none
Impossibile accedere con altri account che non sia Administrator "originale" RRS feed

  • Domanda

  • Buongiorno.

    Ho un problema di accesso ad un server 2012 r2 std. E' impossibile accedere sia in console che in RDP alla macchina con qualsiasi utente che non sia "administrator". Ho provato a modificare Le policy locali per permettere l'accesso anche ad utenti non amministratori, Ho copiato l'account administrator creandone una copia con altro userid. Posso fare il login al server, ma non compare il desktop in nessun modo. Dal taskmanager vedo che viene lanciato il server manager (che ovviamente non vedo). E' una macchina con servizi di AD in un ambiente virtualizzato con Hyper-v su server 2012.

    Nei log dell'event viewer non trovo alcun errore.

    Devo permettere momentaneamente di utilizzare un sw in RDP a 2 client, ma non so come riuscire a farli accedere...

    Suggerimenti?

    Grazie

    martedì 2 dicembre 2014 11:03

Risposte

  • Ho risolto!!

    per qualche motivo, a me ignoto, le impostazioni di security sul registry erano modificate.

    Ho copiato la chiave di registro da un server funzionante, eliminato l'esistente, dopo il backup, ed anche dopo essere diventato proprietario della chiave (prima non potevo eliminare alcune voci). Test e Va!

    questo è il percorso:

    HKLM\Software\Microsoft\OLE

    mercoledì 3 dicembre 2014 13:53

Tutte le risposte

  • Ciao, scusa ma hai acquistato le licenze terminal ed installato il ruolo di server terminal? Perchè è l'unico modo per accedere come user semplice ad un desktop remoto su server. I server windows oramai da 10 anni e forse più hanno:

    2 accessi Administrator in rdp.

    Se vuoi accedere come utente standard devi:

    - comprarti le licenze RDP

    - installare ruolo RDS e registrare le licenze

    - assegnare agli utenti che desideri l'accesso come utenti desktop remoto

    Su 2012 R2 poi il ruolo RDS non può stare su un Domain controller quindi serve una seconda macchina per mettere in piedi il desktop remoto di qui le due istanze virtuali che ti danno quando ti compri la STD. Quindi non devi cercare dei workaround...devi solo comprare ed implementare quello che ti manca.

    Ciao.

    A.

    martedì 2 dicembre 2014 11:13
    Moderatore
  • Ciao e grazie per la risposta.

    Non ho licenze RDP, non desidero implementare un server RDP.

    Vorrei utilizzare le due licenze in modo temporaneo. Ho modificato le GPO locali per permettere l'accesso locale e RDP a 2 account utenti, ma al login si fermano alla schermata nera antecedente il desktop. Ho provato a creare un utente amministratore ex-novo per fare dei test, ma anche lui dopo il login si ferma alla schermata antecedente il desktop, sia collegandomi in RDP che via console di hyper-v.

    Non è possibile accedere in modo interattivo al server. Il CTRl+ALT+CANC funziona, posso anche aprire gestione attività, ma non posso eseguire task di explorer o applicazioni.

    martedì 2 dicembre 2014 11:33
  • Come diceva anche Alessandro purtroppo non è possibile utilizzare l'accesso remoto amministrativo (sarebbero le 2 connessioni RDP a cui ti riferisci) per far eseguire l'accesso in RDP a utenti non amministratori. Devi per forza utilizzare il ruolo RDS (quello che precedentemente veniva chiamato con il nome di Terminal Server).

    Se devi consentire solo un accesso temporaneo a questi due utenti puoi comunque sfruttare il periodo di valutazione di RDS (circa 120 giorni) senza la necessità di acquistare le CAL. All'avvicinarsi della scadenza dovrai però valutare se acquistare le 2 CAL RDS necessarie o cambiare approccio per far lavorare i due utenti in questione.

    Detto questo non è mi è chiaro però il punto in cui dici che vorresti far accedere gli utenti non amministratori alla "console" del server.

    E' impossibile accedere sia in console che in RDP alla macchina con qualsiasi utente che non sia "administrator".
    Ti riferivi per caso al vecchio concetto di sessione console RDP oppure proprio all'accesso fisico al server?



    martedì 2 dicembre 2014 11:40
    Moderatore
  • Sto cercando di dire che è impossibile accedere al server, anche ad utenti amministratori, se non al solo administrator "originale", quello di prima installazione.

    Potrei anche creare 2 utenti amministratori "temporanei" che eseguono il sw che mi interessa al loro login, per poi essere disconnessi al termine, il problema è che l'interfaccia si ferma al post-login (schermo con sfondo scuro) e quindi nemmeno l'applicazione viene eseguita.

    Questo accade sia se provo ad accedere dalla console di Hyper-V (è un server virtualizzato su 2012) sia se provo da un client ad accedere in RDP.

    Spero di essere stato abbastanza chiaro nell'esposizione.

    martedì 2 dicembre 2014 12:00
  • Ti consiglio la lettura di questa pagina:

    http://blogs.technet.com/b/askperf/archive/2009/05/14/ts-blank-desktop-in-rdp-session.aspx

    Gli ultimi link sono stati sostituiti, ecco il primo aggiornato (l'altro non interessa il tuo caso):

    http://support.microsoft.com/kb/970879

    Per sicurezza prova inoltre anche ad eseguire un controllo dei file di sistema tramite SFC:

    http://support.microsoft.com/kb/929833/it


    martedì 2 dicembre 2014 12:09
    Moderatore
  • Ti consiglio la lettura di questa pagina:

    http://blogs.technet.com/b/askperf/archive/2009/05/14/ts-blank-desktop-in-rdp-session.aspx

    Gli ultimi link sono stati sostituiti, ecco il primo aggiornato (l'altro non interessa il tuo caso):

    http://support.microsoft.com/kb/970879

    Per sicurezza prova inoltre anche ad eseguire un controllo dei file di sistema tramite SFC:

    http://support.microsoft.com/kb/929833/it


    La prima pagina l'ho letta e ho provato diverse cose prima di scrivere questo post, come la verifica dell'esecuzione di explorer, ma anche eseguito a mano non va.

    Gli altri link si riferiscono a versioni precedenti di Windows.
    SFC invece non ha rilevato nessun problema.

    Non so se quando mi collego via console di Hyper-v venga vista come sessione RDP oppure no, perchè ho letto essere un problema comune questo dello schermo nero nelle sessioni RDP dopo l'accesso. Ma anche da console e con altro utente facente parte del gruppo domain admin ottengo lo stesso problema, caricamento del desktop e poi più nulla.

    Ho però notato un avviso negli eventi:

    Servizi Desktop remoto ha impiegato un tempo eccessivo per caricare la configurazione utente dal server \\xx.xx.local per l'utente Top

    Evento 20499

    Effettivamente ho notato che il server ha una doppia registrazione DNS, seppur sulla seconda scheda sia stato impostato un DNS fittizio, per cui ho impostato che non registri la voce sul DNS, ma leggevo che per rendere effettiva la modifica è necessario riavviare la macchina, per cui ho schedulato un riavvio per questa notte.

    Questa seconda LAN è collegata al NAS per i Backup.

    Però dubito sia un problema effettivo perchè il login locale non funziona e comunque i servizi AD rispondo anche sulla seconda scheda Eth.

    martedì 2 dicembre 2014 16:44
  • Quindi questo server è un DC con due schede di rete? Le configurazioni in multihoming sono piuttosto problematiche anche se secondo me è difficile che sia la causa del tuo problema di mancata visualizzazione del desktop.

    Prova comunque a disabilitare la seconda scheda di rete, ripulire i record duplicati relativi al server nel DNS e a riavviare. Così intanto cerchiamo di isolare meglio il problema.


    martedì 2 dicembre 2014 17:18
    Moderatore
  • Il server fisico ha 4 schede di rete.

    1 per il mgmt di Hyper V, una di rete LAN condivisa tra le due macchine virtuali ospitate, 1 per il NAS che è condivisa tra le 3 macchine( 2 virtuali e l'host), che monta il disco Iscsi per il backup, su subnet separata; e la 4 scheda non è configurata.

    Il DC, è l'unico sulla rete, parliamo di una piccola LAN con 7 client e alcuni mobili, ha tutti i servizi attivi DNS, DHCP, File Server, mentre sull'altra macchina gira il gestionale.

    Installazione ex-nova di 3 mesi.

    Nel frattempo nei log ho trovato quello che forse è l'errore che spiega il motivo del mancato accesso:

    Event 18214 ComRuntime

    Il descrittore di sicurezza di accesso impostazioni predefinite del computer per l'applicazione server COM C:\Windows\Explorer.EXE con APPID 
    Non disponibile
     non è valido. Contiene voci di controllo di accesso che includono autorizzazioni non valide. L'azione richiesta non è stata eseguita. Per modificare tale autorizzazione di sicurezza, è possibile utilizzare lo strumento amministrativo Servizi componenti.

    Ora cerco di capire quale sia il motivo e la soluzione


    mercoledì 3 dicembre 2014 08:10
  • Verifica le soluzioni presenti qui:

    http://technet.microsoft.com/en-us/library/dd300302(v=ws.10).aspx

    Comunque l'importante è che la scheda di rete della macchina virtuale che funziona da DC sia solo una, il numero di schede di rete dell'host di virtualizzazione non conta.

    mercoledì 3 dicembre 2014 12:15
    Moderatore
  • L'articolo da te citato l'ho già letto, ma la configurazione su 2012 server è diversa:

    per la prima parte dell'articolo, quando apro la finestra security dell'APPID explorer ottengo questa finestra di errore:

    Il livello di autenticazione corrente non è supportato per le applicazioni libreria. Verrà impostato il livello predefinito.

    Al termine la finestra di impostazioni è in "grigetto" non mi permette di modificare nulla, ma da quanto si vede "sotto" le impostazioni sembrano standard

    Invece la seconda voce, che prevede la modifica a livello "padre" della applicazioni ha una impostazione strana, nel senso che verificandola su un altra macchina win 2012 dovrebbe avere questi utenti:

    dominio\Administrators; system; authenticated users;

    mentre nel server in questione oltre a questi ho everyone e administrator, ma non quello di dominio, ho provato ad aggiungere manualmente l'utente amministrativo creato manualmente, ma non cambia nulla.


    mercoledì 3 dicembre 2014 12:53
  • Ho risolto!!

    per qualche motivo, a me ignoto, le impostazioni di security sul registry erano modificate.

    Ho copiato la chiave di registro da un server funzionante, eliminato l'esistente, dopo il backup, ed anche dopo essere diventato proprietario della chiave (prima non potevo eliminare alcune voci). Test e Va!

    questo è il percorso:

    HKLM\Software\Microsoft\OLE

    mercoledì 3 dicembre 2014 13:53
  • Bene, grazie per aver condiviso la soluzione.
    mercoledì 3 dicembre 2014 13:56
    Moderatore