[WindowsNT]

Нужно:
1. изучить механизм применения групп в доменах, в том числе Built-In Local
2. изучить все настройки Group Policy, в которых говорится о праве на терминальный вход.

Делать терминальный сервер контроллером не нужно.

[alef2474]

Цитата WindowsNT:

Делать терминальный сервер контроллером не нужно »

Конечно, необязательно.

Вот, например, у меня почти аналогично автору темы есть сервер 2008R2 standalone, который вообще в домен не включен, но на котором установлено терминальное приложение. Там ВРУЧНУЮ насозданы обычные пользователи с ОБЫЧНЫМ доступом БЕЗ ВСЯКИХ ГРУПП, но с именами и паролями идентичными доменным, которые пользуются коллективно терминалом, заходя рдп-клиентами под своими ДОМЕННЫМИ учетками(прямо с именем домена перед \) по ip-адресу.
Если бы установил КД, то вручную ничего делать не надо было бы.


В той же теме с ixbt советуют включать в глобальную группу ту самую RDU - domain local (так она называется у меня на КД), в которой пользователи, и тогда входы будут работать. Только есть ли на ТС у автора та самая RDU - domain local? Скорее всего нет. И надо ему все вручную делать, как мне на моем standalone ТС сервере.

В любом случае вопрос у автора теоретический, а не практический, т.к. он знает как пустить пользователей на свой ТС.

[WindowsNT]

У вас что ни совет, то новый патент. Я посмотрю на вас, как вы сможете включить Built-in Local Group в глобальную.

И клоунада с конфигурацией. Вы не понимаете, как работают Built-in local groups и для чего нужен домен вообще, поэтому и ставите одиночный сервер с совпадающими логинами. Более того, роль контроллера домена к терминальному серверу не имеет ровно никакого отношения. Неделю назад я вам уже рекомендовал придержать неработоспособные советы, начинается новый круг. Откройте учебник хотя бы для экзамена 70-640, третий модуль рассказывает о том, что такое группы, а также границы их применения. Тема Group Policy в этом учебнике тоже рассматривается.

Я уже всё сказал автору темы. Всё сказал. 1. built-in local groups типа Remote Desktop Users являются строго локальными по отношению к каждому отдельному серверу (и общими для всех контроллеров). 2. если не хочется добавлять кого-то в Remote Desktop Users, нужно пойти и править хотя бы Local Security Policy, раздел User Right Assignment. Какая буква неясна?

[NTLose]

Ну вообщем да, хотел узнать как должно быть!

Ведь когда заводишь юзера все делаешь по идее на КД, какого черта еще вносить группы которые видит любой член домена на ТС'e?

То есть это так и есть что нужно на самом ТС вносить в группы или все-таки на КД внес и все ок??? Так на всех ТСах запаришься клацать

Ладно ок-ок) Спасибо, буду там курить)

[WindowsNT]

Для этого существуют всё те же Group Policy (сюрприз!). Например, политикой Restricted Groups доменная глобальная группа MyCompany Managers может быть занесена в локальную Remote Desktop Users, надо лишь такую политику создать и пристыковать к контейнеру, в котором содержатся учётные записи всех терминальных серверов.

[NTLose]

Цитата WindowsNT:

Для этого существуют всё те же Group Policy (сюрприз!). Например, политикой Restricted Groups доменная глобальная группа MyCompany Managers может быть занесена в локальную Remote Desktop Users, надо лишь такую политику создать и пристыковать к контейнеру, в котором содержатся учётные записи всех терминальных серверов. »

Для дибилов можно подробней

[WindowsNT]

Большая компания? Много учётных записей компьютеров/пользователей?
Они распределены по OU? Терминальные сервера хранятся в своём ОУ?
Терминальные пользователи уже объединены в глобальную группу согласно некоему признаку? Что есть-то?

[NTLose]

ничего нету, на виртуалке ТС поднял, ввел в домен виртуальный же
админы заходят и заходят юзеры которые локально в группе RDU
хотел узнать способы делать все на КД а не шастать по каждому ТС =/

Если объясните принцип буду благодарен

[WindowsNT]

1. Если ещё не установлена, установить консоль Group Policy Management на Domain Controller или машину, с которой выполняется администрирование.
2. Создать структуру OU, как в этом документе - http://office.optimalsolutions.lv/et...0109 2009.doc , стр. 3. Весь документ во внимание брать не стоит, он не доделан.
3. Создать политику вида MyCompany Computers Group Management, подключить к OU Terminal Servers.
4. В этой политике определить членство в группе Remote Desktop Users либо через Windows Settings -> Security Settings -> Restricted Groups, либо через Preferences -> Control Panel Settings. Напомню, при этом главное умение администратора — умение читать.
5. На конкретном терминальном сервере либо выполнить gpupdate, либо ждать цикла исполнения политик. (90-+30 минут).

[NTLose]

Спасибо буду курить)