Я использую Windows Server 2003 PDC с AD, и у нас есть 2 машины, на которых мы требуем, чтобы каждый мог удаленно входить в систему. Поэтому я добавляю «Пользователи домена» во встроенную учетную запись «Пользователи удаленного рабочего стола», но после обновления политики эта группа очищается, что приводит к ошибке «Локальная политика этой системы не позволяет вам войти в систему в интерактивном режиме».
Затем в GPO я добавил группу «Пользователи домена» в «Разрешить вход через службы терминалов». В результате я пропустил предыдущую ошибку, но выдает новое сообщение об ошибке «У вас нет доступа для входа в этот сеанс».
Администраторы домена могут войти в систему нормально, только обычные пользователи не могут.
У кого-нибудь есть идеи? Я рву здесь волосы. Я работаю администратором unix, так что для меня это все в новинку. GPO оказывается королевской занозой в заднице, но для некоторых вещей она полезна.
Пожалуйста помоги!
Спасибо!
Изменить: я должен упомянуть 2 машины, на которых я требую, чтобы люди могли использовать RDP, - это клиенты Windows XP, поэтому у них нет инструмента «Конфигурация служб терминалов». Edit2: работает под управлением Windows Server 2003 R2 x64, полностью обновленного.
В первой части вашего сообщения похоже, что кто-то уже настроил «Политику ограниченных групп» для группы «Пользователи удаленного рабочего стола», что объясняет, почему она «опустошена». Это не стандартная функция ОС - кто-то в какой-то момент ее настраивал. Вы можете обойти это, либо изменив объект групповой политики, который «опустошал» группу, либо создав новый объект групповой политики, который применяется после существующего объекта групповой политики, содержащего «ограниченные группы», чтобы переопределить настройку.
Следующий бит - бит «У вас нет доступа для входа в этот сеанс» немного запутывает. Я пытался воспроизвести его на 32-разрядной версии Windows Server 2003 SP2. машина сейчас немного, и я не могу придумать состояние воспроизведения.
Если хотите, откройте на компьютере инструмент «Конфигурация служб терминалов», выделите узел «Подключения» на левой панели и откройте «Свойства» объекта «RDP-Tcp» на правой панели. Взгляните на вкладку «Разрешения» и убедитесь, что «Пользователи удаленного рабочего стола» имеют «Пользовательский доступ» и «Гостевой доступ» (стандартное разрешение).
В противном случае я не уверен, что смогу воспроизвести это. Какой уровень пакета обновления вы используете для W2K3?
(Кстати: у меня с вами похожий фон - я начал с Unix и неохотно перешел на Windows. Групповая политика невероятно полезна, когда вы преодолеете причуды. Я пишу сценарии для Windows-машин как сумасшедший, потому что я не могу стоять, чтобы выполнять одну и ту же работу более одного раза. Встроенная командная оболочка Windows полностью уступает любой оболочке Unix, но ее можно уговорить выполнить большинство задач ...)
Редактировать:
О, это машины с Windows XP. Я этого не осознавал. Это все меняет. Я думал, что это серверы, к которым вы пытались получить доступ по RDP.
Мои экстрасенсорные способности говорят, что вы видите сообщение «У вас нет доступа для входа в этот сеанс», потому что кто-то уже вошел в систему на ПК, а пользователь, входящий в систему с помощью RDP, не имеет прав «Администратор» на машине Windows XP. Windows XP может одновременно обслуживать только один сеанс RDP / консоли, и если кто-то уже вошел в систему, только пользователь «Администратор» может удаленно «отключить его» с помощью RDP. Все остальные пользователи, пытающиеся войти в систему по RDP, получат сообщение, описанное вами выше.
Как это выглядит?
Чтобы подробнее изучить политику «Группы с ограниченным доступом», запустите инструмент RSoP на клиентах WinXP и посмотрите, есть ли какие-либо объекты групповой политики, применяющие параметр «Группы с ограниченным доступом» для «Пользователи удаленного рабочего стола». В сети, которую я настраиваю, например, было бы. Это распространенный способ предоставить группам доступ к RDP на клиентах.
Что ж, я также считаю, что причиной такого поведения являются группы с ограниченным доступом. Объекты групповой политики действительно удобны, это одна из моих самых любимых функций. Чтобы НАМНОГО облегчить вам жизнь, есть инструмент под названием Консоль управления групповой политикой - если вы еще не используете его, начните прямо сейчас!
Следующий совет - использовать моделирование политик и результирующие наборы политик, чтобы увидеть очень подробное представление о том, что применяется к машинам и пользователям. Вы можете сделать это в GPMC. Я думаю, что группы с ограниченным доступом применяются на довольно высоком уровне, возможно, на уровне домена - и это нормально, чтобы оставить их. Вместо того, чтобы переписывать эту политику, вам лучше сделать следующее:
1) Создайте специальное OU, например «Терминальные серверы» или «RDP Enabled» и поместите в него необходимые учетные записи компьютеров.
2) Создайте новую политику под названием «Поместить всех в группу удаленных пользователей» или что-то подобное, отредактируйте в ней раздел «Группы с ограниченным доступом».
3) Свяжите его со своим вновь созданным OU.
4) Проверьте, работает ли это :)
5) Используйте GPMC, чтобы выяснить, как применяются GPO и в каком порядке. Кстати, объект групповой политики, связанный с подразделением нижнего уровня, будет иметь более высокий приоритет, чем объект групповой политики, связанный с родительским подразделением или уровнем домена.
У меня была такая же проблема. У меня есть компьютер XP и Vista. Я пытаюсь предоставить права RDP определенной группе пользователей. В конце концов, я отказался от попыток использовать групповую политику, и мне пришлось переходить на панель управления каждого компьютера → Система → вкладка «Удаленный» → «Выбрать удаленных пользователей» и добавлять туда группу. Очевидно, «Разрешить вход через службы терминалов» не делает того, на что похоже (по крайней мере, на рабочих станциях).
Я бы предпочел сделать это также с помощью групповой политики, поэтому опубликуйте ответ, если вы найдете способ сделать это!