Я относительно новичок в Windows Server и хотел бы, чтобы кто-нибудь подтвердил правильность моего понимания разрешений, необходимых для входа пользователей на сервер Windows 2008 R2 в домене Windows:
Любой член группы «Администраторы» может войти на сервер физически на сервере или через удаленное окно mstsc, указав свое имя пользователя в окне входа в систему.
Группа администраторов может делать все, что могут другие группы.
Любой в группе удаленного рабочего стола может запускать mstsc с клиентского компьютера и просматривать журнал сервера на экране.
Любой член группы пользователей может войти на сервер с его экрана входа в систему.
Таким образом, верны следующие сценарии:
Пользователь DOMAIN\JOHN находится в Пользователи удаленного рабочего стола на DOMAIN\SERVER1 группа, но не группа пользователей на этом сервере. Пользователь DOMAIN\JANE находится в группе пользователей, но не в группе «Пользователи удаленного рабочего стола».
DOMAIN\PC1 так как DOMAIN\JOHN и он увидит экран входа в систему, но не сможет войти как DOMAIN\JOHN однако можно было войти как DOMAIN\JANE.Пользователь DOMAIN\JAMES входит в группу администраторов на DOMAIN\SERVER1 но не в группе Пользователи или Пользователи удаленного рабочего стола. Он сможет начать сеанс mstsc на DOMAIN\SERVER1 из DOMAIN\PC2 так как DOMAIN\JAMES и увидите экран входа в систему и войдите как DOMAIN\JAMES.
Пользователь DOMAIN\JACK находится в группе "Пользователи" на DOMAIN\SERVER1 но не в группе «Пользователи удаленного рабочего стола». Джек может получить доступ к серверу, но только через физический доступ к самому серверу (потому что он не может получить доступ к серверу через RDP).
Пользователь DOMAIN\JILL вошел в DOMAIN\PC1, запускает mstsc, вводит имя пользователя DOMAIN\JOHN в настройках входа в систему mstsc, видит экран входа на сервер и входит DOMAIN\JANE и появится рабочий стол сервера.
Извините, если это кажется довольно тривиальным, но это я понял после небольшого чтения, и было бы здорово, если бы кто-нибудь мог подтвердить, прав ли я.
Ответ на ваши вопросы зависит от того, имеют ли рассматриваемые вами пользователи и группы необходимые Права для входа в систему.
Разрешение на вход в Windows Server контролируется двумя Групповая политика настройки. Оба они расположены по адресу:
Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment
Если вы вместо этого редактируете Локальная групповая политика (по сравнению с GP домена), настройки находятся по адресу:
Local Policies/User Rights Assignment
В соответствии с TechNet:
Этот параметр политики определяет, какие пользователи могут запускать интерактивный сеанс на компьютере.
Другими словами, это контролирует, кто может входить в систему через «физическую» консоль компьютера. В случае виртуальной машины это будет вход в систему через интерфейс управления виртуальной машиной.
Вышеупомянутая статья подтверждает, что это право не требуется для установки сеанса удаленного рабочего стола:
Пользователи, у которых нет этого права, по-прежнему могут запускать удаленный интерактивный сеанс на компьютере, если у них есть Разрешить вход через службы удаленных рабочих столов право.
Если только компьютер является членом домена или компьютером контроллера домена:
Пользователи должны иметь это право для входа в систему через сеанс служб удаленных рабочих столов или служб терминалов, который выполняется на рядовом компьютере под управлением Windows или контроллере домена.
В соответствии с TechNet:
Этот параметр политики определяет, какие пользователи или группы могут получить доступ к экрану входа в систему удаленного компьютера через подключение к службам удаленных рабочих столов. Пользователь может установить соединение служб удаленных рабочих столов с определенным сервером, но не сможет войти в консоль того же сервера.
Причина, по которой пользователь может установить сеанс удаленного рабочего стола, но не сможет войти в консоль, заключается в том, что для последней требуется право «Разрешить локальный вход», которое, как упоминалось выше, не требуется во всех случаях для входа в систему. удаленно.
Связанные выше статьи TechNet объясняют, каким пользователям и группам по умолчанию назначены эти права входа. Однако, редактируя эти две настройки, их можно изменить. По этой причине ответ на ваши вопросы зависит от того, как настроен ваш сервер (и домен, в котором он находится).