none
Desktop remoto client nel dominio (windows server 2003 sp2) RRS feed

  • Domanda

  • Salve, volevo accedere tramite desktop remoto a dei pc client (windows xp sp3 e Seven sp1) in AD (WS 2003 sp2) da altri client nel dominio.
    In base al sistema operativo ottenevo due messaggi differenti una volta connesso ai client in questione non 
    riescivo ad effettuare il login con i dati (username e password) impostati in AD;

    Windows XP: "Il criterio locale del sistema non permette l'accesso interattivo"
    Windows 7: "Per eseguire l'accesso a questo computer remoto, è necessario disporre del diritto Consenti accesso
    tramite Servizi Terminal" ecc...

    Quello che ho fatto è stato creare una nuova GPO nell'unità organizzativa che contiene gli utenti in questione ed ho
    definito il criterio in "Assegnazione diritti utente" del computer di consenso tramite Servizi terminal agli utenti desktop remoto.
    Infine ho inserito gli utenti in questione nel gruppo del desktop remoto ma il risultato non è cambiato.
    Per curiosità ho fatto una prova, ovvero ho inserito e poi rimosso questi account utente dal gruppo Domain Admins e
    improvvisamente sui client windows xp riesco ad accedere mentre su windows 7 continuo ad ottenere lo stesso messaggio
    (tranne quando l'account era presente nel gruppo Domain Admins).

    Non so dove sbattere la testa, grazie!

     

    lunedì 29 luglio 2013 18:34

Tutte le risposte

  • Ciao, prima di andare avanti nelle discussione vorrei farti rileggere quanto hai scritto "Salve, volevo accedere tramite desktop remoto a dei pc client (windows xp sp3 e Seven sp1) in AD (WS 2003 sp2) da altri client nel dominio".  Forse volevi semplicemente scrivere che vuoi accedere in Desktop Remoto su un Windows Server 2003 dai vari client di dominio. Puoi confermare se è questo il tuo problema. 

    Saluti

    Nino

    lunedì 29 luglio 2013 20:20
    Moderatore
  • Grazie per la risposta, no io al mio DC riesco ad accedere, il problema è quando voglio farlo ai client citati dove riesco ad accedere solamente con 2 account presenti nel gruppo domain admins. Pensavo bastasse solamente inserire l'account che volevo far accedere in remoto nel gruppo "Utenti desktop remoto" e creare una GP che consentisse a questi utenti di collegarsi ai pc tramite servizi terminal. A questo punto mi sorge però il dubbio se questo gruppo "Utenti desktop remoto" sia valido per tutti i pc nel dominio o solo per il DC.

    • Modificato 0pportunity martedì 30 luglio 2013 07:33 modifiche
    lunedì 29 luglio 2013 20:40
  • "Questo problema si verifica perché l'account utente non è membro del gruppo locale Utenti desktop remoto"

    http://support.microsoft.com/kb/289289/it

    Per abilitarlo tramite GPO abilita il gruppo "Authenticated Users" o un gruppo da te predefinito in:

    Computer\Impostazioni di Protezione\Criteri Locali\Assegnazione Diritti Utente\Consenti Accesso Locale

    Computer\Impostazioni Protezione\Criteri Locali\Assegnazione Diritti Utente\Consenti Accesso Tramite Servizi Terminal

    http://support.microsoft.com/kb/278666/it




    MarioAlpha

    lunedì 29 luglio 2013 21:25
  • Il gruppo che pensavo di abilitare è "Utenti desktop remoto" presente nel contenitore Builtin.

    Per quanto riguarda le GPO i criteri che mi hai elencato sono quelli che ho toccato pure ieri solo che probabilmente non si aggiornavano in tempo (aspettavo poco io) anche se usavo gpupdate /force. Oggi tutti si applicano ed ho un nuovo comportamento: al client windows xp sp3 finalmente riesco ad accedere, mentre per quanto riguarda il client Seven sp1 mi viene detto "Accesso alla sessione negato".

    Ricapitolando io vorrei accedere da un client ad un'altri tramite desktop remoto utilizzando le credenziali dell'account AD che normalmente accede a quel pc. Come ieri ho applicato le stesse GPO con gli stessi criteri che mi hai elencato, dando i permessi al gruppo "Utenti desktop remoto" della cartella Builtin del dominio e in questo gruppo sono stati inseriti i due account in questione. Dove sbaglio??

    Grazie.







    • Modificato 0pportunity martedì 30 luglio 2013 14:26 aggiornamenti
    martedì 30 luglio 2013 07:12
  • non mi è chiaro quello che scrivi

    Ricapitolando io vorrei accedere da un client ad un'altri tramite desktop remoto utilizzando le credenziali dell'account AD che normalmente accede a quel pc.

    Vuoi connetterti in RDP sui Pc usando le credenziali dell'account che usa solitamente quel Pc e non i 2 user di cui parlavi prima, ho capito bene ?

    Ma qual'è lo scopo di tutto ciò ?

    L'account con cui vuoi accedere e parte del gruppo autorizzato in questa policy ?

    Computer\Impostazioni Protezione\Criteri Locali\Assegnazione Diritti Utente\Consenti Accesso Tramite Servizi Terminal

    MarioAlpha

    martedì 30 luglio 2013 16:15
  • ...non sono l'unico ad aver capito che si vuole connettere ai PC :) meno male

    martedì 30 luglio 2013 17:10
    Moderatore
  • Si voglio collegarmi in RDP a due pc client situati in punti diversi dell'azienda sui quali girano alcuni applicativi sviluppati internamente, i due account in questione sono account del dominio con i quali si accede ad ognuno di questi due client.  Quello che ho fatto è stato inserire questi account nel gruppo "Utenti desktop remoto" presente nel contenitore Builtin del dominio.Sono riuscito a collegarmi in RDP e ad accedere al client XP SP3 ma quando voglio accedere al client con installato Windows 7 ricevo come messaggio "Accesso alla sessione negato". 

    Ho dato il permesso sia di accesso locale che accesso tramite servizi terminal al gruppo "Utenti desktop remoto" ma Seven continua a non farmi accedere. Non capisco il perchè., potrebbe essere che Seven non senta qualche GPO di WS 2003 ?

    Se dico perchè devo fare questo procedimento mi dilungo troppo :-) diciamo che per ora non posso stravolgere quello che non è stato "creato" da me in precedenza, ma solo correggere alcuni errori o sviste palesi (anche se questo è un'altro discorso).

    Grazie






    • Modificato 0pportunity mercoledì 31 luglio 2013 10:35 Update
    martedì 30 luglio 2013 18:13
  • se fosse stato un problema di livello di autenticazione (Network Level Authentication) lo avresti dovuto avere anche su xpsp3.

    Versione del protocollo RDP del client da cui ti connetti ?

    sul Pc seven ci sono firewall / Antivirus diversi da XP?

    vengono applicate le stesse GPO ai 2 Pc, si trovano nella stessa OU ?


    MarioAlpha

    martedì 30 luglio 2013 21:05
  • I due client si trovano della stessa UO sia computer che utenti. Ora non prendiamo più in considerazione il client remoto Xp sp3 ma solo quello Windows 7 sp1. Per ora non è presente nessun antivirus e il firewall è attivato (ma non blocca nulla).
    Ho appena effettuato l'aggiornamento KB969084 (che pensavo già di avere...) di mstc.exe sul pc client (windows xp sp3) che uso io per connettermi tramite RDP al client in questione, anche se il problema non è dovuto alle versione di RDP Client perchè se provo l'accesso con un'account "Domain Admins" io accedo al pc. L'impressione è che non applichi la GPO dove viene specificato quali utenti/gruppi possono accedere tramite servizi terminal.

    • Modificato 0pportunity mercoledì 31 luglio 2013 07:56 Update
    mercoledì 31 luglio 2013 07:31
  • Ciao, siamo in attesa di un tuo riscontro o contributo che potrebbe essere utile anche ad altri utenti

    Se hai altri suggerimenti oppure se hai ancora necessità di aiuto rispondi al thread che hai aperto.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    domenica 6 ottobre 2013 07:18
    Moderatore
  • L'impressione è che non applichi la GPO dove viene specificato quali utenti/gruppi possono accedere tramite servizi terminal.

    l'accesso in rdp a server o clients di dominio non è automaticamente garantito dall'appartenenza dell'account ad un particolare gruppo (ad esempio Remote Desktop Users) ma dal diritto di "logon through terminal servics" assegnato nelle policies. gli utenti o i gruppi che hanno questo diritto riusciranno ad accedere tramite rdp.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    domenica 6 ottobre 2013 09:33
    Moderatore