none
Удалённый рабочий стол, AD RRS feed

  • Вопрос

  • Есть сеть - контроллер домена(AD, DNS, DHCP), сервер и клиент. Все в домене. В AD Пользователи и Компьютеры учётная запись клиента заведена в группу Пользователи удалённого рабочего стола. Но при попытке осуществить подключение к удалённому рабочему столу с клиента на сервер, выдаётся ошибка "Подключение было запрещено, так как учётная запись пользователя не имеет прав для удалённого входа в систему".

    Если вручную на сервере через Панель управления > Система и безопасность > Система > Настройка удалённого доступа > Удалённый рабочий стол > Выбрать пользователя & Добавить добавить учёт. запись клиента все работает.

    Можно ли осуществлять подобное управление через AD, а не ручным добавлением учёт. записи клиента в локальную группу сервера?

    16 июля 2012 г. 1:41

Ответы

  • Добрый день, можно.

    Вы немного неверно поняли происходящее.

    Вам надо добавить учётные записи пользователей в группу "Пользователи удалённого рабочего стола" на каждом сервере, куда вы хотите им дать доступ:

    а. Для этого делаем глобальную группу безопасности в домене, к примеру RDP_Users

    б. Добавляем в неё пользователей

    в. Добавляем группу удалённых пользователей RDP_Users в группу "Пользователи удалённого рабочего стола" на каждом сервере, куда вы хотите им дать доступ с помощью логон скрипта через GPO, применяя политику на компьютер.

    Dim objLocalGroup, objDomainUser
    
    ' Bind to local group object.
    Set objLocalGroup = GetObject("WinNT://localhost/Пользователи удалённого рабочего стола,group")
    
    ' Bind to domain user object.
    Set objDomainUser = GetObject("WinNT://contoso.ru/RDP_Users,group")
    
    ' Check if user already a member of group.
    If (objLocalGroup.IsMember(objDomainUser.ADsPath) = False) Then
        ' Add domain user to local group.
        objLocalGroup.Add(objDomainUser.ADsPath)
    End If

    Примерно так ...

    Настоятельно рекомендую удалить лишних пользователей из built-in группы "Пользователи удалённого рабочего стола" на Доменном контроллере, т.к. вы дали пользователям возможность подключаться к каждому DC в домене, используя RDP, что есть крайне неверно (если я правильно вас понял).

    Там должна быть только встроенная группа Everyone.

    Ещё ознакомьтесь с материалами по ссылке http://technet.microsoft.com/en-us/library/cc733155(v=ws.10)


    http://cheryatnikov.blogspot.com/


    • Изменено Vitalishe 16 июля 2012 г. 6:16
    • Помечено в качестве ответа Vinokurov Yuriy 20 июля 2012 г. 19:09
    16 июля 2012 г. 6:14

Все ответы

  • Добрый день, можно.

    Вы немного неверно поняли происходящее.

    Вам надо добавить учётные записи пользователей в группу "Пользователи удалённого рабочего стола" на каждом сервере, куда вы хотите им дать доступ:

    а. Для этого делаем глобальную группу безопасности в домене, к примеру RDP_Users

    б. Добавляем в неё пользователей

    в. Добавляем группу удалённых пользователей RDP_Users в группу "Пользователи удалённого рабочего стола" на каждом сервере, куда вы хотите им дать доступ с помощью логон скрипта через GPO, применяя политику на компьютер.

    Dim objLocalGroup, objDomainUser
    
    ' Bind to local group object.
    Set objLocalGroup = GetObject("WinNT://localhost/Пользователи удалённого рабочего стола,group")
    
    ' Bind to domain user object.
    Set objDomainUser = GetObject("WinNT://contoso.ru/RDP_Users,group")
    
    ' Check if user already a member of group.
    If (objLocalGroup.IsMember(objDomainUser.ADsPath) = False) Then
        ' Add domain user to local group.
        objLocalGroup.Add(objDomainUser.ADsPath)
    End If

    Примерно так ...

    Настоятельно рекомендую удалить лишних пользователей из built-in группы "Пользователи удалённого рабочего стола" на Доменном контроллере, т.к. вы дали пользователям возможность подключаться к каждому DC в домене, используя RDP, что есть крайне неверно (если я правильно вас понял).

    Там должна быть только встроенная группа Everyone.

    Ещё ознакомьтесь с материалами по ссылке http://technet.microsoft.com/en-us/library/cc733155(v=ws.10)


    http://cheryatnikov.blogspot.com/


    • Изменено Vitalishe 16 июля 2012 г. 6:16
    • Помечено в качестве ответа Vinokurov Yuriy 20 июля 2012 г. 19:09
    16 июля 2012 г. 6:14
  • Судя по нечёткому описанию проблемы, вы добавили пользователя в группу Remote Desktop Users самого контроллера домена, а не целевого сервера.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    16 июля 2012 г. 6:24
    Отвечающий