Windows Server 2012 R2 Черный экран у пользователей
 

Добрый день всем!!! ОС Windows Server 2012 R2 Standart удаленный сервер всего где то 25 пользователей в домене и работают через rdp удаленно...
Проблема в следующем что все пользователи Администраторы домена, а если любого из них (либо создать нового) сделать пользователем то при входе у юзера "черный экран" с возможностью обращения к диспетчеру задач и ничего не помогает... но как только добавляешь пользователю в список администратора любого, заходит отлично!!! (Уберешь админа в правах ЧЕРНЫЙ ЭКРАН).!! Может кто сталкивался с данной проблемой? Помогите пожалуйста!!! все перепробовали...

Черный экран у всех категорий пользователей кроме чистых Администраторов и тех где добавлена группа Администраторы...

rayfoks, какие ошибки в журналах событий при неудачной попытке входа?

Добрый день!
Аудит не настраивается на вход пользователей ставишь галки отказ и успех. они через время исчезают и в Безопасности не отображаются события входа

rayfoks, убедитесь, что в локальную группу Пользователи добавлена доменная группа Domain Users (Пользователи домена).

Petya V4sechkin,
Судя по симптомам - сервак является КД - так что локальных груп точно нет.
rayfoks,
На 2012 совместить полноценно КД и ТС - несколько затруднительно(с точки зрения мелкомягких - невозможно). А то что обычно применяют как костыли приводит к проблемам с правами на запуск обычного шелла под неадминискими правами и тому подобному...
Но если руками внести записи в реестр аналогичные публикации explorer как RemoteApp то проблему можно обойти.

Petya V4sechkin, Доброе утро. Да, сервак КД и сервер 1С. На данный момент все пользователи админы(
Если вы знаете как исправить... и где именно подправить пользователям explorer в реестре. Помогите пожалуйста.!!

Не в безопасности ищите.
Просмотр событий -> Журналы Windows -> разделы Приложение и Система -> ошибки при попытке входа.

Petya V4sechkin, при входе пользователя у которого нет админа В журнале система:
1)Параметры групповой политики для этого пользователя обработаны успешно. Были обнаружены и применены новые параметры из 1 объектов групповой политики.
В приложения:
1) Диспетчер окон рабочего стола завершил работу с кодом (0xd00002fe)
и
2) Система Windows обнаружила, что файл реестра все еще используется другими приложениями или службами. Файл будет выгружен, после чего приложения или службы, которые его используют, могут начать работать неправильно. Действий от пользователя не требуется.

ПОДРОБНО:
1 user registry handles leaked from \Registry\User\S-1-5-21-2756268297-683041524-1493559110-2144:
Process 2844 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-2756268297-683041524-1493559110-2144\Printers\DevModePerUser

Рабочий стол загружается только у Администратора, Администратора домена, Администратора предприятия... У всех остальных после загрузки черный экран вместа рабочего стола с работающим диспетчером задач и все... ставишь админа рабочий стол на месте!

Ну вот видите, ошибку привели и сразу находим статью:
RDP Session immediately terminates after logon with normal (non-admin) user

Petya V4sechkin, спасибо за статью!
... то есть их нужно в Панель управления\Все элементы панели управления\Учетные записи пользователей прописать???

Petya V4sechkin, статья не имеет ни малейшего отношения к ситуации описанной топикстартером - так как вышейказанный сервак КД(контроллер домена) под управлением Windows Server 2012...
И поэтому выполнить рекомендацию "You need to add your users to the local ‘Direct Access Users’ group" из статьи невозможно.

y--, Да это так, статья не спасает... Пользователи в AD.
Может кто встречал подобный случай?? Люди добрые..
Petya V4sechkin написал про правку ручками в Реестре Explorer.exe???

y--, вообще по этой статье добавить в локальную группу таки можно (через командную строку). Там для примера Remote Desktop Users.

Petya V4sechkin
тогда от печки - по политике этого форума ответов может быть всего два:
- переустановка сервера на Win2008, на котором допускается развертывание КД и ТС на одной машине
- разнесение КД и ТС на разные машины(можно виртуальные)
Все остальное сильно зависимо от того, какой именно из способов обхода микрософтовских программных ограничений на установку КД и ТС, был применен и законно ли применение(насколько помню незаконные вещи здесь не обсуждаются).

y--, Petya V4sechkin, все проделал по статье. взял рандомного пользователя у которого пользователь, пользователь домена, и пользователь удаленного раб стола в группах и убран администратор... в политике в разделе разрешить пользоваться добавил пользователи уд. раб стола и для точности самого пользователя впихнул туда... пробую, результат тот же черный экран!!!! хоть ты тресни..
Причем не выдается сообщение как на 2008 сервере о том что администраторы и бла бла просто после прогрузки и применения настроек и подготовки раб стола черный экран и все... смотрю под админом - пользователь висит в списке активный но без проводника и прог которые должны грузиться после входа.... Ставишь администратора ему... все четко

y--, Petya V4sechkin, на 2008 r2 вся эта операция описанная в статье работает, рабочий стол грузит под пользователем AD через RDP... Я понимаю что можно начинать переезжать... но все же как докопаться до истины???

rayfoks
я уже писал ранее - не хватает прав на запуск шелла.
Как именно делается "закат солнца вручную" на Win2012 можно найти в нете - здесь на форуме это не обсуждаемо.

y--, хоть это и неподдерживаемый сценарий, но разве лицензия его запрещает?

rayfoks, команды:
что выдают?

в Petya V4sechkin, net localgroup "Remote Desktop Users" не существует...
net localgroup "Пользователи удаленного рабочего стола" и там Мой пользователь в списке присутствует!!! "Direct Access Users" тоже не существует, есть DirectAccess и там пусто, но член групп админстраторы.

Тут я заблуждался, как оказалось, net localgroup на КД оперирует не локальными, а доменными группами. Это нормально и не является причиной проблемы. То есть, в данном случае команда равносильна добавлению в группу "Пользователи удаленного рабочего стола" в оснастке ADUC (и нет необходимости в командной строке).
Далее, группа "Direct Access Users", по-видимому, есть только в Citrix и никак не относится к проблеме.

Прочитал EULA: там нет запрета совмещения КД и ТС.

Мне тоже прям любопытно, спортивный интерес (притом, что сценарий неподдерживаемый и т. д.).
Вот y-- что-то знает, но не говорит.

В принципе, можно сделать лог Process Monitor при попытке входа и проанализировать на предмет ошибок ACCESS DENIED.

Petya V4sechkinя уж намекал вроде: rayfoks - какой конкретно способ обхода ограничений для одновременного развертывания КД и ТС был применен?
От этого зависит очень многое - в частности возможен ли публичный ответ или только в личку...

Тоже на некоторых компах возникал черный экран во время сессии RDP.
Помогло отключение протокола UDP по порту 3389 в брандмауэре.