Por que o grupo “Usuários da Área de Trabalho Remota” continua se esvaziando? E mais estranhos problemas de RDP

Navegue suas respostas
1

Estou executando um PDC do Windows Server 2003 com AD e temos duas máquinas que exigem que todos possam fazer login remotamente. Portanto, adiciono "Usuários de Domínio" à conta "Usuários da Área de Trabalho Remota" incorporada, mas depois de uma atualização de política esse grupo se esvazia, o que resulta no erro "A política local deste sistema não permite que você efetue logon interativamente".

No GPO, adicionei o grupo "Usuários do domínio" a "Permitir logon pelos serviços de terminal". Isso me faz passar o erro anterior, mas traz uma nova mensagem de erro "Você não tem acesso ao logon nesta sessão".

Os administradores de domínio podem fazer o login ok, são apenas usuários normais que não podem.

Alguém tem alguma ideia? Estou arrancando meu cabelo aqui. Eu venho de um background unix admin, então isso é tudo novo para mim. GPO está provando ser uma dor real no rabo, mas útil para algumas coisas.

Por favor, ajude!

Obrigado!

Editar: devo mencionar as duas máquinas que exigem que as pessoas possam RDP em são clientes do Windows XP, para que eles não têm a ferramenta "Terminal Services Configuration". Edit2: executando o Windows Server 2003 R2 x64, atualizado ao máximo.

    
por djk 26.06.2009 / 12:36

3 respostas

5

No primeiro trecho do seu post, parece que alguém já configurou uma "Política de Grupos Restritos" para o grupo "Usuários da Área de Trabalho Remota", o que explica por que ela "foi esvaziada". Isso não é um recurso de estoque OS - alguém configurou isso em algum momento. Você pode contornar isso modificando o GPO que estava "esvaziando" o grupo ou criando um novo GPO que se aplica após o GPO existente "Restricted Groups" para substituir a configuração.

O próximo bit - o bit "Você não tem acesso ao logon nesta sessão" é um pouco mais confuso. Eu tenho tentado reproduzi-lo em um Windows Server 2003 SP2 32-bit Std. máquina por um tempo agora, e eu não posso chegar a uma condição de reprodução.

Se desejar, abra a ferramenta "Configuração dos serviços de terminal" na máquina, realce o nó "Conexões" no painel esquerdo e exiba as "Propriedades" do objeto "RDP-Tcp" no painel direito. Dê uma olhada na guia "Permissões" e veja que "Usuários da Área de Trabalho Remota" recebem "Acesso do Usuário" e "Acesso do Convidado" (a permissão de estoque).

Caso contrário, não tenho certeza se posso reproduzi-lo. Qual nível de service pack você está executando do W2K3?

(BTW: Eu tenho um background parecido para você - eu comecei no Unix e mudei para o Windows de má vontade. Group Policy é incrivelmente útil quando você supera as peculiaridades. Eu escrevo máquinas Windows como um homem louco porque eu não suporta o mesmo trabalho mais de uma vez.O shell de comando interno do Windows é totalmente inferior a qualquer shell Unix, mas pode ser persuadido a executar a maioria das tarefas ...)

Editar:

Oh - eles são máquinas Windows XP. Eu não percebi isso. Isso muda as coisas. Eu pensei que estes eram servidores que você estava tentando acessar com o RDP.

Meus poderes paranormais dizem que você está vendo a mensagem "Você não tem acesso a fazer logon nesta sessão" porque há alguém já conectado ao PC e o usuário fazendo o login com o RDP não tem " "Direitos de administrador" na máquina com Windows XP. O Windows XP só pode hospedar uma sessão RDP / console por vez, e se alguém já estiver conectado, somente um usuário "Administrador" poderá remotamente "soltar-se" com o RDP. Todos os outros usuários que tentam fazer logon w / RDP receberão a mensagem descrita acima.

Como isso parece?

Para investigar mais a política de "Grupos restritos", execute a ferramenta RSoP nos clientes WinXP e veja se há algum GPOs impondo uma configuração "Grupos restritos" em "Usuários da Área de Trabalho Remota". Em uma rede que eu configurei, por exemplo, haveria. É uma maneira comum de conceder aos grupos acesso ao RDP nos clientes.

    
por 26.06.2009 / 12:57
1

Bem, também acredito que sejam Grupos restritos, causando esse comportamento. Os GPOs são realmente ótimos para usar, esse é um dos meus recursos mais adorados. Para tornar sua vida muito mais fácil, existe uma ferramenta chamada Console de Gerenciamento de Diretiva de Grupo - se você ainda não o utiliza, comece agora mesmo!

A próxima dica é usar os conjuntos de políticas Policy Modeling e Resultant para ver uma visão muito detalhada do que é aplicado às máquinas e aos usuários. Você pode fazer isso no GPMC. Eu acho que os Grupos Restritos são aplicados em um nível alto, talvez de domínio - e isso é ok para deixar assim. Em vez de reescrever essa política, é melhor você fazer o seguinte:

1) Crie uma UO especial, por exemplo, "Terminal Servers" ou "RDP Enabled", e coloque as contas de computador necessárias nela.

2) Crie uma nova política chamada "Colocar Todos no Grupo de Usuários Remotos" ou assim, edite a seção Grupos Restritos nela.

3) Vincule-o à sua unidade organizacional recém-criada.

4) Verifique se isso funciona:)

5) Use o GPMC para investigar como os GPOs são aplicados e em que ordem. A propósito, o GPO vinculado à UO de nível inferior teria prioridade SUPERIOR e, em seguida, GPO vinculado à UO pai ou ao nível do domínio.

    
por 26.06.2009 / 15:08
0

Eu tenho tido esse mesmo problema. Eu tenho um XP e um computador Vista estou tentando conceder privilégios RDP para um grupo de usuários específico. Eventualmente, desisti de tentar usar a política de grupo e tive que ir ao Painel de Controle de cada computador → Sistema → guia Remoto → “Selecionar Usuários Remotos” e adicionar o grupo lá. Aparentemente "Permitir logon pelos serviços de terminal" não faz o que parece (pelo menos não em estações de trabalho).

Eu prefiro fazer isso através da política de grupo também, então poste uma resposta se você encontrar uma maneira de fazer isso!

    
por 08.10.2009 / 06:06

Tags

Instalando o Windows XP em vez do Ubuntu ssh senha em branco, mas ainda pedindo