none
Не получается войти на удаленный рабочий стол Windows Server 2008R2 под учетной записью Администратора домена. RRS feed

  • Общие обсуждения

  • Имеется два сервера с ОС Win2008R2Std.

    Сервер №1 является контролером домена, например: comp.loc.

    Сервер №2 является членом домена comp.loc, например имя узла: srv2.comp.loc

    На обоих сервера разрешен удаленный доступ к рабочему столу в свойствах системы.

    Не удается войти на сервер№2 под учетной записью comp\Администратор,  в то время как под учетной записью srv2\Администратор входит нормально.

    Подскажите в каких направления смотреть настройки


    • Изменено bruserg 10 октября 2012 г. 8:33
    • Изменен тип Rotar MaksimModerator 24 октября 2012 г. 9:54 Тема переведена в разряд обсуждений по причине отсутствия активности
    10 октября 2012 г. 8:33

Все ответы

  • srv2, как я понял, с русским интерфейсом, а домен-контроллер - тоже?
    10 октября 2012 г. 9:06
    Модератор
  • да. оба сервера с русским интерфейсом.

    10 октября 2012 г. 9:42
  • Удается ли зарегистрироваться локально на srv2 под учетной записью comp\Администратор? Открываются ли из пользовательской сессии на srv2 ресурсы на домен-контроллере, например \\comp.loc\sysvol ?

    10 октября 2012 г. 10:06
    Модератор
  • Какую ошибку выдает при входе ?

    Печенкин Николай

    10 октября 2012 г. 10:11
  • ошибку не выдает, просто TSclient Сообщает, что: "Учетные данные использованные для подключения недопустимы. Введите новые учетные данные"
    10 октября 2012 г. 11:26
  • Удается ли зарегистрироваться локально на srv2 под учетной записью comp\Администратор? Открываются ли из пользовательской сессии на srv2 ресурсы на домен-контроллере, например \\comp.loc\sysvol ?

    Локально зарегистрироваться на srv2 возможно даже используя учетные данные comp\Администратор, т.е. авторизация на уровне домена.

    При локальном входе на srv2 под учетными данными администратора домена ресурс \\comp.loc\sysvol доступен, для входа так же использовал учетные данные администратора домена.

    10 октября 2012 г. 11:50
  • Стоп. Т.е. заходя comp\Администратор на srv2  ЛОКАЛЬНО и пробуя  \\comp.loc\sysvol - спрашивает логин и пароль ?


    Печенкин Николай

    10 октября 2012 г. 11:53
  • Да именно.

    10 октября 2012 г. 12:25
  • Имеется два сервера с ОС Win2008R2Std.

    Сервер №1 является контролером домена, например: comp.loc.

    Сервер №2 является членом домена comp.loc, например имя узла: srv2.comp.loc

    На обоих сервера разрешен удаленный доступ к рабочему столу в свойствах системы.

    Не удается войти на сервер№2 под учетной записью comp\Администратор,  в то время как под учетной записью srv2\Администратор входит нормально.

    Подскажите в каких направления смотреть настройки


    Посмотрите настройку прав пользователей - в политике компьютера, узел политики (Конфигурация Windows/Параметры безопасности/Локальные политики/Назначение прав пользователей). В даннном случае необходимо право "Разрешить вход в систему через службу удаленных рабочих столов", а также - не должнен быть назначен "Запрет входа через службу удаленных рабочих столов". Сначала смотреть в групповых политиках (лучше всего с помощью RSOP ("Результаты групповой политики" в консоли управления групповыми политиками")), если там политика не определена - смотреть в локальной политике с помощью gpedit.msc. Обычно эти права даются для групп, поэтому проверьте, входит ли учетная запись администратора в соответствующие группы (если зарегистрируетесь локально, то список групп можно увидеть в выдаче команды whoami /groups).


    Слава России!

    10 октября 2012 г. 13:17
  • В результате проверки Групповых политик выскочили ошибки 
    10 октября 2012 г. 16:30
  • Это все интересно, но политику надо смотреть для сервера (пользователя не выбирать) - нужна только ветка Конфигурация компьютера: нужные параметры - там.


    Слава России!


    • Изменено M.V.V. _ 10 октября 2012 г. 17:51
    10 октября 2012 г. 17:49
  • Дело в том, что я не создавал политики на контролере домена, папке Объекты групповой политики имеются только: Default Domain Controllers Policy, Default Domain Policy.

    При проверке политики только для сервера были видны такие же ошибки. 

    11 октября 2012 г. 10:01
  • Во-первых, я имел в виду раздел "Сводка" RSOP. Что сейчас написано там про права пользователя на вход через службу удаленных рабочих столов?

    Вообще-то, если Вы не меняли политики по умолчанию, то эти права в GP не определены, и надо смотреть локальную политику.

    Во-вторых, если Вам нужна помощь по устранению ошибок, нужно скопировать сюда ошибки целиком (код события, описание, дополнительные сведения), а не только привести скриншот, показывающий их наличие.


    Слава России!


    • Изменено M.V.V. _ 11 октября 2012 г. 10:51
    11 октября 2012 г. 10:49
  • Вот "Сводка" RSOP и снимки ошибок.

    11 октября 2012 г. 14:11
  • Посмотрел локальные политики на сервере: узле политики (Конфигурация Windows/Параметры безопасности/Локальные политики/Назначение прав пользователей), политика: "Запретить вход в систему через службу удаленных рабочих столов" - не определена; в "Разрешить вход в систему через службу удаленных рабочих столов" - Указанны Группы Администраторы, Пользователи удаленного рабочего стола. Добавил администратора домена - не помогло.

    11 октября 2012 г. 14:23
  • Только, добавил в состав домена третий сервер (теперь состав сети такой: srv1 - (он же DC comp.loc); srv2.comp.loc; srv3.comp.loc; имеется так же рабочая станция под управлением ОС Windows 7 Максимальная которая не состоит в составе домена) и получается интересная штука: 

    1. на любой из серверов возможно войти локально как под учетной записью локального Администратора, так и под учетной записью администратора домена(copm\Администратор)

    2. Если войти локально или по RDP, но с локальной учетной записью на любой из серверов то, подключиться к другому из серверов под учетной записью Администратора домена возможно;

    с рабочей станции на каждый из серверов по RDP возможно подключиться только под учетной записью локального Администратора

    это правильно? вроде бы в предыдущих версиях AD можно подключиться по RDP с любой рабочей станции используя учетную запись Администратора домена?

    11 октября 2012 г. 15:11
  • 1. Для диагностики стоит включить аудит неудачных попыток входа в систему и посмотреть, что появляется в журнале безопасности на сервере.

    Заодно посмотрите в журнале событий системы на сервере, нет ли ошибок от источника netlogon о проблемах связи с КД. Есть подозрение, что у Вас сервер вываливается из домена.

    2. По поводу ошибо обработки групповой политики:

     - во-первых, посмотрите в журнале событий на сервере, проявляются ли они только при старте компьютера, или - и при обновлении политики во время его работы (периодическом - раз в полтора-два часа

    - во-вторых, Вы привели недостаточно информации, интересны все подробности.


    Слава России!

    12 октября 2012 г. 0:22
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    17 октября 2012 г. 9:01
    Модератор
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    24 октября 2012 г. 9:54
    Модератор
  • Такая же ситуация. По RDP не могу попасть на сервер 2008R2 под уч. записью доменного адм. Хотя можно войти под локальным адм. Что касается локального входа, то пускает и так и так.

    Все советы по гр. политикам, tsconfig.msc, антивирусам и фаирволам использовал. Грусть.


    4 декабря 2012 г. 12:26
  • .... случайным образом нашел ветку обсуждения другой (похожей) проблемы в которой обнаружил решение своей http://social.technet.microsoft.com/Forums/ru/ws2008r2ru/thread/cd3fe0ff-2605-46be-9250-8d3635852845 В упомянутой ветке причину отказа доступа описали именно вы.

    Все сервера описанные в данной ветке были созданы в среде виртуализации VMware путем клонирования виртуальных машин из виртуальной машины на которой развернут AD Службы контролера домена. Оказалось, что при клонировании SID машины НЕ ИЗМЕНЯЕТСЯ (!!!) и вышло, что SID Контролера домена и членов домена совпадает. ну а дальше просто изменил SID и все ОК.

    Спасибо. ВСЕМ!

    6 декабря 2012 г. 9:09