» Сервер терминалов пускает только клиентов "Администраторов"

Добрый день всем!

Такая проблема: установили у себя сервер терминалов, но на контроллер домена. И сейчас этот умный сервак пускает в качестве клиентов только членов группы "Администраторы", а простых пользователей лупит с отговоркой типа "Интерактивный вход в систему запрещен локальной политикой". Я облазил все политики на контроллере, попробовал там подобавлять группы, но что-то результата не заметил. Разве что сервак не перегружал. Может стоит? Или как это побороть еще?

Похоже на то, что он ( TS) у тебя работает в режиме удалённого управления. Имхо, есть ещё режим сервера приложений. Как хочешь использовать TS - так его и ставь. Есттественно, что в режиме удалённого управления разрешается заходить только админам.

Да вот как раз он работает в режиме сервера приложений. Мне кажется, проблема в том, что служба стоит на контроллере домена, что само по себе не есть хорошо. Но на данный момент другого выхода нет. Где-то ему политики безопасности надо отрубить, а вот где и что - непонятно...

То, что TS стоит на контроллере, может и нехорошо, да только с одной стороны - у DC и так хватает задач, чтоб тормозить, да тут ещё TS.... Больше особо ничего нехорошего и нет...
Проверь на всякий случай разрешения на RDP-Tcp в "Подключения"-х настройки служб терминалов.

В свойствах терминального режима поставь в разрешениях имена пользователей (под Администратором)

Zheka009
В локал домейн контроллер полиси разрешить локальный вход юзарам а не только админам

и перегрузись, но эта политика по умолчанию, если добавляешь нового пользователя в домен, разрешает ему автоматом логиниться на терминальные сервера, это не есть правильно.
В юзер менеджере или акив. директ. юзерс (смотря как реализ.), в свойствах пользователя, закладка профиль термин. - галка разрешить пользователям логиниться к терминальн. серверам.

народ - хелп !
похожая ситуация - но... сервер терминалов стоял и работал больше 4-х месяцев, и внезапно получилось подобное чудо - не пускает юзеров-неадминов с сообщением с данного компьютера вход невозможен...
рыли политики - везде все разрешено пользователям - но войти могут только после добавления в группу админов сервера - никак по другому

сервер win2003ent, лицензии установлены, активирован, домен-контроллер winNT4.0

может кто сталкивался ?
завтра бум пытаться кончать и делать заново лицензии...

Если еще не разобрался с бедой, попробуй на клиентской машине грохнуть ветку реестра HKLM\Software\Microsoft\MSLicensing\Store
Там храниться срок, когда у пользователя кончается лицензия

Цитата:

Если еще не разобрался с бедой, попробуй на клиентской машине грохнуть ветку реестра HKLM\Software\Microsoft\MSLicensing\Store
Там храниться срок, когда у пользователя кончается лицензия

[off]у меня смутные предчувствия, что за 4,5 года проблема перешла в разряд неактуальных [/off]

На всякий случай проверьте в AD у пользовтелей в настройках прав >Вкладка "account"> кнопка "Log on to"> поставте all computers.

А проблеме то уже год

Была такая же проблема. Решил таким образом:
1. Зарегистрировался в домена под правами Администратора.
2. Зашел в консоль "Настройка служб терминалов", подключения. Вкладка "Разрешения"
3. После чего нажимаем кнопку "Добавить", в опции "искать в следующем месте" должен стоять именно домен а не локальная машина.
4. Выбираем "Пользователи удаленного рабочего стола", добавить, разрешения оставляем Госят и Пользователя. Применить и все.
Соответственно пользователя добавить в группу "Пользователи удаленного рабочего стола".

Так же можно использовать RSOP чтобы посмотреть что перекрывает, если это не поможет.

Все эти изменения нужно производить именно когда ты вошел в домен а не на рабочую станцию.

Аналогичная проблема, только на Windows server 2008, и выше перечисленными способами не решается.
Может кто чего еще подскажет?

пуск->настройка->панель управления->администрирование->политика безопасности домена->локальная политика->назначение прав пользователей->разрешать вход в систему через службу терминалов - закидываем туда нужных юзеров.
Обратите внимание на то, что юзеры должны быть так-же в группе Удалённого Рабочего Стола. И заходить надо в "политика безопасности домена" а не "политика безопасности контроллера домена".

на всякий случай, не обижаться кому элементарно,
нужно понимать что поднимается роль сервера терминалов (а не то что по умолчанию каждый сервак может принять 3-х админов), нужно чтобы был сервер лицензии - без него тоже пускать не будет и соответственно разрешение кто может пользоваться терминалом и по какому интерфейсу (сетевой карте, хотя по умолчанию по всем разрешено)
на каком этапе у Вас проблема, нужно выяснить и ее уже решать
что конкретно выдает? какая ошибка

и главное не нужно ставить на AD (контроллер домена) сервер терминалов, это не только рекомендация от Microsoft

ош

Делюсь опытом решения проблемы "входа только для Администраторов" на Windows 2008 Server. По-умолчанию, только админы могут заходить на сервер терминалов. Изменить эту неправоту можно зайдя в Администрирование - Локальная политика безопасности домена. Там Локальные политики - назначение прав пользователя - Элемент "Разрешать вход в систему через службу терминалов" . Добавляем туда нужную группу, я добавил стандартную группу "Пользователи удаленного рабочего стола".

Проблема решилась

нет домена, везде, где нашел, выставил права на вход нужным пользователям и не входит.
Если добавить пользователя в администраторы - то входит.
Есть один нюанс, как можно ограничить права пользователей удаленного раб стола? может в этом затык? я не нашел где настраивается это, это видимо пресет заполняемый мастерами виндовса и управления этим вручную нет, либо через реестр.
Нет АД, сервер одиночный выставлен как рабочая группа с сервером лицензий терминалов.

Не знаю как и после чего, но все таки решил проблему, скорее всего политика сработала не сразу и даже не сразу после перезагрузки ))

Были выше перечисленные проблемы. Устранил добавлением группы пользователей удаленного рабочего стола в политику домена. Но теперь возник вопрос, как запретить пользователю вваливатся на рабочий стол, а только использовать RemoteApp?
Применяя эту политику мы разрешаем пользователю входить на рабочий стол, а по идее должна быть политика разрешающая только RemoteApp. Не могу найти хоть ты тресни.Mafia80
Политика обновляется gpupdate сразу и не надо перезагрузок, по умолчанию, GP обновляется через 90 минут

yurii123


Цитата:

как запретить пользователю вваливатся на рабочий стол, а только использовать RemoteApp?

Никак, т.к. RemoteApp это часть RDP.

Были такие проблемы, домненные RDP юзеры посылались лесом. DC и TS на разных серверах. Пробовал много всего, выполнил все рекомендации, НО! Собака лежала в большой разнице между группами "Пользователи удаленного рабочего стола" и "имя_домена\Пользователи удаленного рабочего стола". На это меня натолкнул пост от Slovyanin и его кул- совет юзать RSOP. Респект!

ААА Помогите то нибудь.....
Ситуация такая . Установил Windows Server 2008
Установил Роли: Служба терминалов - и Сервер лицензий терминалов.
Всё добро зарегисрировал.
Теперь собственно проблема.
Не могу пустить на сервер пользователей. админы заходят а пользователи нет, что делать уже всё перерыл. AD ставить нехочу, или без него не сработает?

У ограниченых пользователей нет прав на локальную ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing
соответственно лицензию с сервера они получить не могут. Права надо прописать.

cthsq

Цитата:

У ограниченых пользователей нет прав на локальную ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing

Это не совсем верно. Права на чтение у них есть, а большего и не требуется.

Цитата:

Права на чтение у них есть, а большего и не требуется.

Прежде чем что то читать, туда сначала клиентская лицензия записаться должна, а записаться она не может.

Я так понял можно и без Active Directory настроить сервер,

Добавлено:
Извиняюсь... Может не сюда вопрос, но всё же ... всё это затевалось с одной единственной целью. чтобы поднять на сервер 1С 7.7 с ключиком. получится или нет?

Просто я Linux админ и мне как-то windows и его политика не совсем ясна.
кстати ставлю я windows server 2008 sp2 может в нём ещё что закопано и не видно от глаз начинающего админа на этой платформе

Добавлено:

Цитата:

У ограниченых пользователей нет прав на локальную ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSLicensing
соответственно лицензию с сервера они получить не могут. Права надо прописать.

Всё равно не пускает - пишет - Доступ к требуемому сеансу отклонен.

Куда копать. подскажите Сервер AD не поставил...

Всем доброго дня. С толкнулся с такой же проблемой, сервер 2008 R2 не пускает пользователей, домена нет, роли только терминал, файл сервер и ISS. При попытке подключиться с правами пользователя выдает ошибку "доступ к требуемому сеансу отклонен".
При это пользователь находится в группе "пользователи удаленного рабочего стола", в политиках подключения разрешены. Лицензии стоят, сервер активирован.
При этом события БЕЗОПАСНОСТЬ

Выполнен выход учетной записи из системы.

Субъект:
    ИД безопасности:        WOODSERVER\vit
    Имя учетной записи:        vit
    Домен учетной записи:        WOODSERVER
    Код входа:        0x40ea6b

Тип входа:            10

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.

была у меня такая же лажа (когда выскакивает ошибка "доступ к требуемому сеансу отклонен" при этом все настройки сделаны и т.д. и т.п.и входят только администраторы, оказывается я просто подключался к консольной сессии (подключался через mRemote), как только эту хрень снял сразу же заколосилось...