Проблема подключения к серверу терминалов в win 2003 enterprise edition
 

Привествую всех!
Господа подскажите плиз, что делаю не так или где искать баг?

Система - win 2003 enterprise with SP1
Развернута AD. Установлен Сервер терминалов. Установлен сервер лицензий.

Задача: подключится клиенту к серверу терминалов.

Действия предпринимаемые мной для достижения цели: Создаю пользователя в AD. Добавляю его в группу "пользователей удаленого рабочего стола"

Результат: При попытке подключиться клиентом к серваку вылетает следующее сообщение:
"Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение. Если вы не являетесь членом группы пользователей удаленного рабочего стола или другой группы, имеющей такое разрешение, нужно предоставить это разрешение вручную".

Попытки исправления косяка и полученный результат:
Захожу в "настройка служб терминалов", смотрю свойства RDP-Tcp подключения. На вкладке "разрешения" эта долбанная группа присутствует.
Делаю два варианта:
1. С клиента захожу на сервак администратором - пускает
2. В прямую добавляю на вкладке "разрешения" пользователя и даю ему права, такие же, какими обладает группа "пользователей удаленного рабочего стола" - захожу клиентом - пускает!

Народ что я делаю не так и где???
Добавлять каждый раз пользователей в соединение RDP-Tcp - я думаю не правильно! Для чего тогда нужна группа удаленного рабочего стола?

Как решить сею задачу?

Заранее благодарен!

Ну что? Никто чтоль ничего не знает???

ColdZero
вряд ли подначивание в плане кто чего знает/незнает поможет решить вашу проблему
проверьте лучше

Пользователь должен входить по крайней мере в группу, которой разрешен локальный вход в систему.

Цитата:
вряд ли подначивание в плане кто чего знает/незнает поможет решить вашу проблему
проверьте лучше
Цитата:
Разрешение входа в систему через службы терминалов
Описание
Эта настройка безопасности определяет, каким пользователям и группам разрешается входить в систему в качестве клиента служб терминалов.
По умолчанию
На рабочих станциях и серверах: «Администраторы», «Пользователи удаленного рабочего стола».
На контроллерах домена: «Администраторы».
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.

Заранее извиняюсь! Но пока не написал, никто и не ответил.
За ваш ответ спасибо. Попробую сделать так, как вы посоветовали.
Но я эту проблему решил следующим образом (хотя мне не понравилось так решать проблему):
я создал группу пользователей, назначил им права, которые имеет группа «Пользователи удаленного рабочего стола», добавил эту группу в RTD и создал в этой группе пользователя - все прошло. Клиент нормально соединился с сервером терминалов и нормально отработал.

По-моему, нужно просто добавить необходимых пользователей в локальную группу Remote Desktop Users терминального сервера.

to Schwedoff:

Если вы не в курсе, то Remote Desktop Users в русифицированной windows 2003 переводится как «Пользователи удаленного рабочего стола». Соответственно читайте мое первое собщение о проблеме...

Ты бы все-таки локальные политики посмотрел. Какие группы пользователей имеют доступ к серверу посредством Терминальной службы.
Русифицированный Путь к нему указан в предыдущих сообшениях.

Создавать какие-либо свои клоны, если есть штатные и они работают (поверь), особого смысла нет.

Группа ПУРС специально создана для обеспечения такого рода доступа. Скорее всего локальные политики препятствуют изначальному поведению данной группы.

Ничего, что я на "ты" - ничего личного - просто помочь охото.
а вот об этом уже в личке, здесь не чат в конце концов

to Schwedoff
Все нормально - это я про "на ты"
Возможно, проблема заключается в том, что у меня контроллер домена и надо искать в настройках безопсности, буду смотреть, как написал Fighter
Как решу - сразу сообщю.

Есть правило одно - не устанавливать терминальную службу на контроллер домена.

Спинным мозгом чувствую - политики безопасности...

ColdZero
интересный факт
M$ почему то советует исключительно Add users to the Remote Desktop Users group
оно и понятно
если АД нет и группа
но ведь при создании АД
группа «Пользователи удаленного рабочего стола»=Remote Desktop Users
должна иметь
увы, проверить сий факт нет возможности, данная группа отсутствует
может чего пропускаю, поправьте

Вопрос по этой же теме. Имею контроллер домена. Нужно организовать терминальный доступ к нему пользователя, который админом домена не является, но заходить на контроллер должен (типа локальный саппорт). В политике для того контроллера (вынесен в отдельный OU) указываю группу (Local Server Operators), которая имеет право на локальный вход, вход через службу терминалов. Включаю юзера в эту группу. При попытке входа получаю такое же сообщение: "Чтобы выполнить вход на этот удаленный компьютер...." Включаю юзера в группу Remote desktop users. Все работает. Убираю группу Local Server Operators из политики. Все равно работает. Мой вывод - эта политика (Allow log on through terminal services) вообще не работает. Это не очень радует. Что можно сделать?

ColdZero
Все очень просто при развертывание на Terminal Servire Active Directory подключаться к терминал сервиру могут только администраторы или надо че-то правит в политиках.

Язык общения на Конференции - русский.
Настоятельно рекомендую обратить внимание на орфографию и пунктуацию в Ваших сообщениях.

ответьте простым языком: как избавиться от этого сообщения "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение. Если вы не являетесь членом группы пользователей удаленного рабочего стола или другой группы, имеющей такое разрешение, нужно предоставить это разрешение вручную". и подключиться наконец к раб. столу при условии что всё разрешено и политика в норме.

Значит, не "всё разрешено" или политика не "в норме".
Ибо, чудес не бывает.

Не серьёзно :( всё проверил политика в норме разрешено всё :( я даже пользователей по всем группам раскидал и каждой группе разрешение дал всё равно это сообщение выплывает :(

Более, чем серьёзно.

Что вы под этим подразумеваете?

Пользователям терминала необходимо дать право ЛОКАЛЬНОГО входа на сервер терминалов.

У них есть право локального входа на сервер терминалов. Мои пользователи находятся в группе пользователи которая насколько я знаю разрешает локальный вход, в группе пользователи удалённого рабочего стала и в группе администраторы.

Как то сумбурно написано, очень сложно понять что здесь имеется в виду...

Так или иначе, существует несколько способов предоставить пользователям права входа на сервер терминалов:

1.
"Панель управления"->"Администрирование"->"Настройка служб терминалов" (или "Пуск"->"выполнить"->tscc.msc)

далее в появившемся окошке "подключения"->"RDP-Tcp"->"Свойства"

в окне свойств RDP-Tcp вкладка "разрешения"

Здесь надо добавить группу (желательно доменную) пользователей которые будут иметь право подключаться к серверу по rdp

пользователи добавленные здесь с правами "доступ пользователя", будут иметь обычные права пользователя на данном сервере их не нужно добавлять в локальную группу пользователей или производить вообще какие-либо дополнительные действия
желательно использовать доменные группы, а не локальные или встроенные.
(см. 1.jpg)

2.
"Мой компьютер"->"управление" (или "Пуск"->"выполнить"->compmgmt.msc)

далее "служебные программы"->"локальные пользователи и группы"->"группы"

выбрать "пользователи удаленного рабочего стола" и добавить в данную группу пользователей или группу пользователей, которым будет разрешен доступ по rdp

по умолчанию "пользователи удаленного рабочего стола" имеют доступ пользователя, так что дополнительных действий производить больше не надо

Способ подходит для использования в рабочих группах, в случае наличия домена, следует использовать способ 1.

(см. 2.jpg)
----

Следует избегать использование учетных записей пользователей, а использовать для добавления группу, в не зависимости от того, будете вы использовать локальные или доменные записи, добавлять их в группу пользователей удаленного рабочего стола или добавлять группу в настройках служб терминалов.

----

Если после проделывания вышеописанного, вы по прежнему видете сообщение: "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов", то необходимо проверить, не запрещен ли пользователю вход на серверы терминалов в принципе (если есть АД):

Для этого на контроллере домена, либо с любого другова места, где установлены утилиты администрирования, запустите оснастку "пользователи и компьютеры"
"Панель управления"->"Администрирование"->"Active Directory - пользователи и компьютеры" (или "Пуск"->"выполнить"->dsa.msc)

Здесь найдите вашего пользователя и в свойствах на вкладке "Профиль служб терминалов" проверьте отсутствие "Запретить этому пользователю вход на серверы терминалов" (в самом низу над кнопкой "Ок" есть чекбокс)



еще запрет устанавливается в локальных политиках безопасности (возможно распространение данного параметра через ГП)
В не зависимости от способа распространения необходимо убедится в отсутствии запрета

на локальном компьютере:

"Панель управления"->"Администрирование"->"Локальная политика безопасности" (или "Пуск"->"выполнить"->secpol.msc)
здесь "локальные политики"->"назначение прав пользователя"
параметр "запретить вход в систему через службу терминалов"

или

через "редактор объектов групповой политики" (gpedit.msc)
"Конфигурация компьютера"->"Конфигурация Windows"->"параметры безопасности"->"локальные политики"->"назначение прав пользователя"
параметр "запретить вход в систему через службу терминалов"


если явный запрет распространяется через ГП, то

на контроллере домена, либо с любого другова места, где установлены утилиты администрирования
"Панель управления"->"Администрирование"->"Group Policy Management" (или "Пуск"->"выполнить"->gpmc.msc)
"Конфигурация компьютера"->"Конфигурация Windows"->"параметры безопасности"->"локальные политики"->"назначение прав пользователя"
параметр "запретить вход в систему через службу терминалов"


Если явного запрета не обнаружено, а сообщение "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов" все еще появляется, то внимательно проделайте все еще раз, чтобы найти то что было упущено, так как описанные 2 варианта полностью работоспособны без дополнительных действий.

Не проще сразу Пуск -> Выполнить -> lusrmgr.msc ? ;)