у пользователей RDP слетаю пароли на локальных ПК
 

есть сервер 2008r2, на нем 1с и соответственно РДП. работает все хорошо и быстро до определенного момента. у всех пользователей настроено подключение по РДП с сохранением учетных данных, т.е. пользователь нажал на ярлык подкл. к рдп на своем раб. столе и тут же залетел на свой рабочий стол.
проблема вот в чем: после некоторого времени работы сервера, пользователи не могут зайти на сервер. они логинятся и появляется окно выбора пользователя и пароля. в окне их пользователь и типа другой, ниже ввод пароля. они выбирают своего пользователя и вводят пароль вручную (вернее я, т.к. они не знают пароли свои) и все заходит и работает. стоит выйти с рдп и опять зайти, та же ситуевина -это происходит у всех сразу. после перезагрузки сервера приходит все в норму, опять все работает на автомате, т.е. сервер не запрашивает пароль у пользователей.
в чем может быть дело?посоветуйте

это 5 баллов.

описание проблемы совершенно непонятное, но решение простое - настройте Single Sign-on http://blog.windowsnt.lv/2011/11/01/rdp-sso-russian/

а что непонятного? заходишь на рдп, рабочий стол появился и ты работаешь. например 2 недели все работает каждый день без сбоев. затем как то открываешь рдп и тут раз: непонятная заставка с твоим пользователем и запросом пароля... и юзер думает, че за фигня, какой еще пароль?
ЗЫ пароли рдп знают избранные, т.к. некоторым необходимо работать вечерами или ночами из дома. а вот что бы все подряд не ломились на сервак, когда идут всякие проводки, перепроводки, изменения конфига и т.п. было принято решение не разглашать эту информацию (еще до меня ввели это правило)

экранную заставку на сервере выключите + выход только через "завершение сеанса", а не крестиком.
то есть штатный функционал ограничения входа показался слишком сложным и пришлось придумать костыль.
изящное решение.

экранной заставки нет. да и стоит авто вышибание через час после простоя. если чел не работает или некорректно закрыл рдп (через крестик) его сервак выбрасывает. -я думаю тут понятно, что чел с утра пришел, вкл рдп а там не то,что он привык выдеть -это явно не заставка.

штатный функционал-вы имеете ввиду настроить расписание работы рдп того или иного клиента?

неа. запрет входа на терминальный сервер.
можно делать командой в консоли, можно крыжечкой в GUI.
тогда я не понимаю как это у вас получается.

про запрет так и не понял. проще настроить для каждого клиента расписание, т.к. частично вечером заваливается народ на сервак, а другим запрещено работать вечером или ночью...

вот про эти выкрутасы с паролями я тоже не пойму что происходит. причем проявляется такая проблема в хаотичном порядке. может через неделю проявиться, а может и месяц не беспокоить((

Смотрите в настройки конфигурации RD Session Host. Похоже на то, что разрешен доступ пользователям в существующую сессию, но при этом запрашивается пароль.

А как юзерам запретить выходить крестиком? Некоторые непослушные все равно будут жать на х - так им проще.

А такой настройки там нет, чтоб запретить. Есть Restrict each user to a single session, но это не то. Если user в свою разорванную сессию входит под зашитым паролем, то пароль не спрашивается.

еще какие советы?

В ряде случаев мне пришлось перекомпилироват mstscax.dll через Resource Hacker, убрав кнопку OK с диалогового окна закрытия соединения. В других случаях помогает только письменная политика безопасности предприятия + штрафы.

да фиг с этим крестиком, он меня не волнует, повторюсь, есть автовышибание...
что делать с периодическим запросом пароля?

вот что в журнале:
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 18.02.13 8:12:18
Код события: 4634
Категория задачи:Выход из системы
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: serv2
Описание:
Выполнен выход учетной записи из системы.

Субъект:
ИД безопасности: SERV2\пользователь
Имя учетной записи: пользователь
Домен учетной записи: SERV2
Код входа: 0x5d825d58

Тип входа: 3

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2013-02-18T04:12:18.921078500Z" />
<EventRecordID>453931</EventRecordID>
<Correlation />
<Execution ProcessID="632" ThreadID="1128344" />
<Channel>Security</Channel>
<Computer>serv2</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-21-2374555121-3949682706-173923068-1011</Data>
<Data Name="TargetUserName">пользователь</Data>
<Data Name="TargetDomainName">SERV2</Data>
<Data Name="TargetLogonId">0x5d825d58</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>

тема еще очень актуальна...

- База 1С до сих пор живая? Наверно на SQL'е если живая, если в файловом, то странно.... Но в любом случае при такой схеме рискуете получить ошибки в БД 1С, т.к. она "не любит" некорректного завершения сеансов.

базы были только СКЛ. как перенес туда еще и файловые базы, исправил данную схему вышибания: оставил только выкидывание пользователей, если они некорректно закрыли сеанс (через крестик).
проблема актуальна как никогда, помогите разобраться. заказал еще оперативки столько же на сервак, мне кажется что из-за оперативы это...хотя когда данная проблема проявилась крайний раз, я делал так: перезапускал СКЛ (она основную часть оперативы кушает), использование памяти падало в 2 раза и все равно люди не могут войти (требует пароль), только ребут помогает

Привет, подскажи пожалуйста как ты решил эту проблему? у меня тоже самое... все перепробовал, ничего не помогает...
Заранее спасибо.

Тема актуальна и для меня...Проблема такая же, помогает перезагрузка, настройки гпо стоят , настраивал как предложил cameron, по http://blog.windowsnt.lv/2011/11/01/rdp-sso-russian/ и по другим тоже смотрел, если бы были не верные то после перезагрузки бы проблема оставалась.Как решать то? Оперативы 12гб но занята примерно на 90-95 %, крутится 1с сервак на нем.

итак решение, которое я нашел (обосновал его пользователям RDP, что такая политика введена из-за безопасности):
-св-а RDP - параметры входа в систему и там поставить галочку "Всегда запрашивать пароль"
т.е. при входе в RDP у пользователя всегда будет запрашиваться пароль (как раз в плане безопасности немного полезно будет) и никаких ребутов больше не будет

данная проблема обнаружена только на серверах, где находится SQL сервер, на других, где лежит тупо файловая база, такого не наблюдалось.
серваки у меня такие: в основном ОЗУ более 36Гб (но есть один где 256Гб и 2 проца нехилых) -везде наблюдается эта проблема, хотя ресурсов и наполовину не сжирается (для SQL порезал оперативу, т.к. сколько не дай ему, все сожрет)

2-е решение(наверно самое правильное), отдельный сервер с SQL+базы, второй сервак чисто под RDP -связка такая есть у меня теперь, НО увы уже в плане безопасности действительно юзерам необходимо постоянно вводить пароль на RDP, т.к. сервера уже не в этой стране)

нет, на сервере с SQL и 1C пароль вполне может сохраняться, отдельный сервер не обязательно из-за этого.