Я поставил стандартный терминальный сервер от 2000 сервер. У меня стоит Active Directory и все работает. Но когда я создал там еще одного пользователя и залогинился на терминал оно мне написало ошибку. см выше. Как сделать что-бы обычного доменного пользователя если ему разрешено лигинтсяы на терминал нормально пускало на него. Никакими дополнительными правами я его наделять не хочу. И еще интерактивный вход в систему желательно что-бы был только на терминал и что-былюбой юзер не мог локально подойти к серверу и залогинится на нем под своими учетными данными. Только на терминал. Перечитал кучу политик нигде не нашел как это сделать. Надеюсь на Вашу помощь.
» Интерактивный вход в систему запрещен политикой
WolfEnstein - если терминальный сервер в Administrative mode то на нем могут работать только администраторы (причем не более двух). Для обычных юзеров требуется настроить сервер лицензий и перевести свой терминал в Application mode
WolfEnstein
Проверь, стоит ли галочка "разрешать вход на сервер терминалов" в закладке "профиль служб терминалов" в свойствах юзера в АД "пользователи и компьютеры"
Проверь, стоит ли галочка "разрешать вход на сервер терминалов" в закладке "профиль служб терминалов" в свойствах юзера в АД "пользователи и компьютеры"
В группу Remote Desktop Users в домене пользователя добавил? Когда ставится TS только Domain Admins могут заходить на сервер терминалов ибо только она по умолчанию находится в Remote Desktop Users.
галочка стоит.
А про Remote Users сейчас проверю.
Добавлено
Mexanik
У меня такой группы нет. Терпминал работает как сервер приложений.
А про Remote Users сейчас проверю.
Добавлено
Mexanik
У меня такой группы нет. Терпминал работает как сервер приложений.
WolfEnstein
TS на контроллере домена?
Еси да то проверь
"Политика безопасности контроллера домена\ Локальные политики\ Назначение прав пользователя\ Локальный вход в систему" и ставишь там каво надо
Еси нет то почти тоже, кроме первого
"Политика безопасности домена\ Локальные политики\ Назначение прав пользователя\ Локальный вход в систему"...
TS на контроллере домена?
Еси да то проверь
"Политика безопасности контроллера домена\ Локальные политики\ Назначение прав пользователя\ Локальный вход в систему" и ставишь там каво надо
Еси нет то почти тоже, кроме первого
"Политика безопасности домена\ Локальные политики\ Назначение прав пользователя\ Локальный вход в систему"...
skylined
Да. Но меня волнует еще такой вопрос. Я ему сделаю локальный вход в систему тогда он сможет входить и на терминал и может просто подойти резетнуть сервер(ну к нему просто не подойдешь,но все же.) и локально залогинится. А мне нужно что-бы только на терминал доступ.
Да. Но меня волнует еще такой вопрос. Я ему сделаю локальный вход в систему тогда он сможет входить и на терминал и может просто подойти резетнуть сервер(ну к нему просто не подойдешь,но все же.) и локально залогинится. А мне нужно что-бы только на терминал доступ.
WolfEnstein
skylined впринципе правильно начал...
1. Если TS Контроллер домена - то надо редактировать политику контроллера домена обычно (Default Domain Controllers Policy).
Default Domain Controllers Policy->конфигурация компьютера->конфигурация windows->параметры безопасности->локальные политики->назначение прав пользователя->Разрешать вход через службу терминалов.
Создай все таки группу - Remote Desktop Users, добавь ее туда, а потом уже будешь юзвергов в эту группу добавлять. что естессно боле просто и правильно чем добавлять юзвергов в эту политику по одному.
2. Если TS не контроллер, а просто отдельно стоящий сервер, редактируй политику домена (Default Domain Policy) по тому же пути, как и в п.1
skylined впринципе правильно начал...
1. Если TS Контроллер домена - то надо редактировать политику контроллера домена обычно (Default Domain Controllers Policy).
Default Domain Controllers Policy->конфигурация компьютера->конфигурация windows->параметры безопасности->локальные политики->назначение прав пользователя->Разрешать вход через службу терминалов.
Создай все таки группу - Remote Desktop Users, добавь ее туда, а потом уже будешь юзвергов в эту группу добавлять. что естессно боле просто и правильно чем добавлять юзвергов в эту политику по одному.
2. Если TS не контроллер, а просто отдельно стоящий сервер, редактируй политику домена (Default Domain Policy) по тому же пути, как и в п.1
Вынужден поднять эту тему.
У меня точно такая же проблема. Терминальный сервер не дает логиниться обычным пользователям. Сервер лицензий стоит. Про "Локальный вход в систему" я знаю, но в этом случае пользователь получает возможность логиниться с консоли. Это так и должно быть? Неужели Microsoft не разделяет локальных и терминальных клиентов? Что-то не верится.
А вот такой политики у меня нет
Цитата:
Может это в 2003 появилось?
У меня точно такая же проблема. Терминальный сервер не дает логиниться обычным пользователям. Сервер лицензий стоит. Про "Локальный вход в систему" я знаю, но в этом случае пользователь получает возможность логиниться с консоли. Это так и должно быть? Неужели Microsoft не разделяет локальных и терминальных клиентов? Что-то не верится.
А вот такой политики у меня нет
Цитата:
Default Domain Controllers Policy->конфигурация компьютера->конфигурация windows->параметры безопасности->локальные политики->назначение прав пользователя->Разрешать вход через службу терминалов.
Может это в 2003 появилось?
Цитата:
Может это в 2003 появилось?
Нет, всегда на 2к такое было
У меня такая байда. Моя раб. машина Серв03, Мой аккаунт не админский. Добавил себя в Ремоут Юзерс. НО!
Могу входить в терминальную сессию, а в консольную (mstsc /console) - нет!!!
Админ (тоже я))) входит. А мой юзерский аккаунт - нет! Прежде я не пробовал входить в консоль с юзерской записи. Может существую какие-то принципиальные ограничения? В ХП-то как?
Могу входить в терминальную сессию, а в консольную (mstsc /console) - нет!!!
Админ (тоже я))) входит. А мой юзерский аккаунт - нет! Прежде я не пробовал входить в консоль с юзерской записи. Может существую какие-то принципиальные ограничения? В ХП-то как?
skylined
Блин. Нету у меня такой политики. Сейчас поставлю 2003, посмотрю там.
Блин. Нету у меня такой политики. Сейчас поставлю 2003, посмотрю там.
Alan Mon
А че трудно создать OU для терминала?
А че трудно создать OU для терминала?
skylined
Да не трудно, только что мне это даст?
Если я не могу настроить политики в "Default domain controlers" или "Default domain", что даст создание нового OU? Набор политик ведь не изменится.
Да не трудно, только что мне это даст?
Если я не могу настроить политики в "Default domain controlers" или "Default domain", что даст создание нового OU? Набор политик ведь не изменится.
Alan Mon
Цитата:
???
А новую создать не судьба
?
Цитата:
Набор политик ведь не изменится.
???
А новую создать не судьба
?skylined
Мы, похоже, друг друга не понимаем. Под набором политик я имел в виду тот список разрешений, который появляется если открыть оснастку Default Domain Controller Policy\Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя.
Так вот, в правом окне появляется список политик. И среди них в 2000 сервере нет политики "Разрешить вход через службу терминалов". Как ее туда добавить я не знаю.
P.S. Кстати, 2003 сервер я поставил и в нем действительно такая политика есть. Но у меня-то 2000. И проблема в том, что я хочу дать возможность обычному пользователю домена входить на сервер терминалов, но не хочу, чтобы он мог логиниться с консоли.
Мы, похоже, друг друга не понимаем. Под набором политик я имел в виду тот список разрешений, который появляется если открыть оснастку Default Domain Controller Policy\Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя.
Так вот, в правом окне появляется список политик. И среди них в 2000 сервере нет политики "Разрешить вход через службу терминалов". Как ее туда добавить я не знаю.
P.S. Кстати, 2003 сервер я поставил и в нем действительно такая политика есть. Но у меня-то 2000. И проблема в том, что я хочу дать возможность обычному пользователю домена входить на сервер терминалов, но не хочу, чтобы он мог логиниться с консоли.
Alan Mon
По твоей просьбе зашел в эту ветку.
Цитата:
По поводу отсутствующей политики.
У меня появилось множество дополнительных политик после попытки миграции с 2000 на 2003. Миграция проходила в два этапа:
1. Повышение версии АД утилитой adprep
2. Установка BDС на W2003.
(Дальше дела не касается)
Вот тут я заметил вновь появившиеся политики. К сожалению, не могу сказать на каком из этих этапов они появились. Может будет достаточно апгрейдить АД?
По второму вопросу -- не знаю, не ставил такой задачи. Имхо -- не стоит развертывать терминальный сервер на контроллере домена, а на выделенном терминальном сервере -- ну и пусть себе входят локально, я все одно с серверов снимаю клавиатуру и монитор.
Но, думаю, если у тебя появится недостающая политика, то ты сможешь "дать возможность обычному пользователю домена входить на сервер терминалов, но чтобы он не мог логиниться с консоли"
По твоей просьбе зашел в эту ветку.
Цитата:
P.S. Кстати, 2003 сервер я поставил и в нем действительно такая политика есть. Но у меня-то 2000. И проблема в том, что я хочу дать возможность обычному пользователю домена входить на сервер терминалов, но не хочу, чтобы он мог логиниться с консоли.
По поводу отсутствующей политики.
У меня появилось множество дополнительных политик после попытки миграции с 2000 на 2003. Миграция проходила в два этапа:
1. Повышение версии АД утилитой adprep
2. Установка BDС на W2003.
(Дальше дела не касается)
Вот тут я заметил вновь появившиеся политики. К сожалению, не могу сказать на каком из этих этапов они появились. Может будет достаточно апгрейдить АД?
По второму вопросу -- не знаю, не ставил такой задачи. Имхо -- не стоит развертывать терминальный сервер на контроллере домена, а на выделенном терминальном сервере -- ну и пусть себе входят локально, я все одно с серверов снимаю клавиатуру и монитор.
Но, думаю, если у тебя появится недостающая политика, то ты сможешь "дать возможность обычному пользователю домена входить на сервер терминалов, но чтобы он не мог логиниться с консоли"
народ, че вы паритесь, в политике "Локальный вход в систему" прописываете группу "Пользователи служб терминалов" - не ручаюсь за точность, но как-то так эта встроенная группа называется
TomAlex
Цитата:
Что-то боязно мне создавать Франкенштейна из смеси 2000 и 2003. Как бы потом глюки не пришлось лопатой разгребать. Мало ли чего он там наапгрейдит кроме политик.
Цитата:
Это, конечно, самое правильное решение и у меня в головном офисе так и сделано. Но для филиала с десятком пользователей это несколько расточительное решение. Мне просто не дадут денег на два сервера.
Bambarbia
Знаю я про эту группу. И пробовал включить ее в политике. Но это ничего не дало. Я думаю - это группа типа "Прошедшие проверку" или "Создатель-владелец", т.е. автоматическая. И пользователь сам попадает в нее, но уже после логина в терминал. А на момент логина, когда проходит обработка политик, его там нет.
Цитата:
У меня появилось множество дополнительных политик после попытки миграции с 2000 на 2003.
Что-то боязно мне создавать Франкенштейна из смеси 2000 и 2003. Как бы потом глюки не пришлось лопатой разгребать. Мало ли чего он там наапгрейдит кроме политик.
Цитата:
Имхо -- не стоит развертывать терминальный сервер на контроллере домена, а на выделенном терминальном сервере -- ну и пусть себе входят локально, я все одно с серверов снимаю клавиатуру и монитор.
Это, конечно, самое правильное решение и у меня в головном офисе так и сделано. Но для филиала с десятком пользователей это несколько расточительное решение. Мне просто не дадут денег на два сервера.
Bambarbia
Знаю я про эту группу. И пробовал включить ее в политике. Но это ничего не дало. Я думаю - это группа типа "Прошедшие проверку" или "Создатель-владелец", т.е. автоматическая. И пользователь сам попадает в нее, но уже после логина в терминал. А на момент логина, когда проходит обработка политик, его там нет.
Alan Mon
Цитата:
Что могу сказать... После апгрейда утилитой adprep, но еще до установки W2003 я заметил существенное ускорение консолей, работающих с АД. Субъективно, и вход в сеть с рабочих станций стал быстрее...
У меня вообще появилось ощущение, что АД подвержена фрагментации, и эта утилитка ее "структуризирует".
Так что,.. рекомендовать не могу (у меня самого восстанавление глобального каталога не вызывает положительных эмоций), но...
Цитата:
Что-то боязно мне создавать Франкенштейна из смеси 2000 и 2003. Как бы потом глюки не пришлось лопатой разгребать. Мало ли чего он там наапгрейдит кроме политик.
Что могу сказать... После апгрейда утилитой adprep, но еще до установки W2003 я заметил существенное ускорение консолей, работающих с АД. Субъективно, и вход в сеть с рабочих станций стал быстрее...
У меня вообще появилось ощущение, что АД подвержена фрагментации, и эта утилитка ее "структуризирует".
Так что,.. рекомендовать не могу (у меня самого восстанавление глобального каталога не вызывает положительных эмоций
), но...Ладно. Спасибо за информацию.
Пока решил оставить как есть. Включу пользователей в группу "Локальный вход" и буду надеятся на их лояльность. Тем более, какой никакой, а свой админ там будет.
В случае чего и спрос с него.
Пока решил оставить как есть. Включу пользователей в группу "Локальный вход" и буду надеятся на их лояльность. Тем более, какой никакой, а свой админ там будет.
В случае чего и спрос с него.
Alan Mon
добавь в политике "Локальный вход в систему" группу "ПОЛЬЗОВАТЕЛЬ СЛУЖБ ТЕРМИНАЛОВ" (именно так называется, эта группа встроенная, членство в ней не регулируется)
и будет тебе щастье
добавь в политике "Локальный вход в систему" группу "ПОЛЬЗОВАТЕЛЬ СЛУЖБ ТЕРМИНАЛОВ" (именно так называется, эта группа встроенная, членство в ней не регулируется)
и будет тебе щастье
Bambarbia
Не будет никакого щастья.
Цитата:
Вот как раз поэтому и не будет.
Я уже выше писал. В эту группу пользователь попадает только после логона в терминал.
Не будет никакого щастья.
Цитата:
эта группа встроенная, членство в ней не регулируется
Вот как раз поэтому и не будет.
Я уже выше писал. В эту группу пользователь попадает только после логона в терминал.
Alan Mon
да, именно таким образом терминальные юзера смогут залогиниться удаленно (т.е. в терминале), а локально с консоли войти не смогут
да, именно таким образом терминальные юзера смогут залогиниться удаленно (т.е. в терминале), а локально с консоли войти не смогут
поставил на контроллере домена в политике "локальный вход в систему" - "все"
пытаюсь терминально зайти юзером (обычным рядовым членом домена) - не пускает, грит вход запрещен локальной политикой
вопрос - на каком этапе данные изменения вступают в силу ?
не нужно ли ребутить комп ?
пытаюсь терминально зайти юзером (обычным рядовым членом домена) - не пускает, грит вход запрещен локальной политикой
вопрос - на каком этапе данные изменения вступают в силу ?
не нужно ли ребутить комп ?
GTHack
Выполни на контроллере команду
secedit /refreshpolicy machine_policy
Выполни на контроллере команду
secedit /refreshpolicy machine_policy
Привет всем, буквально на днях решил интересующую, как вижу многих, проблему. Единственная оговорка: делалось это на Windows Server 2003 Standart, клиентами выступали WinXP Pro.
Для Того, чтобы обычные польхзователи могли заходить на сервер терминалов надо в Domain Controller Security Policy - Security Setiings - Local Policies - User Rights Assignment - Allow Log on through Terminal Services добавить тех пользователей которым вы хотите дать доступ к терминальному серверу, также не забудьте добавить их в группу Remote Desktop Users. Если надо запретить доступ локально мам же добавляем их в группу Deny Log on locally
Для Того, чтобы обычные польхзователи могли заходить на сервер терминалов надо в Domain Controller Security Policy - Security Setiings - Local Policies - User Rights Assignment - Allow Log on through Terminal Services добавить тех пользователей которым вы хотите дать доступ к терминальному серверу, также не забудьте добавить их в группу Remote Desktop Users. Если надо запретить доступ локально мам же добавляем их в группу Deny Log on locally
ITeXPert
Эх, вот если бы ты придумал как это сделать для Win2000 server, цены бы тебе не было.
Цитата:
Сейчас под рукой нет 2003 сервера, но по-моему этой группе уже дано право входить на терминал. Поэтому достаточно сделать одно из этих действий. Лучше второе.
Эх, вот если бы ты придумал как это сделать для Win2000 server, цены бы тебе не было.
Цитата:
Для Того, чтобы обычные польхзователи могли заходить на сервер терминалов надо в Domain Controller Security Policy - Security Setiings - Local Policies - User Rights Assignment - Allow Log on through Terminal Services добавить тех пользователей которым вы хотите дать доступ к терминальному серверу, также не забудьте добавить их в группу Remote Desktop Users
Сейчас под рукой нет 2003 сервера, но по-моему этой группе уже дано право входить на терминал. Поэтому достаточно сделать одно из этих действий. Лучше второе.
а кто-то может подсказать, почему терминал сервер в 2000 Серв не дает соединиться. Клиент пишет, что терминальный сервис закрыл подключение. Что делать?
WolfEnstein
Твой вопрос наверное лучше обсудить в отдельном топике (который ты же и создал).
Мой ответ там.
Твой вопрос наверное лучше обсудить в отдельном топике (который ты же и создал
). Мой ответ там.
Предыдущая тема: Разрешить отключение терминальных сессий пользователями
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.