Чтобы пользователь мог подключиться к терминальному серверу Windows 2000

October 13th, 2008 | by admin |

Чтобы пользователь мог подключиться к терминальному серверу Windows 2000, должно соблюдаться три условия.

  1. В свойствах учетной записи пользователя на вкладке Terminal Services Profile должен быть включен режим Allow logon to terminal server (“по умолчанию включен для всех учетных записей”).
  2. Пользователю необходимо предоставить разрешения (permissions) на протокол RDP-TCP, используемый для подключения к терминальному серверу. Как минимум – разрешение User Access (предусматривает подключение и просмотр статуса других пользователей терминального сервера) или Guest Access (только подключение). Разрешения по умолчанию зависят от режима работы терминального сервера. В режиме Application Server разрешено неограниченное количество подключений, но требуютcя лицензии для каждого пользователя (без лицензий сервер работает только 90 дней). В этом случае всем пользователям по умолчанию предоставляется разрешение User Access. В режиме Remote Administration покупка лицензий на терминальный доступ не требуется, и ограничений по времени нет, но разрешены только два одновременных подключения с правами администратора, т. е. режим предназначен для удаленного администрирования. При этом разрешения на протокол RDP-TCP даны только группе Administrators. Чтобы предоставить обычному пользователю право на подключение к серверу в этом режиме, нужно открыть пункт меню Start -> Programs -> Administrative Tools, запустить утилиту Terminal Services Configuration, открыть папку Connections -> свойства объекта RDP-TCP -> вкладка Permissions. Откроется список контроля доступа к протоколу RDP-TCP, в котором следует предоставить соответствующему пользователю разрешение User Access.
  3. У пользователя должно быть разрешение на интерактивный вход в систему (регистрация с клавиатуры), поскольку подключение к терминальному серверу приравнивается системой безопасности Windows 2000 к интерактивному. На обычном сервере и рабочей станции это разрешение есть у всех пользователей, но на контроллере домена для обычных пользователей, не входящих в группы администраторов или операторов (Server Operators и т. д.), интерактивный вход по умолчанию запрещен. Как следствие, пользователи не могут подключиться к терминальному серверу, если он является контроллером домена. Сообщение об ошибке при этом выдается именно такое, которое указано в письме. Чтобы сменить разрешения на интерактивный вход, необходимо изменить групповую политику контроллеров домена. Следует открыть оснастку Active Directory Users and Computers -> [имя-домена] -> папка Domain Controllers -> свойства -> вкладка Group Policy. Там вы найдете объект групповой политики (GPO) под названием “Default Domain Controllers Policy”. Нужно выделить этот объект и нажать кнопку Edit – запустится редактор групповой политики. В редакторе следует открыть раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assigment. В этом разделе нужно найти разрешения на системные действия, такие, как интерактивный вход, перевод системных часов и т. д. Разрешение на интерактивный вход называется “Log on Locally”. Требуется открыть его двойным щелчком мыши, добавить в список соответствующих пользователей, нажать OK. Записывать на диск ничего не нужно. Далее следует либо подождать 5 мин, либо вручную ускорить процесс применения групповой политики, набрав в командной строке: secedit /refreshpolicy machine_policy. Имейте в виду – если контроллеров домена несколько, может потребоваться дополнительное время на репликацию групповой политики с контроллера на контроллер.

Источник: http://www.osp.ru/win2000/2002/05/175474/

Post a Comment

*