一   用戶可以使用遠程桌面連接計算機的要求

1.1       使用戶可以使用遠程桌面的四個要求

要想讓域用戶可以通過遠程桌面的功能遠程連接計算機，必須滿足幾個條件：

1.      客戶端計算機必須開啟“允許遠程桌面”功能：

2.      需要使用遠程桌面功能的用戶必須在客戶端計算機的“Remote Desktop Users”組中（管理員組除外，管理員組成員不需要滿足此條件）：

3.      在“Remote Desktop Users”中的成員必須具有登錄到客戶端計算機的權限：

4.      在客戶端計算機的“Remote Desktop Users”中的成員沒有被組策略所排除。組策略可以設置禁止用戶或組進行遠程桌面連接。

只有同時滿足以上四個條件，域用戶才能通過遠程桌面去連接域中的計算機。分別對以上四個條件進行不同的設置，即可實現(xiàn)，僅有域用戶本身才能使用遠程桌面的功能控制自己的計算機。下面將詳細介紹。

二   實現(xiàn)僅普通域用戶可通過遠程桌面控制自身計算機

2.1       使用組策略開啟所有客戶端的“允許遠程桌面連接”功能；

1.      展開組策略并導航到“組策略對象”，新建一條組策略，并命名為“開啟遠程桌面功能”：

2.      右鍵“編輯”剛才新建的GPO，并導航到“計算機配置--策略—管理模板—windows組件—遠程桌面服務—遠程桌面回話主機—連接”，找到“允許用戶使用遠程桌面服務進行遠程連接”，并右鍵“編輯”：

3.      點擊“已啟用”，后確認。

4.      把策略鏈接到測試OU中，并使用“gpupdate /force”刷新組策略后，測試OU中的所有計算機的“允許遠程桌面連接”功能都會被啟用。

    至此，客戶端的“允許遠程桌面連接”功能已被啟用。但此時只有管理員組里面的成員可以通過遠程桌面強制性控制測試OU中的客戶端計算機。因為“Remote Desktop Users”組中并沒有添加任何成員，所以就算遠程桌面功能被啟用，普通域用戶都無法使用遠程桌面功能連接任何域內(nèi)的計算機。但管理員組成員不受“Remote Desktop Users”組的限制，因此管理員組成員可以使用遠程桌面連接測試OU內(nèi)的計算機。

2.2         使用組策略把“Domain users”組加入到“Remote Desktop Users”組中

1.      打開組策略對象，新建一條名為“Remote Desktop Users組的添加”的GPO，右鍵“編輯”此GPO，導航到“計算機配置—首選項—控制面板設置—本地用戶和組”，新建“本地組”，在里面選擇“Remote Desktop Users（內(nèi)置）”并添加“Domain users”組，然后“確認”；

2.      把GPO：“Remote Desktop Users組的添加”連接到測試OU中，并使用“gpupdate /force”刷新組策略；

3.      登錄到測試OU中的win7計算機，發(fā)現(xiàn)組策略已應用成功，“Domain Users”組已經(jīng)加入到“Remote Desktop Users”組中。

至此，域用戶組已經(jīng)加入到“Remote Desktop Users”組中。此時，管理組中的成員和所有域用戶都能通過遠程桌面功能強行控制測試OU中的計算機。

2.3       鎖定普通域用戶登錄到指定計算機

1.      對普通域用戶設置只能登錄到自己的計算機

2.      通過以上設置，每個域用戶鎖定一臺計算機，因此，每個域用戶只能登錄到自己的計算機。此設置同時限制了遠程桌面功能，域用戶A由于無法登錄到計算機B，因此也無法通過遠程桌面連接到計算機B。

此時，只有管理組中的成員和域用戶本身才能通過遠程桌面功能強行控制測試OU中的計算機。只要再將管理員組中的成員進行限制，僅能實現(xiàn)僅域用戶本身才能通過遠程桌面去控制自身的計算機。

2.4         通過組策略對管理員組進行遠程桌面連接限制

1.      新建名稱為“禁止管理員組使用遠程桌面功能”的GPO，并編輯此GPO，展開“計算機配置—windows設置—安全設置—本地策略—用戶權限分配”，打開“拒絕通過遠程桌面服務”，把管理員組“Administrators”添加，按“確認”即可。

2.      把GPO：“禁止管理員組使用遠程桌面功能”，鏈接到測試OU中，并刷新組策略。打開遠程桌面連接框，使用域管理員憑證進行連接，發(fā)現(xiàn)域管理員已無法使用遠程桌面去控制域中的客戶端：

使用此計算機的普通域用戶憑證去進行遠程桌面連接，遠程桌面連接正常：

至此，所有配置完成。在AD活動目錄環(huán)境中，實現(xiàn)僅普通域用戶本身，才能通過遠程桌面去控制自身計算機。

【結語】

通過以上方法，可以在AD環(huán)境中，實現(xiàn)僅普通域用戶本身可通過遠程桌面控制自身計算機。但上述2.4的設置是使用組策略對管理員組成員進行限制，而域管理員組可以更改、刪除這一組策略。因此，對管理員組的限制，其實是管理員組成員在對自己進行限制。盡管如此，此方法對提高用戶辦公需求的同時也對用戶計算機的隱私和安全提供了保證。而管理員需要遠程解決客戶端問題，可通過使用相對被動的遠程協(xié)助功能，而非主動的遠程控制功能。