由 青兴 
在企业域环境下,我们经常会遇到使用远程桌面(RDP)连接服务器时弹出错误:“系统管理员已经限制你登录的计算机”。即便密码正确,也无法进入系统。
这种情况通常不是由于权限不足,而是由于域账号的**“登录工作站”限制**策略导致的。以下是完整的解决步骤:
1. 核心诊断:为什么会被拦截?
当你为域用户配置了“指定登录计算机”时,Windows 的逻辑是:该账号必须同时拥有“在本地电脑登录”和“在目标服务器登录”的许可。
- A(域控):负责验证身份。
- B(目标服务器):你想要远程连接的机器。
- C(办公电脑):你当前手头操作的机器。
痛点: 很多人只在 A 上面给用户授权了 B,却忘了授权 C。结果就是在 C 上发起连接时,域控认为你正在违规使用 C 电脑,从而拒绝登录。
2. 解决方案(三步走)
第一步:在域控(A)上放行登录权限
- 打开 Active Directory 用户和计算机。
- 找到目标用户(例如
test2),右键点击 属性。 - 切换到 账户 选项卡,点击中间的 登录到(L)… 按钮。
- 关键设置:
- 方案一(最简单): 选择“所有计算机”。
- 方案二(最安全): 如果必须指定计算机,请务必添加:
- B 的主机名(远程服务器,如
SRV-2022-B) - C 的主机名(你当前的办公电脑,如
LAPTOP-C)
- B 的主机名(远程服务器,如
第二步:在目标服务器(B)上赋予权限
光有域控许可还不够,目标服务器 B 也得“认”这个用户:
- 登录服务器 B,打开 计算机管理 -> 本地用户和组 -> 组。
- 将域账号
test2加入到 Remote Desktop Users 组(如果需要管理员权限,则加入 Administrators 组)。
第三步:确认远程设置
确保服务器 B 允许远程连接:
- 控制面板 -> 系统和安全 -> 系统 -> 远程设置。
- 勾选“允许远程连接到此计算机”。
3. 常见坑点(避雷针)
- NetBIOS名称: 添加计算机时,不要写 IP 地址,一定要写计算机名称。
- 生效时间: 域控设置后,有时会有几分钟的同步延迟。如果没立即生效,可以在 C 电脑执行
gpupdate /force刷新组策略,或者重新插拔一下网线触发验证。 - 错误代码 0x1107: 这个代码通常指代
STATUS_INVALID_LOGON_HOURS或STATUS_INVALID_WORKSTATION,看到它基本就可以锁定是上述“登录到”设置的问题。
总结
远程桌面连接失败不一定是网络问题,更多时候是安全策略的闭环没做好。记住公式:许可登录到 = 办公机(C) + 服务器(B),即可轻松解决!