Сервер был в рабочей группе, затем его ввели в домен.
Теперь он никого непускает не в терминальную ссессию, не в шары,
кроме!!! Администратора. Во время авторизации клиента (в терминальной ссесии) появляется окно "Ограничения вашей учетной записи запрещают вход в систему с данного компьютера. Используйте другой компьютер."

В домене, в ученой записи, стоит птичка на доступ к терминальному серверу,
и разреншено входить на любой компьютер домена.

Пользователи в нужных группах, в локальных политиках сервера доступ к из сети этому пользователю разрешил.

Сервер лицензий не ставил и не авторизировал.(В рабочей группе работало без всего этого). Да и непохоже что дело в этом.

В чем грабли????

Настройка служб терминалов => Подключения => RDP-Tcp => Разрешения

>>Настройка служб терминалов => Подключения => RDP-Tcp => Разрешения

Эти разрешения выставлены.

Пользователи не могут получить доступ вообще к компьютеру.

Пользователи члены локальной группы админов - могут!

выведи бибику из сети,
на PDC снеси этот комп (в управлении юзерами AD),
введи эту бибику опять в домен,
авось поможет

А пробовали убрать юзеров, которым надо входить на сервер, из группы Domain Users (которая для них наверно основная) и ввести их в группу Print Operators?

пардон, невнимательно прочёл...
local policy => Назначение прав пользователя => Доступ к компьютеру из сети = ?
local policy => Назначение прав пользователя => Отказать в доступе к компьютеру из сети = ?

Fighter

local policy => Назначение прав пользователя => Доступ к компьютеру из сети = Нужные пользователи
local policy => Назначение прав пользователя => Отказать в доступе к компьютеру из сети = Никого нет


Докопался до того что локальные политики не могут обновлятся
команда : secedit /refreshpolicy machine_policy /enforce
выдает ошибку в логах:

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1000
Дата: 22.12.2004
Время: 16:49:04
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVERNAME
Описание:
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

у-у-у...
локальный вход энтим пользователям как я понимаю тоже заказан?
Теперь он никого непускает не в терминальную ссессию, не в шары

Докопался до того что локальные политики не могут обновлятся
gpresult что говорит?

что касается ошибки то она скорее всего не единственная и в журнале скорее всего
есть еще как минимум одна на которую собственно и ссылается сообщение...
навскидку можно предположить что причина кроется в неправильно установленых правах
доступа к папке %SystemRoot%\Winnt\Sysvol или для параметра
«Обход перекрестной проверки назначения прав пользователей»
указаны неправильные группы пользователей.

%SystemRoot%\Winnt\Sysvol
Администраторы: полный доступ
Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки
Создатель-владелец: никакие права не установлены явно
Операторы сервера: чтение, чтение и выполнение, список содержимого папки
Система: полный доступ

%SystemRoot%\Winnt\Sysvol\Sysvol\Имя_домена\Policies
Администраторы: полный доступ
Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки
Создатель-владелец: никакие права не установлены явно
Владельцы-создатели групповой политики: чтение, чтение и выполнение, список содержимого папки, изменение, запись
Операторы сервера: чтение, чтение и выполнение, список содержимого папки
Система: полный доступ

Обход перекрестной проверки.
Прошедшие проверку
Все
Администраторы

опять таки всего лишь предположения, более точную причину события можно будет определить только
после более детальной инф.

а что пишут здесь:
%SystemRoot%\security\logs\winlogon.log

Там 2 режима фунициклирования сервера терминалов:
- Administrative mode(могут подключаться только 2 администартора)
- Aplication mode(могут на серваке работать юзера)

У тебя стоит первый. Переведи в Aplication mode. Он будет рабоать 90 дней. Чтобы убрать ограничение нужно ставить Лицензирование служб терминалов и лицензировать юзеров на нем. Это отдельная прога, не идущая в комплекте с виндой...

Там 2 режима фунициклирования сервера терминалов: - Administrative mode(могут подключаться только 2 администартора)
- Aplication mode(могут на серваке работать юзера)
До перевода в домен сервер работал в режиме Aplication mode.
Разве он мог поменять этот режим при вводе в домен?

2aleha и Lex1978
может я чего то не понял но,
тогда объясните господа эту фразу:
Теперь он никого непускает не в терминальную ссессию, не в шары

повторю вопрос:
локально, пользователь (у которого нет доступа в терминал, и к шарам) может войти на сервер?

До перевода в домен сервер работал в режиме Aplication mode.
Разве он мог поменять этот режим при вводе в домен?
не мог.

2Lex1978
Это отдельная прога, не идущая в комплекте с виндой...
а это тогда что?
%SystemRoot%\system32\licmgr.exe

Помогло

>>Staks:

>>выведи бибику из сети,
>>на PDC снеси этот комп (в управлении юзерами AD),
>>введи эту бибику опять в домен,
>>авось поможет

Такая идея приходила в голову самому, хотелось разобраться досконально, но ...

Вообщем вывел я его из домена и анинсталил терминальный сервер, и все равно компьютер упорно не пускал локально пользователей кроме админа. Потом ввел обратно в домен, поставил терминалку и о чудо - все работает. Пускает всех кого надо и политики все применяются.

Так что тему можно закрывать. :)

Потом ввел обратно в домен, поставил терминалку и о чудо - все работает. Пускает всех кого надо и политики все применяются.


Следующим шагом ставь Citrix... =)))