Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Терминальный сервер w2k кроме Администраторов никого не пускает ? (http://forum.oszone.net/showthread.php?t=42818)

aleha 21-12-2004 15:40 282091

Терминальный сервер w2k кроме Администраторов никого не пускает ?
 
Сервер был в рабочей группе, затем его ввели в домен.
Теперь он никого непускает не в терминальную ссессию, не в шары,
кроме!!! Администратора. Во время авторизации клиента (в терминальной ссесии) появляется окно "Ограничения вашей учетной записи запрещают вход в систему с данного компьютера. Используйте другой компьютер."

В домене, в ученой записи, стоит птичка на доступ к терминальному серверу,
и разреншено входить на любой компьютер домена.

Пользователи в нужных группах, в локальных политиках сервера доступ к из сети этому пользователю разрешил.

Сервер лицензий не ставил и не авторизировал.(В рабочей группе работало без всего этого). Да и непохоже что дело в этом.

В чем грабли????

Fighter 21-12-2004 17:36 282125

Настройка служб терминалов => Подключения => RDP-Tcp => Разрешения

aleha 21-12-2004 19:16 282153

>>Настройка служб терминалов => Подключения => RDP-Tcp => Разрешения

Эти разрешения выставлены.

Пользователи не могут получить доступ вообще к компьютеру.

Пользователи члены локальной группы админов - могут!

Staks 21-12-2004 20:07 282166

выведи бибику из сети,
на PDC снеси этот комп (в управлении юзерами AD),
введи эту бибику опять в домен,
авось поможет

SergOst 21-12-2004 22:40 282206

А пробовали убрать юзеров, которым надо входить на сервер, из группы Domain Users (которая для них наверно основная) и ввести их в группу Print Operators?

Fighter 22-12-2004 09:55 282307

пардон, невнимательно прочёл...
local policy => Назначение прав пользователя => Доступ к компьютеру из сети = ?
local policy => Назначение прав пользователя => Отказать в доступе к компьютеру из сети = ?

aleha 22-12-2004 18:08 282440

Fighter

local policy => Назначение прав пользователя => Доступ к компьютеру из сети = Нужные пользователи
local policy => Назначение прав пользователя => Отказать в доступе к компьютеру из сети = Никого нет


Докопался до того что локальные политики не могут обновлятся
команда : secedit /refreshpolicy machine_policy /enforce
выдает ошибку в логах:

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1000
Дата: 22.12.2004
Время: 16:49:04
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVERNAME
Описание:
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

Fighter 23-12-2004 10:16 282611

у-у-у...
локальный вход энтим пользователям как я понимаю тоже заказан?
Цитата:

Теперь он никого непускает не в терминальную ссессию, не в шары
Цитата:

Докопался до того что локальные политики не могут обновлятся
gpresult что говорит?

что касается ошибки то она скорее всего не единственная и в журнале скорее всего
есть еще как минимум одна на которую собственно и ссылается сообщение...
навскидку можно предположить что причина кроется в неправильно установленых правах
доступа к папке %SystemRoot%\Winnt\Sysvol или для параметра
«Обход перекрестной проверки назначения прав пользователей»
указаны неправильные группы пользователей.

%SystemRoot%\Winnt\Sysvol
Администраторы: полный доступ
Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки
Создатель-владелец: никакие права не установлены явно
Операторы сервера: чтение, чтение и выполнение, список содержимого папки
Система: полный доступ

%SystemRoot%\Winnt\Sysvol\Sysvol\Имя_домена\Policies
Администраторы: полный доступ
Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки
Создатель-владелец: никакие права не установлены явно
Владельцы-создатели групповой политики: чтение, чтение и выполнение, список содержимого папки, изменение, запись
Операторы сервера: чтение, чтение и выполнение, список содержимого папки
Система: полный доступ

Обход перекрестной проверки.
Прошедшие проверку
Все
Администраторы

опять таки всего лишь предположения, более точную причину события можно будет определить только
после более детальной инф.

а что пишут здесь:
%SystemRoot%\security\logs\winlogon.log

Lex1978 24-12-2004 08:41 282877

Там 2 режима фунициклирования сервера терминалов:
- Administrative mode(могут подключаться только 2 администартора)
- Aplication mode(могут на серваке работать юзера)

У тебя стоит первый. Переведи в Aplication mode. Он будет рабоать 90 дней. Чтобы убрать ограничение нужно ставить Лицензирование служб терминалов и лицензировать юзеров на нем. Это отдельная прога, не идущая в комплекте с виндой...

aleha 24-12-2004 10:03 282906

Цитата:

Там 2 режима фунициклирования сервера терминалов: - Administrative mode(могут подключаться только 2 администартора)
- Aplication mode(могут на серваке работать юзера)
До перевода в домен сервер работал в режиме Aplication mode.
Разве он мог поменять этот режим при вводе в домен?

Fighter 24-12-2004 11:50 282930

2aleha и Lex1978
может я чего то не понял но,
тогда объясните господа эту фразу:
Цитата:

Теперь он никого непускает не в терминальную ссессию, не в шары
повторю вопрос:
локально, пользователь (у которого нет доступа в терминал, и к шарам) может войти на сервер?

Цитата:

До перевода в домен сервер работал в режиме Aplication mode.
Разве он мог поменять этот режим при вводе в домен?
не мог.

2Lex1978
Цитата:

Это отдельная прога, не идущая в комплекте с виндой...
а это тогда что?
%SystemRoot%\system32\licmgr.exe

aleha 26-01-2005 09:51 292208

Помогло

>>Staks:

>>выведи бибику из сети,
>>на PDC снеси этот комп (в управлении юзерами AD),
>>введи эту бибику опять в домен,
>>авось поможет

Такая идея приходила в голову самому, хотелось разобраться досконально, но ...

Вообщем вывел я его из домена и анинсталил терминальный сервер, и все равно компьютер упорно не пускал локально пользователей кроме админа. Потом ввел обратно в домен, поставил терминалку и о чудо - все работает. Пускает всех кого надо и политики все применяются.

Так что тему можно закрывать. :)

Tim236 26-01-2005 16:50 292351

Цитата:

Потом ввел обратно в домен, поставил терминалку и о чудо - все работает. Пускает всех кого надо и политики все применяются.
Следующим шагом ставь Citrix... =)))


Время: 18:13.

Время: 18:13.
© OSzone.net 2001-