win2008R2域策略位置及建域后不能远程桌面问题详解

win2008R2域策略位置、及建域后不能远程桌面问题详解用WIN2008R2创建域，在创建过程中，遇到以下2个问题，而且这2个问题偏偏有别于WIN2003系统，很具有代表情，故详细记录下来；问题一、域策略问题WIN2003创建好后，在菜单“管理工具”下会出现“域安全策略”和“域控制器安全策略”，如图：而在WIN2008R2中，创建好AD域后，已经抛弃了这种方法，如图：而是通过另下一种方法，进行对“域安全策略”和“域控制器安全策略”访问，方法如下：1.编辑DefaultDomainControllersPolicystart--Programs--AdministrativeTools--GroupPolicyManagement展开组策略管理器--Forest--Domains--GroupPolicyObjects--DefaultDomainControllersPolicy--Edit如图：例如,你需如更改域密码复杂性要求时，就可以这样的进行设置：start--Programs--AdministrativeTools--GroupPolicyManagement展开组策略管理器--Forest--Domains--GroupPolicyObjects--DefaultDomainControllersPolicy--EditComputerConfiguration--Policies--WindowsSettings--SecuritySettings--PasswordPolicy选择:Passwordmustmeetcomplexityrequirements设置为disabledMinimunpasswordlength设置为0然后运行命令gpupdate/force刷新组策略或者重启服务器即可问题二、建域后，远程桌面连接服务器，提示“您的凭据不工作”，始终停留在登录窗口中，解决办法如下：进入“控制面板”-“凭据管理器”-“添加Windows凭据”-输入Windows2008Server的ip地址、用户、密码。再次进入远程桌面连接，OKWindows2008r2远程桌面设置1、开启远程：“系统属性”--“远程设置”，选择远程，（“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”是只允许安装了WindowsVista、WindowsServer2008、Windows7的计算机进行远程连接）2、打开防火墙端口。出于安全考虑，希望大家将该端口号更改为一个陌生的端口，更改的方法就是修改该注册表键值的值。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber。如果有额外的杀毒防火墙也要开启。3、Windows2008r2下默认一个用户只能有一个会话，一个登录后另一个就被踢掉，同一个用户名同时多个用户登录的配置方法如下：管理工具→远程桌面服务→远程桌面会话配置→常规，取消“限制每个用户只能进行一个会话”。其他设置在“连接”属性上配置。其他安全设置可以在组策略设置：“计算机配置”→“管理模板”→“远程桌面服务”。。4、对远程桌面用户授权：1）在远程桌面控制台中授权。在“选择用户”上，删除对于组的授权，而只授予特定的用户远程连接权限。这样就会增加攻击者猜解用户账户的难度，从而提升了远程桌面的安全。作为一个安全技巧，可以取消administrator账户的远程连接权限，而赋予其他对于攻击者来说比较陌生的账户的远程连接权限。2）通过组策略限制远程登录。“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用权限指派”→“允许通过远程桌面服务登录”（允许）；“通过远程桌面服务拒绝登录”（拒绝）。5、远程用户监视：在服务器命令行先执行命令quser命令即可看到谁几时开始登录当前系统