win2008R2 域策略位置

win2008R2 域策略位置、及建域后不能远程桌面问题详解
用WIN2008R2 创建域，在创建过程中，遇到以下 2 个问题，而且这 2 个问题偏偏有别于WIN2003 系统，很具有代表情，故详细记录下来；问题一、域策略问题WIN2003 创建好后，在菜单“管理工具”下会出现“域安全策略”和“域控制器安全策略”，如图：而在WIN2008R2 中，创建好AD 域后，已经抛弃了这种方法，如图：
而是通过另下一种方法，进行对“域安全策略”和“域控制器安全策略”访问，方法如下： 1.编辑Default Domain Controllers Policy start--Programs--Administrative Tools--Group Policy Management 展开组策略管理器--Forest--Domains--Group Policy Objects--Default Domain Controllers Policy--Edit 如图：
例如,你需如更改域密码复杂性要求时，就可以这样的进行设置：
start--Programs--Administrative Tools--Group Policy Management 展开组策略管理器
--Forest--Domains--Group Policy Objects--Default Domain Controllers Policy--Edit Computer Configuration--Policies--Windows Settings--Security Settings--Password Policy 选择: Password must meet complexity requirements 设置为disabled Minimun password length 设置为0 然后运行命令gpupdate /force 刷新组策略或者重启服务器即可问题二、建域后，远程桌面连接服务器，提示“您的凭据不工作”，始终停留在登录窗口中，解决办法如下：进入“控制面板”->“凭据管理器”->“添加Windows 凭据”->输入Windows2008 Server 的ip 地址、用户、密码。

再次进入远程桌面连接，OK Windows 2008r2 远程桌面设置1、开启远程：“系统属性”--“远程设置”，选择远程，（“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”是只允许安装了Windows Vista、Windows Server 2008、Windows 7 的计算机进行远程连接）2、打开防火墙端口。

出于安全考虑，希望大家将该端口号更改为一个陌生的端口，更改的方法就是修改该注册表键值的值。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp\PortNumber。

如果有额外的杀毒防火墙也要开启。

3、Windows 2008r2 下默认一个用户只能有一个会话，一个登录后另一个就被踢掉，同一个用户名同时多个用户登录的配置方法如下：管理工具→远程桌面服务→远程桌面会话配置→常规，取消“限制每个用户只能进行一个会话”。

其他设置在“连接”属性上配置。

其他安全设置可以在组策略设置：“计算机配置”→“管理模板”→“远程桌面服务”。

4、对远程桌面用户授权：1）在远程桌面控制台中授权。

在“选择用户”上，删除对于组的授权，而只授予特定的用户远程连接权限。

这样就会增加攻击者猜解用户账户的难度，从而提升了远程桌面的安全。

作为一个安全技巧，可以取消administrator 账户的远程连接权限，而赋予其他对于攻击者来说比较陌生的账户的远程连接权限。

2）通过组策略限制远程登录。

“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“用权限指派”→“允许通过远程桌面服务登录”（允许）；“通过远程桌面服务拒绝登录”（拒绝）。

5、远程用户监视：在服务器命令行先执行命令quser 命令即可看到谁几时开始登录当前系统。