none
сервер терминалов на DC - не удается выполнить вход RRS feed

  • Вопрос

  • Добрый день!

    Есть DC, на нем потребовалось установить сервер терминалов (конфигурация не рекомендуемая, но приходится).

    DC - единственный в лесу, Windows Server 2003 R2 Std SP2.

    Поднял службы терминалов, лицензирование служб терминалов.

    В групповой политике, примененной к контейнеру с этим DC: Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Разрешать вход в систему через службу терминалов - MYDOMAIN\Администраторы домена (проверено через RSoP).

    Группу "Админиатраторы домена" включил в группу "Пользователи удаленного рабочего стола".

    В "Настройка служб терминалов": Параметры сервера - Метод обнаружения сервера лицензий - Как указано - Использовать следующие серверы лицензий - dc.

    При подключении администратором домена получаю:

    "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на доступ пользователя к серверу терминалов...."

    В чем может быть дело?

    13 февраля 2008 г. 15:33

Ответы

  • Доступ пользователя определяется, исходя из нескольких параметров:
    1. отсутствие запрета в «Запретить вход в систему через службу терминалов», которая находится во вкладке «Конфигурация компьютера –> Конфигурация Windows –> Назначение прав пользователя» в «Редакторе групповых политик»;
    2. разрешение доступа в «Разрешать вход в систему через службу терминалов» (по умолчанию только администраторы);
    3. установка флажка «Запретить этому пользователю вход на серверы терминалов» в свойствах пользователя;
    4. установка во вкладке «Разрешения» свойств RDP-компонента «Настройка служб терминалов».

    Если доступ пользователя блокируется, значит, одно из этих условий не соблюдено

    14 февраля 2008 г. 5:03

Все ответы

  • Доступ пользователя определяется, исходя из нескольких параметров:
    1. отсутствие запрета в «Запретить вход в систему через службу терминалов», которая находится во вкладке «Конфигурация компьютера –> Конфигурация Windows –> Назначение прав пользователя» в «Редакторе групповых политик»;
    2. разрешение доступа в «Разрешать вход в систему через службу терминалов» (по умолчанию только администраторы);
    3. установка флажка «Запретить этому пользователю вход на серверы терминалов» в свойствах пользователя;
    4. установка во вкладке «Разрешения» свойств RDP-компонента «Настройка служб терминалов».

    Если доступ пользователя блокируется, значит, одно из этих условий не соблюдено

    14 февраля 2008 г. 5:03
  • Скорее всего вам надо смотреть "Разрешить локальный вход в систему" в групповых политиках контроллеров домена, т.к. на DC пользователю по умолчанию делать нечего

     

    14 февраля 2008 г. 7:40
  •  Alex Sharupov написано:
    Доступ пользователя определяется, исходя из нескольких параметров:
    1. отсутствие запрета в «Запретить вход в систему через службу терминалов», которая находится во вкладке «Конфигурация компьютера –> Конфигурация Windows –> Назначение прав пользователя» в «Редакторе групповых политик»;

    Видимо, речь о Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Запретить вход в систему через службу терминалов. Установлено "Не определено."

     Alex Sharupov написано:
    Доступ пользователя определяется, исходя из нескольких параметров:
    2. разрешение доступа в «Разрешать вход в систему через службу терминалов» (по умолчанию только администраторы);

    Установлено MYDOMAIN\Администраторы домена

     Alex Sharupov написано:
    Доступ пользователя определяется, исходя из нескольких параметров:
    3. установка флажка «Запретить этому пользователю вход на серверы терминалов» в свойствах пользователя;

    Флажок не установлен.

     Alex Sharupov написано:
    Доступ пользователя определяется, исходя из нескольких параметров:
    4. установка во вкладке «Разрешения» свойств RDP-компонента «Настройка служб терминалов».

    Группе "Администраторы" предоставлен полный доступ, запрещающих флажков нет.

    По поводу локального входа: причем здесь локальный вход?

    Я пробую подключиться к серверу с учетной записью администратора домена!

    В чем еще может быть дело?

    14 февраля 2008 г. 15:00
  • Хорошо, а "галочка" в свойствах системы (дополнительно) разрешить терминальный доступ стоит?

     

    Еще посмотрите свойства самого пользователя в домене, и нет ли "галочки" запрета на вход в терминал, или перечня станций где эта учетная запись должна работать.

    14 февраля 2008 г. 17:11
  • Все-таки дело оказалось в одной из 4-х причин, описанных выше.

    Судя по всему, не применился поначалу один из параметров групповой политики (хотя я делал gpupdate /force и проверял через RSoP).

    Так что все работает, большое спасибо откликнувшимся!

    Для общего развития, подскажите, пожалуйста: при каких условиях параметры политики могут не примениться при выполнении gpupdate /force ?

     

     

    14 февраля 2008 г. 20:02
  • Когда необходима перезагрузка системы: пример - установка софта всегда выполняется только при загрузке.

     

    15 февраля 2008 г. 7:01
    Модератор
  • Добрый день!

    Аналогичная проблема возникла в следующей ситуации:

    ОС Windows Server 2003 SP1

    Было организовано подключение к серверу через удаленный рабочий стол. Все работало нормально, но недавно он перестал пускать на сервер, выдавая сообщение "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на доступ пользователя к серверу терминалов....".

    Никаких программ перед этим не устанавливали и настройки не меняли.

    Решить проблему изменением 4-х предложенных выше параметров не удалось.

    Добавление пользователя в группу Пользователей удаленнгого рабочего стола не помогает, как и добавление пользователя в свойства RDP-Tcp вкладка (Безопасность)

    Переустановка роли терминала тоже не помогла.

     

    В чем еще может быть проблема?

    23 июня 2008 г. 4:16
  • Под администратором можете зайти на TS?

    23 июня 2008 г. 7:56
    Модератор
  • И под админом пишет тоже самое.

    23 июня 2008 г. 9:07
  •  

     

    Проверьте локальную политику на сервере Allow log on through Terminal Services.  По умолчанию там Administrators и Remote Desktop Users.

     

    Проверьте вообще какие политики применябтся к серверу: зпретов не установлено на TS?

    23 июня 2008 г. 10:06
    Модератор
  • 1. Запретить вход в систему через службу терминалов

        Не определено

    2. Разрешить вход в систему через службу терминалов

        Администраторы домена; Пользователи удаленного рабочего стола; Администратор

    3. В свойствах пользователя (в том числе Администратора), галочка

        "Запретить этому пользователю вход на серверы терминалов" не стоит

    4. Разрешения» свойств RDP-компонента «Настройка служб терминалов»

        Добавлен пользователь Администратор с полными правами

     

    ЗЫ: В прошлом была такая проблема 2 сервера в одном домене и на оба не пускали. Решение не нашел, один сервер (дополнительный контроллер домена) переустановил, после чего удаленный доступ заработал на обоих.

    23 июня 2008 г. 10:22
  • Та же самая проблема все работало нормально, на сервер даже никто не заходил, он стоял как резервный, потом он пару раз автоматом ребутнулся для обновления, после чего не пускает... причем и radmin нагнулся... порты открыты только 21, 9876. Очень странно, был включен правда брандмауэр windows, с фильтром по ip, возможно эта гадость какие то обновления скачала, хотя служба резервного копирования пускает в настройки... Причем стоит рядом параллельно второй сервер, разница а антивирах (на том который не гикнулся KAV, на втором eset, есть подозрение что какой-то вирус был подцеплен по rdp если вообще такое возможно, так как на ноуте с которого периодически он обслуживался eset nod пропустил вирус, сам сдох и система рухнула...

    В любом случае если у кого-то есть идея как все это поправить, помогите, сервер стоит хз где за границей... просто так не докатишся, у датацентра ip kvm нету... Помогите!
    23 сентября 2008 г. 18:04
  • Сбросьте настройки безопасности в Default как описано тут http://support.microsoft.com/kb/816585

     

    26 сентября 2008 г. 13:31
    Модератор
  • Аналогичный случай.

    Все работало до сегодняшнего утра, пришли на работу(понедельник) и на всех компьютерах при подключении к этому терминалу появилось: "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение...".

    контроллер доменов под NT4(sp6) из-за этого AD не установлено.

    Сервер лицензий активирован и находится на другом сервере Win2k, там терминальный доступ работает.

     

    Захожу без терминала на этот сервер и проверяю все рекомендуемые настройки.

    1.в "Запретить вход в систему через службу терминалов" установлен какой-то(не мой) ASPNET

    2.в "Разрешать вход в систему через службу терминалов" занесены группа доступа к терминалу и группа Domain Admins

    3. под NT4 нет такого

    4. В Разрешениях включены указанные группы

     

    Помогите пожалуйста устранить эту неприятность.
    22 декабря 2008 г. 13:29
  • А право Allow Logon Locally за кем закреплено?

     

    22 декабря 2008 г. 13:38
    Отвечающий
  • Домен у меня, как я говорил под NT4,

    проблемный сервер win2003 R2 StE

    Подскажите, где смотреть это право?

    Если на win2003 то как это там написано по русски?

    22 декабря 2008 г. 15:24
  • Если доменная политика не перезаписала поверху это право, то найти его можно в gpedit.msc -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights, там же, где и остальные Права Пользователей.

     

    По-русски понимайт нихьт, у меня русских систем нет.

    22 декабря 2008 г. 16:07
    Отвечающий
  • а у меня как то все хитро!

    терминалом (спец. созданной учеткой) на контроллер домена пускает!
    на второй сервер, который не является контроллером но состоит в домене - не пускает
    говорит что "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на доступ к серверу терминалов..."


    администратором домена пускает куда хош...

    19 октября 2009 г. 12:51
  • о! оказывает у сервера.. так сказать конечного...
    в свойствах RDP подклчения в остастке "настройка служб терминалов" на случай разрешений свои соображения! добавил там нужного юзверя и поулчил Щастье!
    19 октября 2009 г. 13:20
  • Доброго времени суток, уважаемые.

    Конфигурация: Windows Server 2003 R2 Standart x64 SP2.

    Роли: контроллер домена, сервер терминалов

    Служба лицензирования запущена на втором сервере.

    Столкнулся на днях с такой проблемой: в домене есть 2 аккаунта (не всего, а те, о которых пойдет речь). Итак, оба аккаунта, и А, и Б. состоят в одних и тех же группах с одинаковыми настройками аккаунта. В частности, оба в группе Remote Desktop Users. Однако, аккаунт А спокойно входит в терминальную сессию, а аккаунт Б при попытке подключения получает сообщение: "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на доступ к серверу терминалов...".

    В свойствах RDP-Tcp группа Remote Desktop Users присутствовала изначально. В процессе плясок, явно задал разрешение на доступ для Б.

    Политика безопасности контроллера домена -> Локальные политики -> Назначение прав пользователя:

    Запретить вход в систему через службу терминалов - только Guests;

    Локальный вход в систему - помимо дефолтных, задал явное разрешение для Б;

    Разрешить вход в систему через службу терминалов - помимо групп, задал явное разрешение для Б.

    Тем не менее, войти терминалом  Б на контроллер домена так и не получается.

    Что интересно, на второй сервак (2008 R2) Б входит без проблем.

    Вопрос: где еще может быть засада?

    15 ноября 2012 г. 6:05
  • 1. Дописывать в эту же тему стало громоздко, почему не хотите открыть новую?

    2. Сколько контроллеров?


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    15 ноября 2012 г. 8:28
    Отвечающий
  • 2WindowsNT.LV:

    1. из-за опыта общения на других форумах, где модераторы за создание похожей темы могут и забанить.

    2. контроллер один.

    15 ноября 2012 г. 8:59
  • Но, если Вы настаиваете, я создам новую тему. Если модераторы начнут ругать меня - сошлю на Вас ;)

    15 ноября 2012 г. 13:17