Это смешанная среда AD, Server 2003 R2 и 2008 R2. У меня есть 2003 AD R2 и 2008 R2 AD. GPO обычно управляется с машины 2008 R2. У меня также есть шлюз удаленных рабочих столов на другом сервере.
Я настраиваю CAP и RAP, чтобы позволить обычному пользователю войти на рабочую станцию отдела.
Я также настроил GPO для этого подразделения, чтобы разрешить вход в систему через шлюз удаленного рабочего стола для группы пользователей.
Это сработало на моей рабочей станции Windows 7. Но, к сожалению, в XP используется другое название политики «разрешить вход через службы терминалов».
Я могу войти прямо в машину, но когда вход в систему действительно происходит на локальной машине, я получаю ошибку «Не могу войти в систему в интерактивном режиме».
Это установлено (для локального компьютера) Secpol.msc> Локальная политика безопасности> «Назначение прав пользователя»
но управляется GPO в Конфигурация компьютера> Политики> Настройки безопасности> Локальные политики> «Назначение прав пользователя»
Нужно ли мне просто настроить тот же параметр в том же GPO, но с редактором GP Server 2003? Похоже, это может вызвать проблемы ... Ищу направление. Или если кто-то еще сталкивался с этой проблемой.
ОБНОВИТЬ Это должно работать? support.microsoft.com/kb/186529
По-прежнему кажется, что у меня возникнет проблема, поскольку фактические настройки GP для входа в систему через службы терминалов по-прежнему отличаются между Server 2008 R2 и 2003 R2 ....
Другая мысль: следует ли мне удалить объект групповой политики, созданный для отдела, и переделать его с сервером 2003 R2? У меня нет специальных настроек для 2008 года, так как весь отдел работает под XP, кроме меня. Если это решение, я вынесу свой компьютер из отдела в качестве решения ... Мысли?
Включение параметра политики «Разрешить пользователям подключаться удаленно с помощью служб терминалов» приведет к тому, что компьютеры с Windows XP, к которым применяется политика, начнут разрешать вход в службы терминалов (при условии, что вы не блокируете входящий TCP-порт 3389 с помощью брандмауэра Windows или другого параметра брандмауэра. ).
Ошибка «Локальная политика не разрешает вам входить в систему в интерактивном режиме», которую вы получаете, лучше всего устранять путем вложения группы, содержащей пользователей, которым разрешен вход через службы терминалов, в группу «Пользователи удаленного рабочего стола» каждого компьютера с Windows XP.
Вы можете сделать это групповое вложение с помощью групповой политики. Используйте функцию «Группы с ограниченным доступом» (в разделе «Конфигурация компьютера», «Настройки Windows» и «Настройки безопасности») для выполнения вложения. Сделайте запись для группы «DOMAIN \ Domain Users» (или любой другой группы, содержащей всех пользователей, которые должны иметь доступ к службам терминалов) там. В свойствах этой записи добавьте «Пользователи удаленного рабочего стола» в разделе политики «Эта группа является членом:».
Я бы рекомендовал изначально применять эту политику только к некоторым тестовым компьютерам. Вы можете проверить его работу, проверив членство в группе «Пользователи удаленного рабочего стола» на затронутых компьютерах после применения политики. Как только вы захотите, примените его более широко.