[Fighter]

Настройка служб терминалов => Подключения => RDP-Tcp => Разрешения

[aleha]

>>Настройка служб терминалов => Подключения => RDP-Tcp => Разрешения

Эти разрешения выставлены.

Пользователи не могут получить доступ вообще к компьютеру.

Пользователи члены локальной группы админов - могут!

выведи бибику из сети,
на PDC снеси этот комп (в управлении юзерами AD),
введи эту бибику опять в домен,
авось поможет

[SergOst]

А пробовали убрать юзеров, которым надо входить на сервер, из группы Domain Users (которая для них наверно основная) и ввести их в группу Print Operators?

[Fighter]

пардон, невнимательно прочёл...
local policy => Назначение прав пользователя => Доступ к компьютеру из сети = ?
local policy => Назначение прав пользователя => Отказать в доступе к компьютеру из сети = ?

[aleha]

Fighter

local policy => Назначение прав пользователя => Доступ к компьютеру из сети = Нужные пользователи
local policy => Назначение прав пользователя => Отказать в доступе к компьютеру из сети = Никого нет


Докопался до того что локальные политики не могут обновлятся
команда : secedit /refreshpolicy machine_policy /enforce
выдает ошибку в логах:

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1000
Дата: 22.12.2004
Время: 16:49:04
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVERNAME
Описание:
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

[Fighter]

у-у-у...
локальный вход энтим пользователям как я понимаю тоже заказан?

Цитата:

Теперь он никого непускает не в терминальную ссессию, не в шары

Цитата:

Докопался до того что локальные политики не могут обновлятся

gpresult что говорит?

что касается ошибки то она скорее всего не единственная и в журнале скорее всего
есть еще как минимум одна на которую собственно и ссылается сообщение...
навскидку можно предположить что причина кроется в неправильно установленых правах
доступа к папке %SystemRoot%\Winnt\Sysvol или для параметра
«Обход перекрестной проверки назначения прав пользователей»
указаны неправильные группы пользователей.

%SystemRoot%\Winnt\Sysvol
Администраторы: полный доступ
Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки
Создатель-владелец: никакие права не установлены явно
Операторы сервера: чтение, чтение и выполнение, список содержимого папки
Система: полный доступ

%SystemRoot%\Winnt\Sysvol\Sysvol\Имя_домена\Policies
Администраторы: полный доступ
Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки
Создатель-владелец: никакие права не установлены явно
Владельцы-создатели групповой политики: чтение, чтение и выполнение, список содержимого папки, изменение, запись
Операторы сервера: чтение, чтение и выполнение, список содержимого папки
Система: полный доступ

Обход перекрестной проверки.
Прошедшие проверку
Все
Администраторы

опять таки всего лишь предположения, более точную причину события можно будет определить только
после более детальной инф.

а что пишут здесь:
%SystemRoot%\security\logs\winlogon.log

[Lex1978]

Там 2 режима фунициклирования сервера терминалов:
- Administrative mode(могут подключаться только 2 администартора)
- Aplication mode(могут на серваке работать юзера)

У тебя стоит первый. Переведи в Aplication mode. Он будет рабоать 90 дней. Чтобы убрать ограничение нужно ставить Лицензирование служб терминалов и лицензировать юзеров на нем. Это отдельная прога, не идущая в комплекте с виндой...

[aleha]

Цитата:

Там 2 режима фунициклирования сервера терминалов: - Administrative mode(могут подключаться только 2 администартора) - Aplication mode(могут на серваке работать юзера)

До перевода в домен сервер работал в режиме Aplication mode.
Разве он мог поменять этот режим при вводе в домен?