Есть контроллер домена и на нем терминальный сервер и сервер лицензирования терминалов. Сейчас мне нужно сделать отдельный сервер терминалов. Установил server 2003 R2 x64, но если пользователь не входит в группу администраторов домена терминальный сервер не пускает.
Обращаю внимание что на первый сервер пользователи заходят хорошо и все они внесены в группу "пользователи удаленного рабочего стола", а вот на второй сервер зайти не могут.

Локальные политики безопасности -> Назначение прав пользователя -> что в параметрах "Разрешать вход в систему через службу терминалов" и "Запретить вход в систему через службу терминалов"?

Панель управления -> Администрирование -> Настройка служб терминалов -> Подключения -> Свойства -> вкладка Разрешения -> кто там?

В локальных политиках стоят значения "не определено". Я пробовал добавлять туда вручную и группу "пользователи удаленного рабочего стола" и пользователя отдельно.
В разрешениях указана группа администраторов домена и группа "пользователей удаленного рабочего стола" с разрешениями "Доступ пользователя" и "Доступ гостя"

Локально они могут зайти? Не через RDP.

В локальных политиках стоят значения "не определено"
Не там смотрите.
Пуск -> Выполнить -> secpol.msc

Еще в Пуск -> Выполнить -> rsop.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя.

Не там смотрите.
Пуск -> Выполнить -> secpol.msc »
"запретить вход..." ничего не стоит, а "разрешить через службу терминалов" прописана группа "пользователи удаленного рабочего стола"

Еще в Пуск -> Выполнить -> rsop.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя. »
также, в первом случае "не определено" а второе "пользователи удаленного рабочего стола"

все они внесены в группу "пользователи удаленного рабочего стола"
Навскидку (http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/b0d547c2-edd2-4eab-bc8c-ffba967d193c)

Типичная ошибка может заключаться в следующем: вы включили юзеров во встроенную доменную группу "Пользователей удаленного ....", а надо было их включать в локальную группу сервера терминалов

Проблема решена.

Я добавил пользователей в локальную группу на новом терминальном сервере в группу "пользователи удаленного рабочего стола".
Если честно для меня это решение не очевидно.

для меня это решение не очевидно
Там же объяснение: доменная группа "Пользователи удаленного рабочего стола" используется только контроллерами домена.

Смотрю в книгу вижу фигу:)
Всем спасибо.