说到终端服务，我们就不得不去提Remote Desktop Users组了，从功能上来说，它是一个终端服务的入口，用户要登录终端服务器，都得加入到这样的一个组当中来，当然，有一个例外，那就是administrators组的成员了。

 

这里我们就来理顺一下其中的关系，为什么Remote Desktop Users组中的成员就有权利去登录服务器。要回答这个问题，我们得再找出入口点，组策略当中的允许用户登录终端服务器，给个截图，看个明白

 

默认情况下，只有用户添加到了这当中，那么他就有权利登录终端服务器了，Remote Desktop Users组也正是因为在本地的组策略当中添加了这一个权限，他才能够登录到终端服务器的。一般情况下，组策略我们都不需要去更改它的，可能有一种情况，我们就需要这样的操作了，这种情况就是DC+TS，也就是域控与终端服务器同一台机台，当然，一般不推荐这样做，再当然，公司为了省钱，就这样做了。这种情况下，你把用户就算加到域中的remote desktop users组当中，你还是会发现登录时提示你没有权限登录的，给个截图，看个明白

这时候，有管理员就会很困惑了，明明加到了Remote Desktop Users组当中，就是登录不成，其实这个时候，只需要修改默认域控策略，或是新建一个域控策略，添加Remote Desktop Users组就行了。

 

到这里，我们的问题似乎完成了，但是在这里，我再多说一点，这一点在Windows Server 2003与Windows Server 2008当中有区别。我们分开来讲

1、Windows Server 2003

      对于Windows Server 2003的终端服务器+域服务器，我们一是可以通过上面的方法来操作，二是开始–运行–输入tscc.msc–连接–右键单击RDP-TCP–权限，在这里面添加相应的用户；

 

2、Windows Server 2008

      对于Windows Server 2008的终端服务器+域服务器，我们唯有使用组策略的方式，而在RDP-TCP属性当中添加用户是无效的。