Цитата Mr_Kotyara2011:
|
У них есть право локального входа на сервер терминалов. Мои пользователи находятся в группе пользователи которая насколько я знаю разрешает локальный вход, в группе пользователи удалённого рабочего стала и в группе администраторы. »
|
Как то сумбурно написано, очень сложно понять что здесь имеется в виду...
Так или иначе, существует несколько способов предоставить пользователям права входа на сервер терминалов:
1.
"Панель управления"->"Администрирование"->"Настройка служб терминалов" (или "Пуск"->"выполнить"->tscc.msc)
далее в появившемся окошке "подключения"->"RDP-Tcp"->"Свойства"
в окне свойств RDP-Tcp вкладка "разрешения"
Здесь надо добавить группу (желательно доменную) пользователей которые будут иметь право подключаться к серверу по rdp
пользователи добавленные здесь с правами "доступ пользователя", будут иметь обычные права пользователя на данном сервере их не нужно добавлять в локальную группу пользователей или производить вообще какие-либо дополнительные действия
желательно использовать доменные группы, а не локальные или встроенные.
(см. 1.jpg)
2.
"Мой компьютер"->"управление" (или "Пуск"->"выполнить"->compmgmt.msc)
далее "служебные программы"->"локальные пользователи и группы"->"группы"
выбрать "пользователи удаленного рабочего стола" и добавить в данную группу пользователей или группу пользователей, которым будет разрешен доступ по rdp
по умолчанию "пользователи удаленного рабочего стола" имеют доступ пользователя, так что дополнительных действий производить больше не надо
Способ подходит для использования в рабочих группах, в случае наличия домена, следует использовать способ 1.
(см. 2.jpg)
----
Следует избегать использование учетных записей пользователей, а использовать для добавления группу, в не зависимости от того, будете вы использовать локальные или доменные записи, добавлять их в группу пользователей удаленного рабочего стола или добавлять группу в настройках служб терминалов.
----
Если после проделывания вышеописанного, вы по прежнему видете сообщение: "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов", то необходимо проверить, не запрещен ли пользователю вход на серверы терминалов в принципе (если есть АД):
Для этого на контроллере домена, либо с любого другова места, где установлены утилиты администрирования, запустите оснастку "пользователи и компьютеры"
"Панель управления"->"Администрирование"->"Active Directory - пользователи и компьютеры" (или "Пуск"->"выполнить"->dsa.msc)
Здесь найдите вашего пользователя и в свойствах на вкладке "Профиль служб терминалов" проверьте отсутствие "Запретить этому пользователю вход на серверы терминалов" (в самом низу над кнопкой "Ок" есть чекбокс)
еще запрет устанавливается в локальных политиках безопасности (возможно распространение данного параметра через ГП)
В не зависимости от способа распространения необходимо убедится в отсутствии запрета
на локальном компьютере:
"Панель управления"->"Администрирование"->"Локальная политика безопасности" (или "Пуск"->"выполнить"->secpol.msc)
здесь "локальные политики"->"назначение прав пользователя"
параметр "запретить вход в систему через службу терминалов"
или
через "редактор объектов групповой политики" (gpedit.msc)
"Конфигурация компьютера"->"Конфигурация Windows"->"параметры безопасности"->"локальные политики"->"назначение прав пользователя"
параметр "запретить вход в систему через службу терминалов"
если явный запрет распространяется через ГП, то
на контроллере домена, либо с любого другова места, где установлены утилиты администрирования
"Панель управления"->"Администрирование"->"Group Policy Management" (или "Пуск"->"выполнить"->gpmc.msc)
"Конфигурация компьютера"->"Конфигурация Windows"->"параметры безопасности"->"локальные политики"->"назначение прав пользователя"
параметр "запретить вход в систему через службу терминалов"
Если явного запрета не обнаружено, а сообщение "Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов" все еще появляется, то внимательно проделайте все еще раз, чтобы найти то что было упущено, так как описанные 2 варианта полностью работоспособны без дополнительных действий.
