none
RDC Windows Server 2008-Access denied

    Dotaz

  • Zdravím přátelé.
    Můžete mi prosím někdo zkusit poradit, prosím?
    Máme tři Windows Server 2008. 1 databázový, aplikační I. a aplikační II. (Domain Controller).

    Když na DC založím uživatele "MARTIN" ve skupině "TESTG". Pokud je tato skupina s oprávněním Domain Administrator tak nemá problém se připojit na aplikační server I.
    Když jí ale dám jen "User" a "Remote Desktop"... tak se dočkám jen hlášky "This requested session is denied".

    Už jsem i zkontroloval v GP editoru, že je skupina "TESTG" nastavená v politikách "Allow log on through Remote Desktop Service" (a to samé pro "Allow log on locally" a "Access this computer from network".

    Pořád smůla - prostě Administrator v pohodě, jinak to prostě nefachčí...

    Prosím, prosím... poradí někdo?  Nehodlám nechávat řadové uživatele jako Administrátory.... to snad dá rozum...

    Diky MOC!""

    30. září 2013 21:34

Odpovědi

  • 1. Na tom problémovém serveru spusť rsop.msc.

    2. Zkontroluj, zda máš pro danou skupinu povolenou politiku "Povolit přihlášení pomocí terminálové služby".

    3. Zkontroluj, zda nemáš pro danou skupinu nastaveno odepření přístupu (Přihlásit místně, Přístup ze sítě, Přihlášení pomocí TS). Odepření práv má přednost před povolením, pokud tedy máš pro daného uživatele práva nějakou politikou odepřena, nemá přístup i když mu v jiné politice přístup povolíš.

    4. Co říkají logy (zejména Security log) na inkriminovaném serveru?


    BB

    2. října 2013 11:35

Všechny reakce

  • Aplikacni server je clen domeny, nebo radic? Pokud jen clen - jak jsou nastaven jeho LOKALNI skupiny?

    MP

    1. října 2013 8:30
  • Tak je to spravne. Je to administrativni pristup a ma to svou logiku. Je tim umoznena vzdalena sprava serveru.  (Musel byste mit terminalovy server, aby mel uživatel sanci se pripojit.)

    M.

    1. října 2013 13:02
  • Apliační server I., na který se připojuji je člen. Aplikační server II. je DC. Ale když to tak říkáte, tak si uvědomuji, že na DC se bez problémů přes RDC připojím i jako "User, Remote Desktop User"....
    Takže souvislost tam bude...

    Jo ještě jedna věc... na ten aplikační server II. (lkterý je zároveň DC) se připojí i jen "Remote Desktop User", ale pro první přihlášení (založení profilu) tam musel mít stejně právo "Administrator".... ale pořád je to pro mě únosné oproti tomu průšvihu na aplikačním serveru I. ...

    • Upravený Pavel_IT 1. října 2013 19:16
    1. října 2013 19:07
  • Musím oponovat - ačkoliv jsem zde amatér - na tom serveru běží Terminal Server a jsou tam řádné license pro RDC...
    Ten problém se bude nějak týkat toho, co jsem uvedl u předchozího příspěvku...
    Ale co konkrétně a jak se toho zbavit ?... 8-(
    1. října 2013 19:10
  • OK, mozna bezi TS v jinem modu, nez by bylo třeba http://technet.microsoft.com/en-us/magazine/ff432698.aspx

    M.

    1. října 2013 20:48
  • 1. Na tom problémovém serveru spusť rsop.msc.

    2. Zkontroluj, zda máš pro danou skupinu povolenou politiku "Povolit přihlášení pomocí terminálové služby".

    3. Zkontroluj, zda nemáš pro danou skupinu nastaveno odepření přístupu (Přihlásit místně, Přístup ze sítě, Přihlášení pomocí TS). Odepření práv má přednost před povolením, pokud tedy máš pro daného uživatele práva nějakou politikou odepřena, nemá přístup i když mu v jiné politice přístup povolíš.

    4. Co říkají logy (zejména Security log) na inkriminovaném serveru?


    BB

    2. října 2013 11:35