none
To log on to this remote computer, you must be granted to Allow log on through Terminal Service...

    General discussion

  • Опять подниму тему, насчет доступа по RDP к КД.

    На эту тему на форуме нашел 2 обсуждения похожих на мою проблему, пока не помогло.

    Для информации: Windows Server 2003 Standart SP2 в режиме 2000 mixed, Terminal Service сконфигурирован в режиме for Remote Administration, AD.

     

    Изменил параметр (добавил учетку) политики безопасности Domain Controller Security Policy -

    Allow log on Trough Terminal Services. По прошествии месяца восстановил исходные значения.

    Тепереь все ent.admins and dom.admins не могут войти по РДП...

     

    Все перерыл:

    1) GPO Controller domain

    Allow users to connect remotely....           - Enabled

    Allow log on Terminal Services                 - remote desktop Users

    Deny log on Terminal Services                 - not Defined

     

    2) Domain Security Policy:

    Allow log on Terminal Services   - not Defined

    Deny log ...                              - not Defined

     

    3) в группе Remote Desktop Users - Domain Admins, Ent.admins

     

    4) Terminal Services Configuration-Connections,  разрешения у Domain Admins - полный доступ.

    5) выключил файрволы на сервере и на своем компьютере.

    6) несколько раз перезагружал сервер, обычно после каждого изменения настройки :-)

     

    Ошибка при подключении все та же: To log on to this remote computer, you must be granted to Allow log on through Terminal Service...... ну не знаю почему он не подключается......

     

    добавлю также:

    System properties- вкладка remote,

    кнопка Enable Remote Desktop включена и погашена.

    при нажатии на кнопку Select Remote Users, открывается диалоговое окно группы Remote Desktop Users,

    ниже списка пользователей для информации указана строчка, что текущий пользователь "already has access".

    При попытке подключиться через RDP все та же ошибка - you must be granted to Allow....

    логи при подключении:

     

    Event Type:      Failure Audit

    Event Source:   Security

    Event Category:           Logon/Logoff

    Event ID:         534

    Date:                26.09.2007

    Time:               10:30:50

    User:                NT AUTHORITY\SYSTEM

    Computer:        SERVER-DC

    Description:

    Logon Failure:

                Reason:            The user has not been granted the requested

                            logon type at this machine

                User Name:     admin

                Domain:                       MyDomain

                Logon Type:    10

                Logon Process:            User32 

                Authentication Package:           Negotiate

                Workstation Name:      SERVER-DC

                Caller User Name:       SERVER-DC$

                Caller Domain: MyDomain

                Caller Logon ID:          (0x0,0x3E7)

                Caller Process ID:        5532

                Transited Services:       -

                Source Network Address:       192.168.31.83

                Source Port:     20020

    Wednesday, September 26, 2007 1:14 PM

All replies

  • Возможно параметр Allow log on through Terminal Services перекрывается политикой Default Domain Controller Policy.

    Wednesday, September 26, 2007 1:54 PM
  • все параметры Allow log on thruogh... заменил Not defined. Через 10 мин. попробовал RDP. Ошибка та же.

    Может быть попробовать отключить службу Remote Control  в System managment и включить ее заново...

    только не знаю как выключить, параметр затенен.

    Wednesday, September 26, 2007 2:23 PM
  •  

    Думаю первое что надо сделать - запустить gpupdate из командной строки

    Второе - просмотреть Resultant Set Of Police в оснастках администрирования.

    Wednesday, September 26, 2007 2:27 PM
  • 1) после обновления GPO пока ничего не изменилось.

    2) gpresult дал следующее:

    RSOP data for mydomen\myuser on my-DC : Logging Mode
    --------------------------------------------------------------

    OS Type:                     Microsoft(R) Windows(R) Server 2003, Standard Edition
    OS Configuration:            Primary Domain Controller
    OS Version:                  5.2.3790
    Terminal Server Mode:        Remote Administration
    Site Name:                   town

    Roaming Profile:            
    Local Profile:               C:\Documents and Settings\myuser
    Connected over a slow link?: No


    COMPUTER SETTINGS
    ------------------
        CN=my-DC,OU=Domain Controllers,DC=mydomen,DC=**,DC=ru
        Last time Group Policy was applied: 26.09.2007 at 18:35:29
        Group Policy was applied from:      my-dc.mydomen.ru
        Group Policy slow link threshold:   500 kbps
        Domain Name:                        mydomen
        Domain Type:                        WindowsNT 4

        Applied Group Policy Objects
        -----------------------------
            Default Domain Controllers Policy
            Default Domain Policy

        The following GPOs were not applied because they were filtered out
        -------------------------------------------------------------------
            Local Group Policy
                Filtering:  Not Applied (Empty)

        The computer is a part of the following security groups
        -------------------------------------------------------
            BUILTIN\Administrators
            Everyone
            Exchange Enterprise Servers
            BUILTIN\Users
            BUILTIN\Pre-Windows 2000 Compatible Access
            Windows Authorization Access Group
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            This Organization
            VOLGA-DC$
            Domain Controllers
            Exchange Domain Servers
            NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
            Exchange Enterprise Servers
           

    USER SETTINGS
    --------------
    myusers=Local Users,DC=mydomen,DC=**,DC=ru

     

     

    буду капать дальше...

    Wednesday, September 26, 2007 2:54 PM
  • в RSOP для домена все необходимые параметры Not defined.

    в terminal services - allow users remotely connect ... - Enabled

     

    только один параметр в Security Options - force logoof when logon hours expires - в состоянии disabled..

     

    Wednesday, September 26, 2007 3:01 PM
  • в RSOP для контроллера домена параметр Allow log....  - Not defined.

    Остальные параметры в большинстве помечены красным кружком с крестиком.

     

    в terminal services - allow users remotely connect ... - Enabled

    Wednesday, September 26, 2007 3:18 PM
  • может еще что-нибудь можно сделать?

    Thursday, September 27, 2007 5:12 AM