Контроллеры домена, кроме основного не пускают на сервер терминалов ни одной учетки, даже с правами администратора( ну и пользователя удалённого рабочего стола соответственно). В политике КД "разрешить доступ через службу терминалов" стоит группа "администраторы". При попытке логина пишет что для доступа нужно быть администратором или входить в группу удалённого раб. стола..... где копать?? при чем интересное наблюдение, машинка не являющаяся КД но запихнутая в их подразделение тоже нормально пускает.

входить в группу пользователей удалённого раб. стола »
Включить в нее группу терминальных пользователей (через свойства компьютера)

бр... какие свойства компьютера? Контроллеры домена, на них локальных пользователей нет, только доменные. Мне не группу, самому бы попасть на сервер удалённо, а я и есть "администратор", вхожу в группу "администраторы" которой через GPO и разрешен доступ к серверу терминалов удалённо. В реале же сервера упорно утверждают что это не так... (только при удалённом логине) при локальном всё ок - бог, король.

Donner, дополнительно посмотрите в локальных политиках безопасности -> Назначение прав пользователя -> параметры "Разрешать вход в систему через службу терминалов" и "Запретить вход в систему через службу терминалов".

вай... :) ребята у контроллера домена нет локальных политик, только политика контроллера домена, это у простых членов домена она есть... блин, всю голову сломал уже. Еще идеи?

Donner, тогда Панель управления -> Администрирование -> Настройка служб терминалов -> Подключения -> Свойства -> вкладка Разрешения, кто там?

в этой вкладке тоже смотрел :( там local service, network service c особыми правами, system и администраторы c полными и пользователи удалённого рабочего стола с правами на вход как гость и как пользователь.

Donner, ну попробуйте добавить себя в явном виде.

Еще посмотрите Пуск -> Выполнить -> rsop.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя -> параметры "Разрешать вход в систему через службу терминалов" и "Запретить вход в систему через службу терминалов".

"Запретить вход в систему через службу терминалов" стоит неопределено
"Разрешать вход в систему через службу терминалов" стоит first\администраторы, администраторы

ни чего не понимаю.... попробую чтоли службу переустановить, но что то мало верится что поможет.

Donner, полтергейст.
Сервер перезагружали?
Может, 3389 порт чем-то блокируется?

да и презагружал....

порт нет, яж говорю что он цепляется к rdp не пускает именно логон. Завтра переставлю сервер терминалов, отпишусь.

в общем проблема была в политиках прав пользователей для кд, проставил везде все параметры явным образом а не по умолчанию, плюс добавил "все" в разрешить доступ через службу терминалов, а потом удалил. Всё заработало как должно... полтергейст да и только.

Donner

Получил ту же проблему. Прошел dcpromo и тут же остался без доступа. Залез в policy managment и добавил в правила для DC Default Policy явным образом разоешение на вход через службу терминалов для группы Administrators и группы Remote Desktop Users.

Применял gpupdate /force, перезагружал сервер. Результат отрицательный.

Что вы ещё правили в ручную?