Ограничения учетки
 

Возникла необходимость создать новую учетную запись для входа через удаленный рабочий стол.

Столкнулся с тем, что любая группа кроме администраторов получает "Отказ в доступе"
(видимо это как-то связано с лицензией терминалов итп, точно не знаю).
А поскольку цель стояла просто закрыть новой учетной записи доступ к системному диску и нескольким директориям на другом, нарисовалась проблема - закрыть-то все закрыто, вот только вкладку "Безопасность" у этого пользователя отключить я не могу и он сам в состоянии поменять права и сделать заблокированные папки открытыми :)
Подсобите нубу советом.

KB289289 читали?
А также Пуск -> Выполнить -> tscc.msc -> Подключения -> Свойства -> вкладка Разрешения.

Это связано с тем, что вы не внесли этого пользователя в группу Пользователи удалённого рабочего стола.

Petya V4sechkin, Angry Demon, все это учтено и выполнено...

Что именно?

Все это и не только, где нужно везде все добавлено и прописано... я так думаю.

Т.е. у "неосновных администраторов" вкладку "безопасность" отключить нельзя?

Можно (в политике), но лучше разберитесь с доступом.

Значит, и в Пуск -> Выполнить -> secpol.msc -> Локальные политики -> Назначение прав пользователя -> параметры "Запретить вход в систему через службу терминалов" и "Разрешать вход в систему через службу терминалов" тоже смотрели?

ASPNET
Пользователь прописан

Еще раз уточню, если пользователя добавить в группу администраторов, вход осуществляется без проблем.

Смотрел там, уточните пункт пожалуйста.

Службы терминалов
Роль сервера терминалов: настройка сервера терминалов

А обязательно лицензирование сервера терминалов?
Мне хватает средства «Администрирование удаленного рабочего стола», если я вас правильно понял.

VV189,
доступно только членам группы "Администраторы", не требует дополнительного лицензирования, возможно не более двух одновременных подключений. В иных случаях требуются дополнительные лицензии на подключения клиентов.

Мое предположение оправдалось.
Так какие шаги мне нужно сделать для того чтобы запретить второй учетной записи менять разрешения на директории через вкладку "Безопасность"?
Или этого нельзя сделать?

для этого необходимо создать явный запрет:
добавить данного пользователя в acl с запретом "смена разрешений":
безопасность\дополнительно\(выбрать этого пользователя)\изменить

поскольку пользователь уже входит в группу администраторы, разрешения ставить не надо, единственная "галочка" должна стоять в столбце "запретить" напротив параметра "смена разрешений"

Однако хочу отметить, что вы пошли не правильным путем.
Во-первых, правильнее будет разобраться как дать пользователю права на удаленный рабочий стол, нежли давать ему привилегии администратора, а потом их пытаться урезать.
Во-вторых, привилегии администратора распространяются гораздо выше, нежли смена нтфс разрешений, а значить ни кто не мешает ему, к примеру, создать еще одну учетную запись с теми же правами и от ее имени снять с себя запрет и это самый долгий способ, права можно просто сбросить. Либо заломать что-нибудь еще.
В-третьих,....
еще раз подумайте, вы даете права АДМИНИСТРАТОРА,... тут такое раздолье, что перечислять устанешь.
Всегда следуйте главному принципу безопасности - ни у кого не должно быть привилегий больше, чем необходимо для выполнения своих служебных обязанностей.

Действительно, о подобных моментах я не думал...
Вот теперь совсем в замешательстве.
Исходя из написанного выше Может с фтп пошаманить проще будет для открытия доступа к нужному каталогу? :)

Откуда такие сведения, можно ссылку на источник?

В политике "Разрешать вход в систему через службу терминалов" должны быть две группы: Администраторы и Пользователи удаленного рабочего стола.

Petya V4sechkin,
http://technet.microsoft.com/ru-ru/l...14(WS.10).aspx
С помощью средства «Администрирование удаленного рабочего стола» администраторы имеют возможность управлять компьютерами, работающими под управлением операционных систем семейства Windows Server 2003.
Речь же не идет об обычном подключении.

Создаётся пользователь.
Добавляется в группу удалённого пользования. И дальше ему ограничиваются папки. Полностью доступ к системному диску закрыть не возможно. так как при таком раскладе не будет грузиться профиль данного пользователя.
А пользователи по умолчанию не имеют прав на изменения правил к папкам. Проще всего в АД сделать соответствующие группы одной дать права на удалёнку (Без терминал сервера работать не будет) и дать разрешение на действия и папки и всё.

Цитата:

Цитата monkkey С помощью средства «Администрирование удаленного рабочего стола» администраторы имеют возможность управлять компьютерами

Вы полагаете, что группа "Пользователи удаленного рабочего стола" вообще не нужна? А ее название всех вводит в заблуждение?

Ладно, по ссылке
Подключение к средству «Администрирование удаленного рабочего стола»

Цитата:

Цитата TechNet Убедитесь в наличии необходимого разрешения на использование средства «Администрирование удаленного рабочего стола». Для этого необходимо быть администратором или участником группы «Пользователи удаленного рабочего стола».

Чтобы не быть голословным, провел простой эксперимент: на обычном сервере (без установленного сервера терминалов) добавил учетку пользователя (не админа) в группу "Пользователи удаленного рабочего стола" и без проблем подключился.


VV189, сервер, к которому подключаетесь, случайно не контроллер домена?

Насколько я знаю - нет.

То есть, вы не уверены? :)
Пуск -> Панель управления -> Администрирование -> Политика безопасности контроллера домена есть?

Нет :)

VV189, значит, это полтергейст.
Если (как вы говорите) учетка прописана в группе и политики заданы верно, и в оснастке Tscc (на вкладке Безопасность), то проблем быть не должно.

P. S. Еще параметр IgnoreRegUserConfigErrors нашел (из разряда "танцев с бубном").

Тоже попробовал... :(

Надеюсь никак не связано, что учетка данного пользователя это бывший "Гость"

Может быть (не хватает каких-то привилегий), попробуйте создать новую учетку.
При наличии ошибок в журнале событий приведите их в соответствии с этими инструкциями.

Оказывается проблема крылась именно в этом! Всем спасибо за участие!