logoЗаметки на клавиатуре


Проблемы с терминальным доступом на DC.

Категории Software,Windows, опубликовал evilbot July 2nd, 2012

Столкнулся я пол-года назад с проблемой доступа терминальным клиентом на сервер. Т.е. попытка зайти пользователем состоящим в группе “пользователи удаленого рабочего стола” проваливалась с ошибкой “Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение. Если вы не являетесь членом группы пользователей удаленного рабочего стола или другой группы, имеющей такое разрешение, нужно предоставить это разрешение вручную”.

Система – Windows 2003 R2 x64. Развернута AD. Установлен Сервер терминалов. Установлен сервер лицензий. Так же на этом сервере крутится контроллер домена.

Долгий и упорный поиск решения проблемы привёл к необычному наблюдению: все люди находящиеся в группе Domain Admin заходят на сервер без каких-либо проблем, а всех остальных банально не пускает, не смотря на любые настройки доступа. Костыль ввиде раздачи прав администратора домена не подходил из соображений безопасности. Пришлось искать решение дальше.

В итоге выяснилось, что по умолчанию Windows запрещает доступ терминальным клиентом на контроллер домена всем пользователям за исключением доменного администратора. После чего осталось понять как разрешить людям ходить на этот сервер.

Решение нашлось достаточно быстро. Итак:

Существует несколько способов предоставить пользователям права входа на сервер терминалов:

1. “Панель управления”->”Администрирование”->”Настройка служб терминалов” (или “Пуск”->”выполнить”->tscc.msc), далее в появившемся окошке “подключения”->”RDP-Tcp”->”Свойства”, в окне свойств RDP-Tcp вкладка “разрешения”. Здесь надо добавить группу (желательно доменную) пользователей которые будут иметь право подключаться к серверу по rdp.

Пользователи добавленные здесь с правами “доступ пользователя”, будут иметь обычные права пользователя на данном сервере их не нужно добавлять в локальную группу пользователей или производить вообще какие-либо дополнительные действия желательно использовать доменные группы, а не локальные или встроенные.

2. “Мой компьютер”->”управление” (или “Пуск”->”выполнить”->compmgmt.msc), далее “служебные программы”->”локальные пользователи и группы”->”группы”, выбрать “пользователи удаленного рабочего стола” и добавить в данную группу пользователей или группу пользователей, которым будет разрешен доступ по rdp. По умолчанию “пользователи удаленного рабочего стола” имеют доступ пользователя, так что дополнительных действий производить больше не надо. Способ подходит для использования в рабочих группах, в случае наличия домена, следует использовать способ 1.

Собственно вот и всё решение. Хотя с моей точки зрения, использовать один сервер как DC, Print-сервер и сервер 1С, несколько неоправданно, но тут уж не я хозяин.

 

Оставить комментарий