wajer
28-02-2019, 10:05
Добрый день. В организации есть 3 сервера. КД - Windows 2003 r2. На нем AD,DNS и DHCP, Сервер терминалов. На втором сервере роль веб-сервера, а на третьем две виртуальных машины с ОС Windows 2008(файловый сервер + программы). Примерно месяц назад у них была проблема - не работал DNS. Проблема была решена, но, похоже решение первой проблемы привело к возникновению второй.
Нормальная работа DNS похоже привела к тому, что начали работать и групповые политики. В результате пользователи, пытающиеся войти на ВМ удаленно по RDP видят ошибку "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов....".
В локальной политике безопасности ВМ(Локальные политики - Назначение прав пользователя):
- Запретить вход в систему через службу удаленных рабочих столов - DMN\Гость
- Разрешить вход в систему через службу удаленных рабочих столов - ПУСТО. Нет ни пользователей, ни групп.
На КД в редакторе объектов групповой политики (Конфигурация компьютера - Параметры безопасности - Локальные политики - Назначение прав пользователя)
- Запретить вход в систему через службу терминалов - Гость
- Разрешать вход в систему через службу терминалов - Terminal Clients, Пользователи удаленного рабочего стола
В ВМ и на КД пользователь домена asrv добавлен в группу Пользователи удаленного рабочего стола и раньше все работало.
Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
(С) Корпорация Майкрософт, 1981-2001
Создано на 28.02.2019 в 9:15:52
Данные RSOP для DMN\asrv на SRV : Режим ведения журнала
-------------------------------------------------------------------------
Конфигурация ОС: Рядовой сервер
Версия ОС: 6.1.7601
Имя сайта: Н/Д
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\asrv
Подключение по медленному каналу: Нет
Конфигурация пользователя
--------------------------
CN=Asrv,CN=Users,DC=dmn,DC=org,DC=loc
Последнее применение групповой политики: 28.02.2019 в 8:27:12
Групповая политика была применена с: spdc.dmn.org.loc
Порог медленного канала для групповой политики: 500 kbps
Имя домена: DMN
Тип домена: Windows 2000
Примененные объекты групповой политики
---------------------------------------
Default Domain Policy
Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Local Group Policy
Фильтрация: Не применяется (пусто)
Пользователь является членом следующих групп безопасности
---------------------------------------------------------
Пользователи домена
Все
KLAdmins
Администраторы
Пользователи удаленного рабочего стола
Пользователи
ИНТЕРАКТИВНЫЕ
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
ЛОКАЛЬНЫЕ
MAIL
KLAdmins
Высокий обязательный уровень
Суть проблемы мне примерно понятна. Нужно перелопачивать политики на КД, но может кто-то сталкивался с проблемой и может более точно подсказать в чем здесь дело?
Нормальная работа DNS похоже привела к тому, что начали работать и групповые политики. В результате пользователи, пытающиеся войти на ВМ удаленно по RDP видят ошибку "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов....".
В локальной политике безопасности ВМ(Локальные политики - Назначение прав пользователя):
- Запретить вход в систему через службу удаленных рабочих столов - DMN\Гость
- Разрешить вход в систему через службу удаленных рабочих столов - ПУСТО. Нет ни пользователей, ни групп.
На КД в редакторе объектов групповой политики (Конфигурация компьютера - Параметры безопасности - Локальные политики - Назначение прав пользователя)
- Запретить вход в систему через службу терминалов - Гость
- Разрешать вход в систему через службу терминалов - Terminal Clients, Пользователи удаленного рабочего стола
В ВМ и на КД пользователь домена asrv добавлен в группу Пользователи удаленного рабочего стола и раньше все работало.
Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) версии 2.0
(С) Корпорация Майкрософт, 1981-2001
Создано на 28.02.2019 в 9:15:52
Данные RSOP для DMN\asrv на SRV : Режим ведения журнала
-------------------------------------------------------------------------
Конфигурация ОС: Рядовой сервер
Версия ОС: 6.1.7601
Имя сайта: Н/Д
Перемещаемый профиль: Н/Д
Локальный профиль: C:\Users\asrv
Подключение по медленному каналу: Нет
Конфигурация пользователя
--------------------------
CN=Asrv,CN=Users,DC=dmn,DC=org,DC=loc
Последнее применение групповой политики: 28.02.2019 в 8:27:12
Групповая политика была применена с: spdc.dmn.org.loc
Порог медленного канала для групповой политики: 500 kbps
Имя домена: DMN
Тип домена: Windows 2000
Примененные объекты групповой политики
---------------------------------------
Default Domain Policy
Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Local Group Policy
Фильтрация: Не применяется (пусто)
Пользователь является членом следующих групп безопасности
---------------------------------------------------------
Пользователи домена
Все
KLAdmins
Администраторы
Пользователи удаленного рабочего стола
Пользователи
ИНТЕРАКТИВНЫЕ
КОНСОЛЬНЫЙ ВХОД
Прошедшие проверку
Данная организация
ЛОКАЛЬНЫЕ
KLAdmins
Высокий обязательный уровень
Суть проблемы мне примерно понятна. Нужно перелопачивать политики на КД, но может кто-то сталкивался с проблемой и может более точно подсказать в чем здесь дело?