创建AD域用户，并用之在客户端操作远程桌面

      Windows Server 安装 Active Directory 域后，可以在服务端统一维护 “组织单位”、“组”、“用户”等，以便客户端直接使用维护好的用户进行远程桌面等操作。

      说明：客户端无需安装 AD 域（即无需加入 AD 域），即可使用服务端创建的用户，在客户端直接远程桌面到服务端。

      详细步骤如下：

 

一、打开 “Active Directory 用户和计算机”

      打开服务器端的 “服务管理器” -> 右上角菜单 -> 工具 -> Active Directory 用户和计算机

二、新建 “组织单位”（类似于分公司、部门）

      1）左侧树形菜单 -> 选中域名 -> 右键 -> 新建 -> 组织单位

      2）输入名称，如 “工程部”，确定即可。

三、组织单位下，新建 “用户”

      1）选中步骤二创建的组织单位 -> 右键 -> 新建 -> 用户

      2）输入姓、名、用户登录名后，点击 “下一步”

      3）输入密码，并设置相关密码策略，如 “密码永不过期”，完成即可。

      说明：此步骤未给用户分配角色权限，是为了把权限分配给步骤四的 “组”中，然后用户隶属于组即可。如此设置，目的在于当组权限变更时，只需变更组的角色权限，无需对每个用户都变更角色权限。当然，也可以直接把角色权限赋予用户，这样步骤四可省略。

四、组织单位下，新建 “组” （类似于角色，便于分配权限）

      1）选中步骤二创建的组织单位 -> 右键 -> 新建 -> 组

      2）输入组名，如 “工程部领导”，确定即可。

      3）双击打开 “工程部领导” 组 属性窗口，选择 "成员" 选项卡，把步骤三 新建的用户添加进来。

      4） “工程部领导” 组 属性窗口，选择 "隶属于" 选项卡，添加 “Remote Desktop Users” 角色权限（若有其他需求，可按需添加）。

五、设置 “本地安全策略”

      1）控制面板 -> 系统和安全 -> 管理工具 -> 本地安全策略

      2）左侧树形菜单 -> 安全设置 -> 本地策略 -> 用户权限分配

      3）左侧窗口，双击打卡 “允许通过远程桌面服务登录” 属性窗口，把 “工程部领导” 添加进来。

六、设置 “本地组策略”

      1）运行中输入 “gpedit.msc”，打开本地组策略编辑器

      2）左侧树形菜单 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配

      3）右侧窗口，双击打卡 “允许通过远程桌面服务登录” 属性窗口，把 “工程部领导” 添加进来。

      4）更新组策略：gpupdate /force