắt đầu gặp sự cố RDP này. Tôi có thể tải xuống các bản cập nhật cho chúng và làm những việc khác, vì vậy tôi biết đó không phải là sự cố mạng.

Cũng thật kỳ lạ khi tôi được cấp các quyền khác mà nhóm này cho phép (ví dụ: quyền quản trị viên) chứ không phải RDP.

Tôi nhận thấy rằng nếu tôi xóa nhóm quản trị viên nhóm của chúng tôi và thêm tài khoản của mình trực tiếp vào nhóm toàn cầu quản trị viên cục bộ, RDP sẽ hoạt động ngay lập tức nhưng ngay sau khi tôi xóa nhóm đó và thêm lại nhóm nhóm của mình, nó không hoạt động.

Điều này chỉ xảy ra trên một số chứ không phải tất cả các máy chủ và tôi không thể tìm thấy bất kỳ kết nối nào giữa chúng, tất cả chúng trông giống hệt nhau về nhóm, quyền và GPO nhưng một số sẽ cho phép RDP và một số thì không. Cũng cần lưu ý rằng khi điều này xảy ra vào Thứ Sáu, nếu tôi đợi đến Thứ Hai/Thứ Ba tuần sau thì mọi chuyện sẽ ổn và bạn thậm chí sẽ không biết có vấn đề ngay từ đầu.

Tôi nghi ngờ rằng có một số loại lỗi đang diễn ra, trộn lẫn với một số quy trình mà tôi không biết điều gì dẫn đến sự cố này. Tuy nhiên, cố gắng xác định chính xác nó để khắc phục đã được chứng minh là khá khó khăn. Bất kỳ ý tưởng/gợi ý?

Sau khi đọc nhanh vấn đề của bạn, tôi nghi ngờ rằng vấn đề đó có liên quan đến chính sách nhóm. Nếu bạn định cấu hình Chính sách nhóm chính xác, chúng sẽ cung cấp một môi trường đáng tin cậy, an toàn ổn định Có một số lĩnh vực cần được tính đến • Kích hoạt Máy tính Từ xa trên Máy tính • Ai được phép làm điều này? • Bạn có đang sử dụng tường lửa không Tôi có một GPO duy nhất áp dụng cho tất cả máy tính và người dùng hoạt động đáng tin cậy. Cấu trúc tên miền như sau: Nhóm quản lý chính sách Forest: Your-Domain-Name,local tên miền v Your-Domain-Name.local ï Tên công ty OU - Tôi đã tạo GPO của mình tại đây o _Người dùng o Máy vi tính ï§ Máy tính để bàn ï§ Máy tính xách tay ï§ Máy chủ

1. Tạo một GPO mới có tên CN_GPO-001 Thêm hỗ trợ CNTT cho quản trị viên cục bộ & RDP
2. Trên tab Phạm vi, hãy kiểm tra Lọc bảo mật, nó sẽ chứa: ï Người dùng được xác thực ï Máy tính miền
3. Chỉnh sửa Goto GPO:

cấu hình máy tính ï Chính sách ï Cài đặt Windows ï Cài đặt bảo mật ï Nhóm hạn chế • Nhóm = BUILTIN\Quản trị viên • Thành viên = TÊN MIỀN CỦA BẠN\ItsupportUser, Nhóm hỗ trợ YOUR-DOMAIN-NAME\G-IT, TÊN-MIỀN CỦA BẠN\Quản trị viên miền, TÊN MIỀN CỦA BẠN\adobeupdate, TÊN MIỀN CỦA BẠN\Quản trị viênNgười dùng

• Nhóm = BUILTIN\Người dùng Máy tính Từ xa • Thành viên = YOUR-DOMAIN-NAME\G-IT Nhóm hỗ trợ TÊN MIỀN CỦA BẠN\Itsupport Người dùng

ï Tường lửa Windows với Bảo mật nâng cao Tường lửa Windows với bảo mật nâng cao Thiết lập toàn cầu Cài đặt chính sách Phiên bản chính sách 2.26 Vô hiệu hóa FTP trạng thái không được định cấu hình Vô hiệu hóa PPTP trạng thái không được định cấu hình Miễn trừ IPsec Không được định cấu hình IPsec đến NAT Chưa được định cấu hình Mã hóa khóa chia sẻ trước Không được định cấu hình Thời gian nhàn rỗi SA Không được định cấu hình Kiểm tra CRL mạnh Không được định cấu hình

Luật nội bộ Tên Mô tả Remote Desktop - Shadow (TCP-In) Quy tắc gửi đến cho dịch vụ Remote Desktop để cho phép theo dõi phiên Máy tính Từ xa hiện có. (TCP-Vào) Quy tắc này có thể chứa một số thành phần mà phiên bản hiện tại của mô-đun báo cáo GPMC không thể hiểu được
Đã bật Đúng Chương trình %SystemRoot%\system32\RdpSa.exe Cho phép hành động Bảo mật Yêu cầu xác thực Máy tính được ủy quyền
Người dùng được ủy quyền
Nghị định thư 6 Cổng cục bộ Bất kỳ Cổng từ xa Bất kỳ Cài đặt ICMP Bất kỳ Phạm vi địa phương Bất kỳ Phạm vi từ xa Bất kỳ hồ sơ tất cả Loại giao diện mạng Tất cả Dịch vụ Tất cả các chương trình và dịch vụ Cho phép duyệt cạnh Đúng Nhóm máy tính từ xa

Máy tính Từ xa - Chế độ Người dùng (UDP-In) Quy tắc gửi đến cho dịch vụ Máy tính Từ xa để cho phép lưu lượng RDP. [UDP 3389] Quy tắc này có thể chứa một số thành phần mà phiên bản hiện tại của mô-đun báo cáo GPMC không thể hiểu được
Đã bật Đúng Chương trình %SystemRoot%\system32\svchost.exe Cho phép hành động Bảo mật Yêu cầu xác thực Máy tính được ủy quyền
Người dùng được ủy quyền
Nghị định thư 17 Cổng địa phương 3389 Cổng từ xa Bất kỳ Cài đặt ICMP Bất kỳ Phạm vi địa phương Bất kỳ Phạm vi từ xa Bất kỳ hồ sơ tất cả Loại giao diện mạng Tất cả điều khoản dịch vụ Cho phép duyệt cạnh Sai Nhóm máy tính từ xa

Máy tính Từ xa - Chế độ Người dùng (TCP-In) Quy tắc gửi đến cho dịch vụ Máy tính Từ xa để cho phép lưu lượng RDP. [TCP 3389] Quy tắc này có thể chứa một số thành phần mà phiên bản hiện tại của mô-đun báo cáo GPMC không thể hiểu được
Đã bật Đúng Chương trình %SystemRoot%\system32\svchost.exe Cho phép hành động Bảo mật Yêu cầu xác thực Máy tính được ủy quyền
Người dùng được ủy quyền
Nghị định thư 6 Cổng địa phương 3389 Cổng từ xa Bất kỳ Cài đặt ICMP Bất kỳ Phạm vi địa phương Bất kỳ Phạm vi từ xa Bất kỳ hồ sơ tất cả Loại giao diện mạng Tất cả điều khoản dịch vụ Cho phép duyệt cạnh Sai Nhóm máy tính từ xa

â Quy tắc gửi đến cho Cổng RDP 3389 Quy tắc gửi đến cho Cổng RDP 3389 Quy tắc này có thể chứa một số thành phần mà phiên bản hiện tại của mô-đun báo cáo GPMC không thể hiểu được
Đã bật Đúng chương trình bất kỳ Cho phép hành động Bảo mật Yêu cầu xác thực Máy tính được ủy quyền
Người dùng được ủy quyền
Nghị định thư 6 Cổng địa phương 3389 Cổng từ xa Bất kỳ Cài đặt ICMP Bất kỳ Phạm vi địa phương Bất kỳ Phạm vi từ xa Bất kỳ Tên miền hồ sơ Loại giao diện mạng Tất cả Dịch vụ Tất cả các chương trình và dịch vụ Cho phép duyệt cạnh Sai Tập đoàn

Cài đặt bảo mật kết nối Không có

ï Mẫu quản trị Tôi đã thêm các tệp ADMX cho 2 phiên bản Windows Builds, IE 20H2 và 21H1 mẫu hành chính Định nghĩa chính sách (tệp ADMX) được truy xuất từ ​​máy tính cục bộ.

Cấu phần Windows/Dịch vụ máy tính từ xa/Máy chủ phiên máy tính từ xa/Kết nối Cài đặt chính sách Nhận xét Cho phép người dùng kết nối từ xa bằng cách sử dụng Remote Desktop Services Enabled

Cấu hình người dùng (Đã bật) chính sách mẫu hành chính Định nghĩa chính sách (tệp ADMX) được truy xuất từ ​​máy tính cục bộ. Cấu phần Windows/Dịch vụ máy tính từ xa/Máy chủ phiên máy tính từ xa/Kết nối Cài đặt chính sách Nhận xét Đặt quy tắc để điều khiển từ xa các phiên người dùng Dịch vụ Máy tính Từ xa Đã bật

Hi vọng điêu nay co ich

Thứ nhất, các nhóm AD tùy chỉnh có đến đúng nhóm cục bộ trên các máy chủ bị ảnh hưởng không? Nếu chúng đã được thêm vào, bạn sẽ thấy chúng trong Quản lý máy tính trên mỗi hộp. Bạn có thể gặp phải sự chậm trễ khi sao chép các nhóm mới trước khi chuỗi nhiệm vụ của bạn thêm chúng.

Nếu có thể, tôi khuyên bạn nên tạo các nhóm là nhiệm vụ đầu tiên trong trình tự của mình. Hy vọng rằng phần còn lại của quá trình xây dựng mất nhiều thời gian hơn khoảng thời gian để các thay đổi AD lan truyền tới từng DC - rõ ràng, nếu quá trình sao chép mất một giờ, thì đó có thể là một vấn đề. Một cách giải quyết khác là nắm bắt SID của nhóm khi bạn tạo nó và sử dụng nó để thêm vào nhóm cục bộ của bạn. Khi AD cập nhật, bạn sẽ thấy cập nhật tên nhóm trên hộp.

Nếu các nhóm có mặt trên các máy chủ gặp sự cố, tôi khuyên bạn nên chạy GPResult /H để xem liệu nó có nhận được tất cả các chính sách cần thiết hay không. Nhân tiện, nếu chuỗi tác vụ của bạn không thực hiện hai lần khởi động lại sau khi cài đặt HĐH, tôi thực sự khuyên bạn nên làm như vậy. Ví dụ: cài đặt cơ sở hệ điều hành, tham gia miền, khởi động lại, định cấu hình nhóm cục bộ, các hoạt động hậu xây dựng khác, khởi động lại.

Theo mặc định, Quản trị viên cục bộ có quyền truy cập RDP, vì vậy tôi không hiểu tại sao lại có chính sách cho phép RDP bổ sung ở trên cùng (trừ khi chính sách này bị vô hiệu hóa đối với Quản trị viên theo cách khác). Nếu Quản trị viên bị hạn chế quyền truy cập RDP hoặc nhóm của bạn không được phép ở trong Quản trị viên, tôi khuyên bạn nên lồng nhóm AD vào nhóm cục bộ Người dùng máy tính từ xa trong chuỗi tác vụ của bạn, thay vì thông qua GPO (mặc dù điều đó tự nhiên nên vẫn làm việc).