none
Permitir inicio de sesión a través de servicios de Escritorio remoto GPO RRS feed

  • Pergunta

  • Hola,

    tengo un problema con esta GPO que es con la que gestiono los accesos por terminal server de los usuarios del dominio.

    Hasta hace poco estaba funcionando correctamente pero en algún momento algún problema ha tenido y ahora hay ciertos usuarios que están dentro de la política que no pueden hacer terminal server.

    Desde el controlador de dominio no parece haber ningún problema pero si nos vamos a unos de los servidores (no DC) y vemos esa política en local vemos lo siguiente :

    Y si entramos dentro de la política:

    Si saco a ese servidor del dominio (el no DC) y lo vuelvo a meter entonces parece que la gpo va al sitio y ya

    funciona correctamente pero, pasadas unas hora vuelve a fallar y vuelve a aparecer ese SID erróneo.

    Lo extraño es que con algunos de los usuarios que están dentro de la gpo puedo seguir haciendo terminal

    server pero hay 5 usuarios que no me deja. Por decirlo, de algún modo parece que algo fallo en la gpo (no se si es un SID de algún usuario que ya no está) que los usuarios que se añadieron a posteriori a la gpo no pueden hacer terminal server.

    ¿Alguien me puede ayudar con este tema?

    Gracias de antemano.

    Saludos.

    quinta-feira, 31 de outubro de 2019 14:23

Todas as Respostas

  • Si en lugar del nombre de usuario aparece el SID, como es tu caso, el problema viene por otro lado, no del Escritorio Remoto

    Para averigurar los motivos se necesita más información, desde lo más básico que es a qué DNS están apuntando el servidor y los clientes, a si hay Controlador de Dominio Catálogo Global, qué cambios has hecho últimamente, etc. etc. O cualquier otro tipo de dato que puedas pueda estar produciendo el problema, desde reinstalación con el mismo nombre, o de usuario, etc.

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    quinta-feira, 31 de outubro de 2019 15:00
    Moderador
  • Guillermo gracias, lo voy a ir revisando todo.

    Todo el directorio activo lo monté hace unos cuantos años y creo que cometí el error de modificar la 'Default Domain Policy' y una de las cosas que toque fue esa gpo.

    Estoy considerando deshabilitar esa política y habilitarla localmente en cada servidor (Log on locally gpo) porque de ese modo y en caso de error como me ha sucedido entiendo que minimizo el problema. No afecta a todo el dominio sino a un servidor en concreto.

    Gracias.

    Saludos.

    quinta-feira, 31 de outubro de 2019 15:47
  • Nunca es recomendable modificar ninguna de las dos GPOs que crea el sistema. Si es necesario agregar configuraciones se hace con una GPO adicional. Y si no quedara más remedio que modificarla se deben dejar documentados cada una de las modificaciones, para de ser necesario poder volver todo atrás

    No hay forma de reemplazar la "Default Domain Policy" con una "Local Policy"

    Revisa las otras opciones que mencioné e inclusive si hay errores relacionados en el visor de sucesos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    quinta-feira, 31 de outubro de 2019 19:01
    Moderador
  • Hola Guillermo,

    lo tendré en cuenta.

    De momento el problema parece que está solucionado. En la gpo habían dos usuarios que no eran del dominio, eran locales a un servidor.

    No se a ciencia cierta si ese era el problema y porqué estaban afectando a otros usuarios dentro de la gpo pero al quitarlos el problema a desaparecido.

    Muchas gracias.

    Saludos.

    David.

    quarta-feira, 6 de novembro de 2019 11:53
  • Hola David, a ver si puedo aclarar algunos conceptos, para que comprendas el problema

    Primero, nunca "los usuarios están en la GPO". La GPO se vincula a Sitios, Dominio y/o Unidades Organizativas, y afecta a las cuentas que "cuelgan" de dicho contenedor. "Users" y "Computers" no son Unidades Organizativas y no se le pueden enlazar GPOs

    Segundo, las GPOs de Dominio afectan a cuentas de Dominio, no a cuentas locales. Además como buena práctica, si hay Dominio nunca conviene tener cuentas de usuarios locales, porque quedan "fuera de control" del Dominio

    A las cuentas locales se las puede afectar con la "Local Policy" (gpedit.msc) en la máquina, pero siempre prevalecerán las GPOs de Dominio, salvo que en estas últimas venga la opción como "No configurada"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    quarta-feira, 6 de novembro de 2019 13:15
    Moderador
  • Hola Guillermo,

    perdón no me he expresado bien. Tengo claro que la 'Default Domain Policy' (tengo el servidor en inglés) no debí tocarla. 

    Dentro de Computer Configuration > Windows settings > Security settings > Local policies > User Rights Assignments > Allow log on through Remote Desktop Services es donde tengo los usuarios que hacen escritorio remoto. 

    Y aquí me volví a equivocar porque debería tener el grupo 'usuarios de escritorio remoto' y no todos los usuarios uno a uno.

    Pero entre esos usuarios es donde tenía dos usuarios locales que creo que son los que me han dado el problema.

    Gracias.

    Saludos.

    David.

    quarta-feira, 6 de novembro de 2019 15:15