none
Přihlášení z PC s Win 10 na PC s Win 10 v doméně i mimo ni RRS feed

  • Dotaz

  • Dobrý den.<o:p></o:p>

    Máme v práci problém s tím, ze když se chci z počítače s Win10 připojit na PC s Win10, tak to nahlasí hlášku že správce systému omezil počet počítačů, ke kterým se může uživatel připojit. Ve Win 7 to fungovalo bez problémů. To samé se děje když PC mimo doménu se potřebuje přihlásit k PC v doméně (obě PC mají Win10).<o:p></o:p>

    Dělá to jen mezi stroji Win10 versus Win10. Když budu mít stroj s Win7, tak se připojím na jakýkoliv PC s Win10. Ale se strojem s Win10 se na stroj s Win10 nepřipojím. Respektive připojím, ale musí se v doméně nastavit oprávnění pro uživatele, aby se mohl připojit k tomu druhému stroji. A protože každý uživatel má v doméně přihlásit se jen ke svému stroji a k terminálovým serverům, tak to nefunguje. Kdyby bylo u všech uživatelů  povoleno se přihlašovat k jakémukoliv PC, tak by to šlo. Ale do toho se nám zatím nechce.<o:p></o:p>

    Díky za odpověď.<o:p></o:p>

    Fanda<o:p></o:p>

    čtvrtek 26. března 2020 20:30

Všechny reakce

  • A v čem je problém? Nevidím žádný dotaz a řešení znáte, takže co je cílem tohoto příspěvku?
    čtvrtek 26. března 2020 20:34
  • No to že nastavím u všech uživatelů v doméně přihlásit se ke všem pracovním stanicím podle mě není žádné řešení. Aspoň co se týká bezpečnosti. Dotaz zní, zda se to nedá vyřešit jiným způsobem.

    Fanda


    čtvrtek 26. března 2020 20:48
  • Defaultni nastaveni JE, ze se kazdy domain user smi prihlasit ke vsem domain computers. Kdo si to utahne, nesmi se divit.

    Pri pristupu na SMB share musi druha strana (server) overit identitu uzivatele = takze vlastne na strane serveru overuju identitu = pokud je v AD restrikce, ze natomto serveur nesmim (server neni v seznamu Logon To), pak me neprekvapuje, ze SMB nejde.

    Vlastne me prekvapuje, ze to ve Win7 funguje. Ze pro SMB pristup takovou AD poliku ignoruji.

    A taky me prekvapuje, proc bych ve standardnim prostredi potreboval komunikovat win10-win10, kdyz mam domenu a tedy asi i fileserver.

    Proc se sdili mezi stanicemi? jak se to zalohuje? k cemu to poterbuji? Nebo mi mozna neco v dotazu uniklo.



    čtvrtek 26. března 2020 21:34
  • To nebylo myšleno sdílení ale RDP.  Příklad, když uživatel A přijde k uživateli B, který je přihlášený na svém PC pod svým userem a chce se uživatel A pomocí rdp přihlásit ke svému PC ze stanice uživatele B.

    Fanda

    čtvrtek 26. března 2020 22:30
  • https://www.urtech.ca/2016/01/solved-rdp-the-system-administrator-has-limited-the-computers-you-can-log-on-with-log-on-to/

    Proste usivatel nemuze jen tak prijit k pocutaci, ke kteremu nepa pravo se prihlasit, a Z NEJ se prihlasit kammkoliv

    MP

    P.S. fakt tu hlasku nemas v cestine? Kdybys ji googlnul v EN, mas ten samy vysledek za ten samy cas, jako ja (3 sekundy)

    pátek 27. března 2020 7:33
    Moderátor
  • Tak jestli dobre rozmim:

    • Uzivatel A ma v AD nastaveno (Logon to), ze se smi hlasit jen k pocitaci A (jeho stroj) a ke spolecnemu terminal serveru.
    • Uzivatel A prijde k pocitaci B a chce se na nem prihlasit. A ono to nejde.

    Takhle? Pak je to logicke, po uzivatel A na stroji B proste pracovat nesmi.

    Nebo je to takhle:

    •  ze uzivatel A prijde za uzivatelem B, ktery je prave prihlaseny na svem B pocitaci
    •  rekne pust mi klienta vzdalene plochy, ja si neco potrebuju na svem A pocitaci udelat
    •  A nejde se prihlasit vdaleno uplochou k pocitaci A

    Takhle? To uz neni tak logicke, ale protoze je zapnute defaltne NLA na RDP, tak se prihlasovaci udaje predzpracovavajii na pocitaci B = komunikuje se z domenou, aby se overilo heslo = domena takove overeni zamitne.

    Opet: kdo si utahne bezpecnost, musi pocitat s nasledky.

    Bud se musi tedy povolit, ze domain users se smi hlasit na domain computers (defaultni stav a nepride mi jako nijak zasadni problem), nebo se musi vypnout NLA na RDP - to mi prijde jako dalekovetsi nebezpecnost, nez povolit prihlasovani vsude, bo se i bez hesla dostavam na session pocitace A, sice zamcenou, ale session - a tam uz muzu kutit - viz nektere zranitelnosti RDP.




    pátek 27. března 2020 8:07
  • Rozumím teda tomu správně, že nic jiného než povolit všem uživatelům přihlásit se ke všem PC nezafunguje?

    Fanda

    pátek 27. března 2020 8:21
  • Je to přesně tahle varianta:

    •  ze uzivatel A prijde za uzivatelem B, ktery je prave prihlaseny na svem B pocitaci
    •  rekne pust mi klienta vzdalene plochy, ja si neco potrebuju na svem A pocitaci udelat
    •  A nejde se prihlasit vdaleno uplochou k pocitaci A

    Takhle? To uz neni tak logicke, ale protoze je zapnute defaltne NLA na RDP, tak se prihlasovaci udaje predzpracovavajii na pocitaci B = komunikuje se z domenou, aby se overilo heslo = domena takove overeni zamitne.

    pátek 27. března 2020 8:37
  • Ja asi nepisu cesky :)

    Bud povolit prihlasovani vsude (a neprijde mi to jako zasadni problem)

    NEBO

    vypnout NLA pro vzdalenou plochu (to mi vadi daleko vic).

    pátek 27. března 2020 8:53
  • Pokud nevis, ze kterych dalsich pocitacu se uzivatel muze hlasit, nebo to neni usefovatelne tak ne.

    Nemuzes kolac mit i jist

    MP

    pátek 27. března 2020 10:03
    Moderátor
  • Dobrá moc děkuji za rady.

    Fanda

    pátek 27. března 2020 10:53
  • Děkuji za rady.

    Fanda

    pátek 27. března 2020 10:53