2K8R2 TS - вопрос про доступ на ТС
 

Есть 2к8r2, поднята роль ТС, серв не является КД, КД отдельная тачка. Собсно вопрос: на КД есть группа безопасности "Пользователи УРБ" попадая туда юзер должен по идее входить на ТС но этого не происходит. Заходит он только если в эту группу его внести на самом ТС, то есть получается она не глобальная =/
Также на ТС в конфигурации безопасности на доступ к ТС указываю глобальную группу (создана на КД), даю ей права, сую в нее на КД же юзеров, группу видит права ставит но юзеры всерно не входят. Во всех случаях что-то типа "Нет прав для входа. По дефолту тока админы могут бла-бла-бла" Короче ничего не пашет если только ты не админ и если не в локальной группе "Пользователи УРБ" на самом ТС...

Так надо или я туплю в конец?

Local Policies -> User Right Assignment -> Allow Logon through Remote Desktop, если ми правильно понимайт суть вопрос.

А ТС включен в домен c КД? На нем есть доменная группа Remote Desktop Users?
Согласно правил лицензирования под одной терминальной лицензией можно ходить на разные терминальные сервера в домене.

TS в домене, на ТС есть такая группа ессно, если туда помещаю то все работает, но если помещаю в такую же группу на КД или создаю глобальную группу и даю ей право входа на ТС то пофиг вообще на все =/
С лицензиями пока пох ибо там триал еще есть...

Еще раз задам: если поместить юзера в группу "RDU" это должно отрабатывать на отдельно стоящем ТС? Ведь он же должен увидеть типа ghresult в какие группы входит юзер исоответственно пускать на ТС. Когда я на самом КД поднял ТС конечно кроме админов никого не пускал ну я и не стал париться поставил ТС на standalone.

Это на КД сделать или на ТС?

У Вас нет репликации информации AD между серверами.
Обычно когда помещаешь юзера в какую-нибудь группу на одном сервере, а затем заходишь в ту же группу на другом сервере домена, то там уже юзер есть, там помещать в эту же группу не надо - репликация все сделала.
Надо сделать ТС - КД.

Remote Desktop Users — группа локальная по определению. Соотв., у каждого сервера своё понятие о ней.
Репликация между контроллером и рядовым членом домена — новое слово в Active Directory. Уже запатентовали?

Вот тут http://forum.ixbt.com/topic.cgi?id=7:37987 подробно обсуждался вопрос автора темы, причем RDU - доменная группа на КД.

Что это?

Терминальный сервер сделать контроллером домена, у него все равно триал.

Если на КД поднимать ТС то визард люто остерегает это делать и надо два раза подтвердить еще это дело и плюс с обычными юзерами КД ведет себя агрессивно и нужно еще политики править чтобы он нормально пускал на КД с ТС.

То есть RDU на ТС только имеет силу?

А как быть с глобальными группами которые видят все 2к8р2? Он ее внес, выдает что галочки стоят все зашибись но если пытаться зайти на ТС не будучи в RDU но будучи в кастомной глобальной группе которой есть разрешения то тоже не пускает оО

Нужно:
1. изучить механизм применения групп в доменах, в том числе Built-In Local
2. изучить все настройки Group Policy, в которых говорится о праве на терминальный вход.

Делать терминальный сервер контроллером не нужно.

Конечно, необязательно.

Вот, например, у меня почти аналогично автору темы есть сервер 2008R2 standalone, который вообще в домен не включен, но на котором установлено терминальное приложение. Там ВРУЧНУЮ насозданы обычные пользователи с ОБЫЧНЫМ доступом БЕЗ ВСЯКИХ ГРУПП, но с именами и паролями идентичными доменным, которые пользуются коллективно терминалом, заходя рдп-клиентами под своими ДОМЕННЫМИ учетками(прямо с именем домена перед \) по ip-адресу.
Если бы установил КД, то вручную ничего делать не надо было бы.


В той же теме с ixbt советуют включать в глобальную группу ту самую RDU - domain local (так она называется у меня на КД), в которой пользователи, и тогда входы будут работать. Только есть ли на ТС у автора та самая RDU - domain local? Скорее всего нет. И надо ему все вручную делать, как мне на моем standalone ТС сервере.

В любом случае вопрос у автора теоретический, а не практический, т.к. он знает как пустить пользователей на свой ТС.

У вас что ни совет, то новый патент. Я посмотрю на вас, как вы сможете включить Built-in Local Group в глобальную.

И клоунада с конфигурацией. Вы не понимаете, как работают Built-in local groups и для чего нужен домен вообще, поэтому и ставите одиночный сервер с совпадающими логинами. Более того, роль контроллера домена к терминальному серверу не имеет ровно никакого отношения. Неделю назад я вам уже рекомендовал придержать неработоспособные советы, начинается новый круг. Откройте учебник хотя бы для экзамена 70-640, третий модуль рассказывает о том, что такое группы, а также границы их применения. Тема Group Policy в этом учебнике тоже рассматривается.

Я уже всё сказал автору темы. Всё сказал. 1. built-in local groups типа Remote Desktop Users являются строго локальными по отношению к каждому отдельному серверу (и общими для всех контроллеров). 2. если не хочется добавлять кого-то в Remote Desktop Users, нужно пойти и править хотя бы Local Security Policy, раздел User Right Assignment. Какая буква неясна?

Ну вообщем да, хотел узнать как должно быть!

Ведь когда заводишь юзера все делаешь по идее на КД, какого черта еще вносить группы которые видит любой член домена на ТС'e?

То есть это так и есть что нужно на самом ТС вносить в группы или все-таки на КД внес и все ок??? Так на всех ТСах запаришься клацать

Ладно ок-ок) Спасибо, буду там курить)

Для этого существуют всё те же Group Policy (сюрприз!). Например, политикой Restricted Groups доменная глобальная группа MyCompany Managers может быть занесена в локальную Remote Desktop Users, надо лишь такую политику создать и пристыковать к контейнеру, в котором содержатся учётные записи всех терминальных серверов.

Для дибилов можно подробней :unsure:

Большая компания? Много учётных записей компьютеров/пользователей?
Они распределены по OU? Терминальные сервера хранятся в своём ОУ?
Терминальные пользователи уже объединены в глобальную группу согласно некоему признаку? Что есть-то?

ничего нету, на виртуалке ТС поднял, ввел в домен виртуальный же
админы заходят и заходят юзеры которые локально в группе RDU
хотел узнать способы делать все на КД а не шастать по каждому ТС =/

Если объясните принцип буду благодарен

1. Если ещё не установлена, установить консоль Group Policy Management на Domain Controller или машину, с которой выполняется администрирование.
2. Создать структуру OU, как в этом документе - http://office.optimalsolutions.lv/et...0109 2009.doc , стр. 3. Весь документ во внимание брать не стоит, он не доделан.
3. Создать политику вида MyCompany Computers Group Management, подключить к OU Terminal Servers.
4. В этой политике определить членство в группе Remote Desktop Users либо через Windows Settings -> Security Settings -> Restricted Groups, либо через Preferences -> Control Panel Settings. Напомню, при этом главное умение администратора — умение читать.
5. На конкретном терминальном сервере либо выполнить gpupdate, либо ждать цикла исполнения политик. (90-+30 минут).

Спасибо буду курить)

Сообщите, хоть, получилось ли по описанному пользователям, включенным в политику RDU на КД входить в терминал на ТС, а то не всегда работает то, что красиво теоретически написано.