Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Проблема подключения к серверу терминалов в win 2003 enterprise edition (http://forum.oszone.net/showthread.php?t=50420)

ColdZero 14-06-2005 16:53 332734

Проблема подключения к серверу терминалов в win 2003 enterprise edition
 
Привествую всех!
Господа подскажите плиз, что делаю не так или где искать баг?

Система - win 2003 enterprise with SP1
Развернута AD. Установлен Сервер терминалов. Установлен сервер лицензий.

Задача: подключится клиенту к серверу терминалов.

Действия предпринимаемые мной для достижения цели: Создаю пользователя в AD. Добавляю его в группу "пользователей удаленого рабочего стола"

Результат: При попытке подключиться клиентом к серваку вылетает следующее сообщение:
"Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение. Если вы не являетесь членом группы пользователей удаленного рабочего стола или другой группы, имеющей такое разрешение, нужно предоставить это разрешение вручную".

Попытки исправления косяка и полученный результат:
Захожу в "настройка служб терминалов", смотрю свойства RDP-Tcp подключения. На вкладке "разрешения" эта долбанная группа присутствует.
Делаю два варианта:
1. С клиента захожу на сервак администратором - пускает
2. В прямую добавляю на вкладке "разрешения" пользователя и даю ему права, такие же, какими обладает группа "пользователей удаленного рабочего стола" - захожу клиентом - пускает!

Народ что я делаю не так и где???
Добавлять каждый раз пользователей в соединение RDP-Tcp - я думаю не правильно! Для чего тогда нужна группа удаленного рабочего стола?

Как решить сею задачу?

Заранее благодарен!

ColdZero 15-06-2005 11:04 333004

Ну что? Никто чтоль ничего не знает???

Fighter 15-06-2005 11:23 333010

ColdZero
Цитата:

Ну что? Никто чтоль ничего не знает???
вряд ли подначивание в плане кто чего знает/незнает поможет решить вашу проблему
проверьте лучше
Цитата:

Разрешение входа в систему через службы терминалов
Описание
Эта настройка безопасности определяет, каким пользователям и группам разрешается входить в систему в качестве клиента служб терминалов.
По умолчанию
На рабочих станциях и серверах: «Администраторы», «Пользователи удаленного рабочего стола».
На контроллерах домена: «Администраторы».
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.

XPurple 15-06-2005 11:24 333012

Пользователь должен входить по крайней мере в группу, которой разрешен локальный вход в систему.

ColdZero 15-06-2005 15:22 333234

Цитата:
вряд ли подначивание в плане кто чего знает/незнает поможет решить вашу проблему
проверьте лучше
Цитата:
Разрешение входа в систему через службы терминалов
Описание
Эта настройка безопасности определяет, каким пользователям и группам разрешается входить в систему в качестве клиента служб терминалов.
По умолчанию
На рабочих станциях и серверах: «Администраторы», «Пользователи удаленного рабочего стола».
На контроллерах домена: «Администраторы».
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.

Заранее извиняюсь! Но пока не написал, никто и не ответил.
За ваш ответ спасибо. Попробую сделать так, как вы посоветовали.
Но я эту проблему решил следующим образом (хотя мне не понравилось так решать проблему):
я создал группу пользователей, назначил им права, которые имеет группа «Пользователи удаленного рабочего стола», добавил эту группу в RTD и создал в этой группе пользователя - все прошло. Клиент нормально соединился с сервером терминалов и нормально отработал.

Schwedoff 15-06-2005 15:25 333235

По-моему, нужно просто добавить необходимых пользователей в локальную группу Remote Desktop Users терминального сервера.

ColdZero 15-06-2005 15:35 333240

to Schwedoff:

Если вы не в курсе, то Remote Desktop Users в русифицированной windows 2003 переводится как «Пользователи удаленного рабочего стола». Соответственно читайте мое первое собщение о проблеме...

Schwedoff 15-06-2005 15:54 333250

Ты бы все-таки локальные политики посмотрел. Какие группы пользователей имеют доступ к серверу посредством Терминальной службы.
Русифицированный Путь к нему указан в предыдущих сообшениях.

Создавать какие-либо свои клоны, если есть штатные и они работают (поверь), особого смысла нет.

Группа ПУРС специально создана для обеспечения такого рода доступа. Скорее всего локальные политики препятствуют изначальному поведению данной группы.

Schwedoff 15-06-2005 15:55 333251

Ничего, что я на "ты" - ничего личного - просто помочь охото.
а вот об этом уже в личке, здесь не чат в конце концов

ColdZero 15-06-2005 16:00 333252

to Schwedoff
Все нормально - это я про "на ты"
Возможно, проблема заключается в том, что у меня контроллер домена и надо искать в настройках безопсности, буду смотреть, как написал Fighter
Как решу - сразу сообщю.

Schwedoff 15-06-2005 16:25 333258

Есть правило одно - не устанавливать терминальную службу на контроллер домена.

Спинным мозгом чувствую - политики безопасности...

Fighter 15-06-2005 16:40 333270

ColdZero
интересный факт
M$ почему то советует исключительно Add users to the Remote Desktop Users group
оно и понятно
если АД нет и группа
Цитата:

локальная встроенная
Группа безопасности, которой могут быть предоставлены права и разрешения на доступ к ресурсам только того компьютера, на котором она создана. Локальные группы могут включать в качестве членов учетные записи любых пользователей данного компьютера, а также пользователей, групп и компьютеров домена, к которому этот компьютер принадлежит.
но ведь при создании АД
группа «Пользователи удаленного рабочего стола»=Remote Desktop Users
должна иметь
Цитата:

локальная в домене
Группа безопасности или распространения, которая может содержать универсальные и глобальные группы, локальные группы других доменов из собственного домена и учетные записи из любого домена в лесе. Локальные группы безопасности домена могут обладать правами и разрешениями на доступ к ресурсам, находящимся только в том же домене, что и локальная группа.

Члены групп с локальной доменной областью действия могут включать другие группы и учетные записи из доменов Windows Server 2003, Windows 2000 или Windows NT, и им могут быть предоставлены разрешения только внутри домена.
увы, проверить сий факт нет возможности, данная группа отсутствует
может чего пропускаю, поправьте

ralfeus 16-12-2005 12:13 383725

Вопрос по этой же теме. Имею контроллер домена. Нужно организовать терминальный доступ к нему пользователя, который админом домена не является, но заходить на контроллер должен (типа локальный саппорт). В политике для того контроллера (вынесен в отдельный OU) указываю группу (Local Server Operators), которая имеет право на локальный вход, вход через службу терминалов. Включаю юзера в эту группу. При попытке входа получаю такое же сообщение: "Чтобы выполнить вход на этот удаленный компьютер...." Включаю юзера в группу Remote desktop users. Все работает. Убираю группу Local Server Operators из политики. Все равно работает. Мой вывод - эта политика (Allow log on through terminal services) вообще не работает. Это не очень радует. Что можно сделать?

kirkir 20-12-2005 17:33 385127

ColdZero
Все очень просто при развертывание на Terminal Servire Active Directory подключаться к терминал сервиру могут только администраторы или надо че-то правит в политиках.

Язык общения на Конференции - русский.
Настоятельно рекомендую обратить внимание на орфографию и пунктуацию в Ваших сообщениях.

Mr_Kotyara2011 11-01-2011 09:43 1585900

ответьте простым языком: как избавиться от этого сообщения "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение. Если вы не являетесь членом группы пользователей удаленного рабочего стола или другой группы, имеющей такое разрешение, нужно предоставить это разрешение вручную". и подключиться наконец к раб. столу при условии что всё разрешено и политика в норме.

Angry Demon 11-01-2011 10:44 1585934

Цитата:

Цитата Mr_Kotyara2011
столу при условии что всё разрешено и политика в норме

Значит, не "всё разрешено" или политика не "в норме".
Ибо, чудес не бывает.

Mr_Kotyara2011 13-01-2011 02:52 1587410

Не серьёзно :( всё проверил политика в норме разрешено всё :( я даже пользователей по всем группам раскидал и каждой группе разрешение дал всё равно это сообщение выплывает :(

Angry Demon 13-01-2011 09:47 1587495

Цитата:

Цитата Mr_Kotyara2011
Не серьёзно

Более, чем серьёзно.

Цитата:

Цитата Mr_Kotyara2011
политика в норме

Что вы под этим подразумеваете?

monkkey 13-01-2011 10:53 1587570

Пользователям терминала необходимо дать право ЛОКАЛЬНОГО входа на сервер терминалов.

Mr_Kotyara2011 18-01-2011 05:30 1591186

У них есть право локального входа на сервер терминалов. Мои пользователи находятся в группе пользователи которая насколько я знаю разрешает локальный вход, в группе пользователи удалённого рабочего стала и в группе администраторы.

AkP 18-01-2011 09:18 1591247

Вложений: 2
Цитата:

Цитата Mr_Kotyara2011
У них есть право локального входа на сервер терминалов. Мои пользователи находятся в группе пользователи которая насколько я знаю разрешает локальный вход, в группе пользователи удалённого рабочего стала и в группе администраторы. »

Как то сумбурно написано, очень сложно понять что здесь имеется в виду...

Так или иначе, существует несколько способов предоставить пользователям права входа на сервер терминалов:

1.
"Панель управления"->"Администрирование"->"Настройка служб терминалов" (или "Пуск"->"выполнить"->tscc.msc)

далее в появившемся окошке "подключения"->"RDP-Tcp"->"Свойства"

в окне свойств RDP-Tcp вкладка "разрешения"

Здесь надо добавить группу (желательно доменную) пользователей которые будут иметь право подключаться к серверу по rdp

пользователи добавленные здесь с правами "доступ пользователя", будут иметь обычные права пользователя на данном сервере их не нужно добавлять в локальную группу пользователей или производить вообще какие-либо дополнительные действия
желательно использовать доменные группы, а не локальные или встроенные.
(см. 1.jpg)

2.
"Мой компьютер"->"управление" (или "Пуск"->"выполнить"->compmgmt.msc)

далее "служебные программы"->"локальные пользователи и группы"->"группы"

выбрать "пользователи удаленного рабочего стола" и добавить в данную группу пользователей или группу пользователей, которым будет разрешен доступ по rdp

по умолчанию "пользователи удаленного рабочего стола" имеют доступ пользователя, так что дополнительных действий производить больше не надо

Способ подходит для использования в рабочих группах, в случае наличия домена, следует использовать способ 1.

(см. 2.jpg)
----

Следует избегать использование учетных записей пользователей, а использовать для добавления группу, в не зависимости от того, будете вы использовать локальные или доменные записи, добавлять их в группу пользователей удаленного рабочего стола или добавлять группу в настройках служб терминалов.

----

Если после проделывания вышеописанного, вы по прежнему видете сообщение: "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов", то необходимо проверить, не запрещен ли пользователю вход на серверы терминалов в принципе (если есть АД):

Для этого на контроллере домена, либо с любого другова места, где установлены утилиты администрирования, запустите оснастку "пользователи и компьютеры"
"Панель управления"->"Администрирование"->"Active Directory - пользователи и компьютеры" (или "Пуск"->"выполнить"->dsa.msc)

Здесь найдите вашего пользователя и в свойствах на вкладке "Профиль служб терминалов" проверьте отсутствие "Запретить этому пользователю вход на серверы терминалов" (в самом низу над кнопкой "Ок" есть чекбокс)



еще запрет устанавливается в локальных политиках безопасности (возможно распространение данного параметра через ГП)
В не зависимости от способа распространения необходимо убедится в отсутствии запрета

на локальном компьютере:

"Панель управления"->"Администрирование"->"Локальная политика безопасности" (или "Пуск"->"выполнить"->secpol.msc)
здесь "локальные политики"->"назначение прав пользователя"
параметр "запретить вход в систему через службу терминалов"

или

через "редактор объектов групповой политики" (gpedit.msc)
"Конфигурация компьютера"->"Конфигурация Windows"->"параметры безопасности"->"локальные политики"->"назначение прав пользователя"
параметр "запретить вход в систему через службу терминалов"


если явный запрет распространяется через ГП, то

на контроллере домена, либо с любого другова места, где установлены утилиты администрирования
"Панель управления"->"Администрирование"->"Group Policy Management" (или "Пуск"->"выполнить"->gpmc.msc)
"Конфигурация компьютера"->"Конфигурация Windows"->"параметры безопасности"->"локальные политики"->"назначение прав пользователя"
параметр "запретить вход в систему через службу терминалов"


Если явного запрета не обнаружено, а сообщение "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов" все еще появляется, то внимательно проделайте все еще раз, чтобы найти то что было упущено, так как описанные 2 варианта полностью работоспособны без дополнительных действий.

Angry Demon 18-01-2011 09:36 1591257

Цитата:

Цитата AkP
"Мой компьютер"->"управление" (или "Пуск"->"выполнить"->compmgmt.msc)

Не проще сразу Пуск -> Выполнить -> lusrmgr.msc ? ;)


Время: 15:44.

Время: 15:44.
© OSzone.net 2001-