Разрешение на вход через службу терминалов

| | 0 Comment

Профиль | Сайт | Отправить PM | Цитировать

Привествую всех!
Господа подскажите плиз, что делаю не так или где искать баг?

Система — win 2003 enterprise with SP1
Развернута AD. Установлен Сервер терминалов. Установлен сервер лицензий.

Задача: подключится клиенту к серверу терминалов.

Действия предпринимаемые мной для достижения цели: Создаю пользователя в AD. Добавляю его в группу «пользователей удаленого рабочего стола»

Результат: При попытке подключиться клиентом к серваку вылетает следующее сообщение:
«Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы пользователей удаленного рабочего стола имеют такое разрешение. Если вы не являетесь членом группы пользователей удаленного рабочего стола или другой группы, имеющей такое разрешение, нужно предоставить это разрешение вручную».

Попытки исправления косяка и полученный результат:
Захожу в «настройка служб терминалов», смотрю свойства RDP-Tcp подключения. На вкладке «разрешения» эта долбанная группа присутствует.
Делаю два варианта:
1. С клиента захожу на сервак администратором — пускает
2. В прямую добавляю на вкладке «разрешения» пользователя и даю ему права, такие же, какими обладает группа «пользователей удаленного рабочего стола» — захожу клиентом — пускает!

Народ что я делаю не так и где.
Добавлять каждый раз пользователей в соединение RDP-Tcp — я думаю не правильно! Для чего тогда нужна группа удаленного рабочего стола?

Как решить сею задачу?

——-
Одно неловкое движение и ты — ПАПА!
IT-бизнес двоичен — либо ты 0, либо 1

forum.oszone.net

Разрешить вход в систему через службу удаленных рабочих столов

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Разрешить вход в систему через службу удаленных рабочих столов.

Справочные материалы

Этот параметр политики определяет, какие пользователи или группы имеют право входа в систему удаленного устройства через подключение к службам удаленных рабочих столов. Пользователь может установить подключение служб удаленных рабочих столов к определенному серверу, но не сможет войти в консоль этого сервера.

Возможные значения

Пользовательский список учетных записей

Рекомендации

Чтобы контролировать, какие пользователи могут открывать подключение служб удаленных рабочих столов и входить в систему устройства, добавьте пользователей в группу «Пользователи удаленного рабочего стола» или удалите их из нее.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию члены группы «Администраторы » имеют это право на контроллерах домена, рабочих станциях и серверах. Группа «Пользователи удаленного рабочего стола» также имеет это право на рабочих станциях и серверах.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Политика домена по умолчанию

Политика контроллера домена по умолчанию

Параметры автономного сервера по умолчанию

Действующие параметры контроллера домена по умолчанию

Действующие параметры рядового сервера по умолчанию

Действующие параметры клиентского компьютера по умолчанию

Пользователи удаленного рабочего стола

Управление политикой

В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.

Групповая политика

Чтобы использовать службы удаленных рабочих столов для успешного входа в систему удаленного устройства, пользователь или группа должны входить в группу «Пользователи удаленного рабочего стола» или «Администраторы» и иметь право Разрешить вход в систему через службу удаленных рабочих столов. Пользователь может установить сеанс служб удаленных рабочих столов с определенным сервером, но не сможет войти в консоль этого сервера.

Чтобы исключить пользователей или группы, им можно назначать право пользователя Запретить вход в систему через службу удаленных рабочих столов. Однако при использовании этого способа следует соблюдать осторожность, поскольку могут возникнуть конфликты для зарегистрированных пользователей или групп, которым доступ предоставлен с помощью права Разрешить вход в систему через службу удаленных рабочих столов.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Параметры групповой политики применяются через объект групповой политики (GPO) в указанном ниже порядке, который переопределит параметры на локальном компьютере во время следующего обновления групповой политики.

Параметры локальной политики

Параметры политики сайта.

Параметры политики домена.

Параметры политики подразделений

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Любая учетная запись с правом пользователя Разрешить вход в систему через службу удаленных рабочих столов может использоваться для входа в удаленную консоль устройства. Если это право пользователя не ограничено только зарегистрированными пользователями, которые должны входить в консоль компьютера, неавторизованные пользователи могут скачивать и запускать вредоносные программы, чтобы повысить свой привилегии.

Меры противодействия

На контроллерах домена назначьте право Разрешить вход в систему через службу удаленных рабочих столов только группе «Администраторы». Для остальных ролей сервера и устройств добавьте группу «Пользователи удаленного рабочего стола». На серверах с включенной службой роли узла сеансов удаленных рабочих столов (RD) и не работающих в режиме сервера приложений убедитесь, что в эти группы входят только авторизованные ИТ-специалисты, управляющие компьютерами в удаленном режиме.

На серверах узла сеансов удаленных рабочих столов, работающих в режиме сервера приложений, убедитесь, что учетные записи, входящие в группу «Пользователи удаленного рабочего стола», имеют только пользователи, которым требуется доступ к серверу, так как этой встроенной группе это право входа предоставлено по умолчанию.

Кроме того, право пользователя Запретить вход в систему через службу удаленных рабочих столов можно назначить группам, таким как «Операторы учетных записей», «Операторы сервера» и «Гости». Однако при использовании этого способа следует соблюдать осторожность, так как можно запретить доступ зарегистрированным администраторам, которые также входят в группу, которая имеет право пользователя Запретить вход в систему через службу удаленных рабочих столов.

Возможные последствия

Удаление права пользователя Разрешить вход в систему через службу удаленных рабочих столов из других групп (или изменение членства в этих группах по умолчанию) может ограничить возможности пользователей, принадлежащих к определенным ролям администрирования в вашей среде. Необходимо убедиться в отсутствии негативного влияния на делегированные действия.

technet.microsoft.com

Разрешение на вход через службу терминалов

  • Помечено в качестве ответа Ckunnep 5 октября 2010 г. 13:57
    • Помечено в качестве ответа Ckunnep 5 октября 2010 г. 13:58
    • Все ответы

      Этот сервер выполняет роль контроллера домена?

      Всем огромное спасибо! 😉

      Вопрос: Как теперь вопрос закрыть? Или он так и будет болтаться !

      Возникла новая проблема.

      Подключили к серверу две сетевых 1. Одна — в сеть, 2- Интернет

      Из домена сервер вывели (т.к. конфликтовали ДНС)

      Подняли Роли «Сервер терминалов» (службы «Сервер терминалов» и «Лицензирование»)

      Добавили пользователей в локальной политике «Разрешить вход в систему через службу терминалов»

      Все отлично, все заходят, до сегодняшнего дня.

      Вылезает ошибка «Удаленный вход в систему в настоящее время запрещен.»

      Ай нид хелп плиз 😉

      Выполните на терминальном сервере команду chglogon /enable

    • Предложено в качестве ответа GAOmega 19 июля 2011 г. 7:58
    • Отменено предложение в качестве ответа GAOmega 19 июля 2011 г. 7:58

    что б не начинать новую тему, задам вопрос в этой. добавил локальную группу в «Разрешить вход через службу удаленных рабочих столов», членом этой локальной группы являются другие пользователи (доменные тоже). доступа нет

    Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему.
    —————————
    ОК Справка
    —————————

    пробовал добавлять конкретного пользователя в «Разрешить вход через службу удаленных рабочих столов», то же самое. делал gpupdate /force — без изменений. при добавлении в группу «пользователи удаленного рабочего стола», доступ есть.

    что может быть?? 2008Р2 СП1 терминал, без других ролей.

    social.technet.microsoft.com

    Получите полный доступ к системе HelpDesk, зарегистрировав аккаунт у нашего менеджера

    Заполните заявку!
    если у Вас не работает компьютер, не печатает принтер или закончился картридж.

    Проверьте статус!
    е сли Вы отправляли одну или несколько заявок ранее.

    Службы терминалов Microsoft

    Службы терминалов обеспечивают удаленный доступ к рабочему столу Microsoft® Windows® посредством программного обеспечения «тонкий клиент», позволяющего компьютеру клиента работать в качестве эмулятора терминала. Службы терминалов передают клиенту только пользовательский интерфейс программы. Затем клиент возвращает нажатия клавиш клавиатуры и кнопок мыши для выполнения на сервере. При входе каждый клиент видит только свои сеансы, которые управляются операционной системой сервера и являются независимыми от сеансов других пользователей. Для подключения к компьютеру через службы терминалов, следует использовать программу «Подключение к удаленному рабочему столу» (новый клиент службы терминалов).

    Сервер терминалов использует технологию служб терминалов для эффективного и надежного способа распространения программ для Windows с помощью сервера сети. С использованием сервера терминалов одна точка установки предоставляет нескольким пользователям доступ к рабочему столу компьютера, на котором выполняется одна из операционных систем семейства Microsoft Windows Server™ , где они могут запускать программы, сохранять файлы и использовать сетевые ресурсы. Сервер терминалов по умолчанию не устанавливается. Дополнительные сведения о сервере терминалов см. в разделе Сервер терминалов. (Сервер терминалов не доступен в Windows Server 2003, Web Edition.)

    • Для удаленного администрирования сервера необязательно устанавливать сервер терминалов. По умолчанию устанавливается средство «Администрирование удаленного рабочего стола». Для использования администрирования удаленного рабочего стола необходимо сначала разрешить удаленные подключения. Дополнительные сведения см. в разделе Разрешение и запрещение подключений к удаленному рабочему столу.
    • У сервера терминалов существует собственный метод лицензирования клиентов, подключающихся к серверам терминалов, отличный от метода лицензирования в семействе операционных систем Windows Server. Клиенты должны получить действительную лицензию, выданную сервером лицензий, до разрешения им подключения к серверу терминалов.

      Подключение служб терминалов обеспечивает связь, которую клиенты используют для подключения к сеансу на сервере. Когда службы терминалов установлены, соединение TCP/IP настроено на использование порта 3389. Используя оснастку «Настройка служб терминалов», можно изменять установленные по умолчанию свойства подключения, а также другие параметры, применяющиеся к сеансам служб терминалов.

      Создание и управление учетной записью для определенного компьютера, осуществляется с использованием оснастки «Локальные пользователи и компьютеры», или, для домена компьютеров, с использованием оснастки «Пользователи и компьютеры Active Directory».

      Для просмотра сведений о серверах терминалов, которые расположены на доверенных доменах, может быть использован «Диспетчер служб терминалов». Эта служебная программа используется для наблюдения за пользователями, сеансами и приложениями на каждом сервере терминалов и позволяет выполнять различные действия для управления сервером.

      www.vlpc.ru

      Страна Админа

      Популярно об информационных системах и технологиях

      admin@adminland.ru

      Главное меню

      Поддержите adminland

      Материалы читают десятки тысяч, комментируют просто десятки, а перечислить 10 рублей рука поднимается у единиц.

      За семь месяцев 2018 года набралось уже 20 человек — им персональное спасибо.

      Сумма абсолютно не важна — главное участие.

      Понаблюдал на выходных — у церквей и музыкантам в переходах подают значительно активнее.

      Server 2012 продление тестового периода (grace period) для терминального сервера

      Как известно, терминальный сервер требует лицензии, а если их нет то 120 дней и отключается.

      Но бывают экстеренные ситуации когда необходимо продлить данный период. Благодаря фирме Микрософт такая возможность присутствует. Нужно в разделе реестра:

      HKLM\SYSTEM\CurentControlSet\Control\Terminal Server\RCM\GracePeriod

      удалить все параметры кроме default

      У вас есть еще 120 милостиво предоставленных дней.

      удалил раздел RCM

      Опубликовано 20 августа, 2015 — 10:32 пользователем manager

      По ошибке был удален раздел RCM.
      Служба удаленных рабочих столов запускается, порт 3389 отвечает на telnet, но подключится по RDP невозможно.
      Что делать?

      восстанавливаем \Control\Terminal Server\RCM

      Опубликовано 20 августа, 2015 — 10:37 пользователем manager

      Хорошей практикой является экспортирование разделов реестра перед их изменением.

      Но в данном случае не все потеряно.

      Создайте вручную раздел RCM там где он был раньше HKLM\SYSTEM\CurentControlSet\Control\Terminal Server

      Добавьте в разрешения для раздела RCM учетную запись службы удаленных рабочих столов NT SERVICE\TermService

      Перезагружать не надо, терминальный доступ должен сразу появится.

      А у меня показывает только 1

      Опубликовано 19 декабря, 2017 — 16:14 пользователем m1h3y (не проверено)

      А у меня показывает только 1 файл и удалить его нельзя
      или данную операцию можно проделать только по истечении 120 дней?

      во-первых важна правильная

      Опубликовано 21 декабря, 2017 — 10:06 пользователем manager

      во-первых важна правильная терминология, в реестре не файлы, а параметры

      в вашем случае нужно удалить параметр L$RTMTIMEBOMB
      удалять его можно в любой момент, не дожидаясь 120 дней

      однако, по умолчанию, ни пользователи, ни администраторы не имеют прав на его удаление, поэтому перед удалением нужно дать себе разрешения modify на данный параметр

      www.adminland.ru

      Это интересно:

      • Развод госпошлина сроки Госпошлина за расторжение брака На расторжение брака зачастую парам приходится тратить больше сил, чем на его создание. И вопрос здесь не только в моральной подоплеке, которая, безусловно, не может быть радостной. Прекращение брачных отношений требует от супругов […]
      • Младшая должность юриста Младшая должность юриста  Право для дела Юрист — одна из тех профессий, для которых больше всего подходит сравнение с ролью сапера. Люди, делающие незаметную, рутинную работу, расчищающие в минном поле дорогу для идущих в наступление войск. Они не водружают флаги над […]
      • Практическое пособие для обучения детей чтению нефедова узорова Практическое пособие для обучения детей чтению. Автор: Узорова О.В, Нефедова Е.А. Общие Торговая марка АСТ Артикул 1841129 Сертификат РСТ Страна Россия Состав Бумага, картон Серия Академия начального образования Упаковка и фасовка В боксе 24 шт Фасовка […]
      • Дом под залог участка Кредиты под земельный участок в Россельхозбанке Оформить заявку и получить ответ из банка всего за 30 минут→ Вы хотите узнать, есть ли кредит в Россельхозбанке под залог земли? Да, эта компания предоставляет такую возможность, и сегодня мы расскажем вам о возможностях и […]
      • Как оформить завещание на квартиру на ребенка Завещание на несовершеннолетнего сына, внука Во многих цивилизованных странах решение умершего относительно его собственности – закон для наследников. Но в нашей стране нередки случаи оспаривания завещания. Перед наследодателем стоит задача – как передать имущество […]
      • Возврат ссуды банку По своей сути ссуда это то же самое, что и заем. Ссуда – один из вариантов кредитных отношений. От прочих кредитов ссуда отличается тем, что не предполагает обязательной платы за предоставление займа. Следовательно – ссудой может быть назван беспроцентный кредит. Сам […]
      • Агентство пенсий Для фондов-участников и ПФР Уплата гарантийных взносов Фонды-участники и ПФР обязаны платить гарантийные взносы в фонд гарантирования пенсионных накоплений в соответствии со статьей 15 Закона № 422-ФЗ, согласно которой ставка гарантийных взносов составляет 0,0125 процента […]
      • Не является плательщиками налога на имущество Не является плательщиками налога на имущество ПАМЯТКА ДЛЯ НАЛОГОПЛАТЕЛЬЩИКОВ Налог на имущество организаций Налог на имущество организаций установлен гл. 30 Налогового кодекса РФ (далее – Кодекс) и вводится в действие в соответствии с Кодексом и законами субъектов […]