none
Servizi di Desktop remoto con autenticazione da AD RRS feed

  • Domanda

  • Salve a tutti,

    ho seguito nel dettaglio questa guida: http://technet.microsoft.com/it-it/library/dd883275%28v=ws.10%29.aspx

    ma aimè non mi funziona l'accesso, o meglio guardate qui cosa succede:

    www.youtube.com/watch?v=LCtg2r1bel8

    Potete notare che tutto è configurato perfetto, ma mi dice accesso negato!!!! come posso risolvere

    GRAZIE anticipatamente

    lunedì 7 gennaio 2013 11:04

Risposte

  • O mamma mia,

    cari ragazzi sono arrivato all'epilogo....

    Sapete il problema? il fatto che fosse una macchina clone... il dubbio mi è sorto quando tempo fa già incontrai problemi tra AD e macchine cloni,

    In fine, come risolvere? seguite la guida perfettamente, e non usate 2 server cloni.... ciaoooooo

    e mi chi mi dà i +1??? :(

    • Contrassegnato come risposta StepoBiz giovedì 10 gennaio 2013 17:57
    giovedì 10 gennaio 2013 17:57

Tutte le risposte

  • Ciao, il server in questione è anche un domain controller (potrebbe non essere più impostato il gruppo "Utenti desktop remoto" per l'accesso in RDP)? Hai controllato i gruppi/utenti inseriti in "Consenti accesso tramite servizi desktop remoto" nelle group policy?
    lunedì 7 gennaio 2013 11:22
    Moderatore
  • non gli far modificare la password al primo accesso.

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    lunedì 7 gennaio 2013 11:28
    Moderatore
  • Quali sono i criteri password configurati? Non è che stai violando quello relavito alla storicizzazione della password?

    Ciao,


    Dario Palermo

    lunedì 7 gennaio 2013 11:43
  • Ciao rispondo ai quesiti per farvi capire meglio.

    Il server Ad non è lo stesso di quello di servizi di desktop remoto... nel video si vede che abilitò l'utente a collegarsi.

    anche se non modifica la pass da lo stesso problema

    per la pass non credo che abbia problemi...

    lunedì 7 gennaio 2013 12:19
  • Il server Ad non è lo stesso di quello di servizi di desktop remoto... nel video si vede che abilitò l'utente a collegarsi.

    Però se non ho visto male tu nel video inserisci solo il tuo utente nel gruppo "utenti desktop remoto". Dovresti verificare nel criterio "Consenti accesso tramite servizi desktop remoto" presente nelle group policy applicate al server. Trovi la voce in Configurazione computer > Impostazioni di Windows > Impostazioni sicurezza > Criteri locali > Assegnazione diritti utente nell'oggetto group policy applicato al server o nelle group policy locali (gpedit.msc sul server).

    Inoltre per verificare che non si tratti effettivamente di un problema di password dell'account prova ad eseguire il login (locale o remoto) su un'altro computer in dominio.


    lunedì 7 gennaio 2013 12:29
    Moderatore
  • Ciao,

    vi ho caricato un altro video!!!

    http://www.youtube.com/watch?v=rFmTLchEFfM

    come si può notare da locale funziona l'accesso. Da desktop remoto come se non fossi autorizzato...

    ciao

    lunedì 7 gennaio 2013 13:14
  • Mi sfugge qualcosa forse... sei collegato su una macchina client con windows 7 e, da questo client, sei collegato in desktop remoto al server, su cui vai ad aggiungere i permessi etc etc. quindi la connessione in desktop remoto ti funziona come administrator, esatto?


    Dario Palermo

    lunedì 7 gennaio 2013 13:56
  • Si come administrator funziona perfetto!!!
    lunedì 7 gennaio 2013 15:04
  • Bene. Puoi calcolare l'RSOP così ci assicuriamo che la policy locale non sia scavalcata da altre definite nel dominio?

    Ciao,


    Dario Palermo

    lunedì 7 gennaio 2013 15:38
  • Perdonami l'ignoranza. ma come posso procedere? grazie
    lunedì 7 gennaio 2013 15:46
  • Vai su un controller di dominio e segui i seguenti passi:

    • Start
    • Administrative Tools
    • Group Policy Management
    • (Sezione di sinistra) espandi la foresta
    • tasto destro su Group Policy Results
    • Group Policy Results Wizard - next
    • seleziona "another computer" e scegli il server su cui hai problemi a loggarti in remoto - next
    • seleziona Do not display user policy etc etc (tanto la policy che ci interessa è relativa ai computer policy settings) - next - next -finish

    Vedrai una voce sotto Group Policy Results. Selezionala e, nella parte di destra, vai su settings. Naviga nei settaggi e trova quello che ci interessa relativo ai diritti di connessione remota e vedi come risulta essere impostato. Ti dice anche l'oggetto "vincente" che ha determinato quel particolare settaggio.

    Ciao,


    Dario Palermo

    lunedì 7 gennaio 2013 15:54
  • Ciao,

    come allego nell' immagine, non c'è nessuna voce sul desktop remoto...

    giovedì 10 gennaio 2013 08:41
  • Scusami... nel tuo caso i settaggi sono stati inseriti nella policy locale e quindi non vengono visualizzati nell'RSOP.

    Sul server lancia da shell: gpresult /h rapporto.html, poi apri il file nel browser e troverai un rapporto simile a quello che ti ha restituito l'RSOP ma comprensivo delle policy locali.

    Ciao,


    Dario Palermo

    giovedì 10 gennaio 2013 09:43
  • Ciao,

    credo che la parte che serve sia questa:

    Appartenenza al gruppo di sicurezza al momento dell'applicazione di Criteri di gruppo
    DESKTOP\None
    Everyone
    BUILTIN\Administrators
    BUILTIN\Users
    NT AUTHORITY\REMOTE INTERACTIVE LOGON
    NT AUTHORITY\INTERACTIVE
    NT AUTHORITY\Authenticated Users
    NT AUTHORITY\Questa organizzazione
    LOCALE
    NT AUTHORITY\Autenticazione NTLM
    Etichetta obbligatoria\Livello obbligatorio alto

    ma non capisco cosa mostri.

    cmq per il rapporto completo: http://www.sviluppo.stepo.biz/rapporto.html

    giovedì 10 gennaio 2013 10:18
  • No, il problema è questo:

    Oggetti Criteri di gruppo
    Oggetti Criteri di gruppo applicati
    Nome Percorso collegamento Revisione
    Default Domain Policy sub.sm-host.com AD (3), volume di sistema (3)
    Oggetti Criteri di gruppo negati
    Nome Percorso collegamento Motivo rifiuto
    Criteri gruppo locale Local Vuoto

    L'unico oggetto policy applicato è la Default Domain Policy. Le policy locali risultano vuote! Tu dove li hai messi i settaggi di cui si parlava nei precedenti post??

    ciao,


    Dario Palermo

    giovedì 10 gennaio 2013 13:46
  • Ciao,

    A quali settaggi ti riferisci?

    se intendi l'aggiunta dell'utente al gruppo "Utenti Desktop Remoto", l'ho fatto sulla macchina dove è installato servizi desktop remoto.

    Ora mi sorge un dubbio, può darsi che il problema mi venga restituito, perché essendo macchine virtuali subito dopo che ho installato il sistema operativo, ho duplicato il sistema in 2 e poi su uno ho inserito AD e l'altro Desktop remoto.Aspetto vostre nuove grazie

    giovedì 10 gennaio 2013 14:17
  • Allora, per risolvere fai così:

    • Crea un nuovo oggetto criteri di gruppo
    • Edita l'oggetto come da post di Fabrizio Giammarini del 7 gennaio scorso, inserendo il gruppo di utenti a cui vuoi dare accesso tramite desktop remoto
    • Linka l'oggetto appena creato alla OU dove hai l'account computer del Server a cui ti devi collegare in desktop remoto
    • Aspetta 15 minuti oppure riavvia il server oppure sul server lancia gpupdate

    Dovresti quindi riuscire a connetterti.

    Ciao,


    Dario Palermo

    giovedì 10 gennaio 2013 15:22
  • Perdonami vedi se la procedura è giusta:

    Vado nel server AD e da lì:

    gpedit.msc > Configurazione computer > Impostazioni di Windows > Impostazioni sicurezza > Criteri locali > Assegnazione diritti utente

    e creo un nuovo oggetto criteri di gruppo es. Utenti Desktop Remoto (Dove la voce crea? non la trovo)

    A questo criterio appena creato gli assegno l'utente o il gruppo a cuoi è consentita la connessione al Desktop remoto.

    ????eeee???? questo proprio non l'ho capito: Linka l'oggetto appena creato alla OU dove hai l'account computer del Server a cui ti devi collegare in desktop remoto

    Se serve aggiungo che l'utente l'ho aggiunto direttamente nel server AD.

    Ciao e grazie milleeeee

    PS per chiarire il server Active Directory lo sto chiamando: AD, mentre quello a cui si devono collegare gli utenti: DESKTOP

    giovedì 10 gennaio 2013 16:31
    • Vai sul domain controller
    • Apri la Group Policy Management Console (non gpedit.msc!) che sarebbe lo strumento che ti ho fatto usare inizialmente per creare la RSOP
    • Nella sezione di sinistra c'è la tua foresta e dentro i tuoi domini. Apri il dominio che ti interessa (immagino comunque che tu abbia una foresta con un singolo dominio dentro, quindi non puoi sbagliare) e trova la OU dove si trova l'account computer del server DESKTOP. Nel caso tu non abbia creato delle OU, per impostazione predefinita tutti gli account computer (ad eccezione dei domain controllers) si trovano nel CN (container) "computers" e, quindi, nella radice di dominio. In questo caso clicca col tasto destro sul nome del dominio e dal menu seleziona "Create a GPO in this domain, and Link it here..."
    • Dai un nome adeguato alla GPO e poi tasto destro, Edit
    • Modifica i settaggi come da post di Giammarini e chiudi tutto
    • Aspetta 15 min / riavvia il server (gpupdate (una a scelta)

    Ciao,


    Dario Palermo


    giovedì 10 gennaio 2013 16:45
  • Ho fatto perfettamente come tu dicevi.

    ho riavviato le 2 macchine

    e mi dice sempre accesso negato!!!!

    giovedì 10 gennaio 2013 17:08
  • O mamma mia,

    cari ragazzi sono arrivato all'epilogo....

    Sapete il problema? il fatto che fosse una macchina clone... il dubbio mi è sorto quando tempo fa già incontrai problemi tra AD e macchine cloni,

    In fine, come risolvere? seguite la guida perfettamente, e non usate 2 server cloni.... ciaoooooo

    e mi chi mi dà i +1??? :(

    • Contrassegnato come risposta StepoBiz giovedì 10 gennaio 2013 17:57
    giovedì 10 gennaio 2013 17:57
  • grazie per aver postato la soluzione, ciao.

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 10 gennaio 2013 19:05
    Moderatore
  • Il problema è se non lo facessi!!!

    Si andrebbe contro la filosofia del forum di supporto.

    Vabè non mi dilungo altrimenti vado off-topic.

    Grazie a tutti

    sabato 12 gennaio 2013 14:26