Пресловутый RDP...
 

Братцы, да прибудет с вами сила, помогите разобраться:

Стенд: Windows Server 2019 + 3 машинки Windows 10 Pro в домене.

Удаленный рабочий стол с сервера до этой троицы - как администратор - подключаюсь без проблем, как пользователь - НЕТ. :dont-know

Ошибка: приложение было запрещено, т.к. учетная запись пользователя не имеет прав для удаленного входа в систему

Все 3 пользователя добавлены в группу "Пользователи удаленного рабочего стола", они же добавлены в локальную политику "Разрешить вход в систему через службу удаленных рабочих столов", знаю что политика "Запретить вход в систему через службу удаленных рабочих столов" более приоритетна - там их нет, она вообще пустая.

Что ещё может быть? Ведь под админом работает - значит действительно что-то с правами, но где?

Для пользователей надо установить Терминальный сервер (могу ошибаться).

На этих трёх рабочих станциях добавлены?

Нет. На сервере конечно. Локальные пользователи вроде бы отключаются при добавлении компьютера в домен. Могу ошибаться.

Ну если вы подключаетесь с сервера к рабочим станциям, то на рабочих станциях нужно добавить в локальную группу соответствующих пользователей.

Так. Давайте разбираться.

Я подключаюсь с сервера к рабочим станциям. Но ведь на рабочих станциях локальные пользователи отключены, эти станции в составе домена, а настроек для пользователей домена, как я понимаю, на рабочих станциях быть не может.

На картинке - пользователи рабочей станции.

При этом, повторюсь, под админом к этой машине спокойно можно подключиться с сервера и вообще с любой другой машины. А вот как пользователь - нет.

Soulmate, в локальную группу "Пользователи удаленного рабочего стола" добавляете нужного пользователя. И этот пользователь вполне может быть доменным.

Интересная мысль. Проверил сейчас группу "Пользователи удаленного рабочего стола" на локальной машине - см. скрин... Можно предположить что это доменный пользователь "Администратор"? Если так - как мне добавить сюда доменный пользователей "User"? Это наверняка должно происходить посредством сервера? Потому как локальную машину никто специально не настраивал, а админ в этой группе откуда-то проявился...

Нажать кнопку Добавить (там выбрать домен, нажать Поиск и т. д.).
SID оканчивается на 513 - это Domain Users. Но неизвестно, какого именно домена (раз имя не определяется, к нему нет доступа).

Значит, рассказываю:

Удалил эту непонятную запись и добавил пользователя в группу "Пользователи удаленного рабочего стола" на локальной машине по совету уважаемого Petya V4sechkin и, о, чудо - есть коннект! Так действительно работает. Большое спасибо за совет!

Но если отойти от правила "работает - не трогай" :) кто-нибудь может объяснить почему под админом работает без добавления в группу на локальной машине? Сейчас в группе пользователей удаленного рабочего стола только один пользователь домена и нет никаких там администраторов - так почему с учеткой админа соединяемся без проблем, а с учеткой пользователя - только если добавим его ручками в группу на локальной машине?.. Хочется это понимать, а не просто принять и жить с этим :)

Потому что локальная политика "Разрешить вход в систему через службу удаленных рабочих столов" по умолчанию содержит группы:

• Администраторы
• Пользователи удаленного рабочего стола

Да. Так и есть. Теперь пазл сложился.

Вам - большое человеческое Спасибо! Полезное знание. :good: