Uprawnienia do obsługi zdalnego pulpitu na kontrolerze domeny

[Jarek P.]

Jest sobie komputer z W2003, będący jednocześnie kontrolerem domeny. I
są użytkownicy z prawami zwykłego usera, którzy powinni mieć możliwość
logowania się na zdalny pulpit tego komputera.

Teoria jest prosta: userów należy wrzucić do grupy "remote desktop
users". Tylko, że ta teoria mi nie działa. Póki co doszedłem jedynie
do tego, że dostęp do RD uzyskuję dopiero po daniu im praw lokalnego
administratora. Podpowiedzcie, jak to obejść? Dlaczego samo "remote
desktop users" nie działa?

J.

[Jacek Woloszka]

>Teoria jest prosta: userów należy wrzucić do grupy "remote desktop
>users". Tylko, że ta teoria mi nie działa. Póki co doszedłem jedynie
>do tego, że dostęp do RD uzyskuję dopiero po daniu im praw lokalnego
>administratora. Podpowiedzcie, jak to obejść? Dlaczego samo "remote
>desktop users" nie działa?

Robisz to na kontrolerze AD za pomocą GPO (Zasady zabezpieczen kontrolera
domeny) wybierasz Ustawienia zabezpieczen->Przypisywanie praw
uzytkownika->Zezwalaj na logowanie za pomoca uslug terminalowych czy jakos
tak..

--
Jacek Wołoszka - www.ksoft.com.pl

[BQB]

W dniu 2010-11-16 16:56, Jacek Woloszka pisze:
>
>
>> Teoria jest prosta: user�w nale�y wrzuci� do grupy "remote desktop
>> users". Tylko, �e ta teoria mi nie dzia�a. P�ki co doszed�em jedynie
>> do tego, �e dost�p do RD uzyskuj� dopiero po daniu im praw lokalnego
>> administratora. Podpowiedzcie, jak to obej��? Dlaczego samo "remote
>> desktop users" nie dzia�a?
>
> Robisz to na kontrolerze AD za pomocďż˝ GPO (Zasady zabezpieczen

> kontrolera domeny) wybierasz Ustawienia zabezpieczen->Przypisywanie praw
> uzytkownika->Zezwalaj na logowanie za pomoca uslug terminalowych czy
> jakos tak..

Ale opr�cz tego musi mie� zainstalowane licencje serwera terminali,
inaczej zdalny dost�p zadzia�a tylko dla administrator�w i to
maksymalnie dw�ch jednocze�nie.

[Jarek P.]

On 16 Lis, 16:56, "Jacek Woloszka" <jwolos...@usunto.wp.pl> wrote:

> Robisz to na kontrolerze AD za pomocą GPO (Zasady zabezpieczen kontrolera
> domeny) wybierasz Ustawienia zabezpieczen->Przypisywanie praw
> uzytkownika->Zezwalaj na logowanie za pomoca uslug terminalowych czy jakos
> tak..

O ile dobrze zrozumiałem, w "Domain Security Policy", w Local
Policies, User Rights Assignment znalazłem opcję "Allow log on through
Terminal Services", dodałem do niej grupę moich userów i niestety
dupa, cały czas mam odmowę logowania. Usługi terminalowe mam
uruchomione.

J.

[kamil]

"Jarek P." <jarekp...@gmail.com> wrote in message
news:9ba68be7-1843-4e85...@s9g2000vby.googlegroups.com...

gpupdate /force robiles?

Tu masz ladny opis:

http://technet.microsoft.com/en-us/library/cc758613%28WS.10%29.aspx

Pozdrawiam
Kamil

[kamil]

"Jarek P." <jarekp...@gmail.com> wrote in message
news:9ba68be7-1843-4e85...@s9g2000vby.googlegroups.com...

Zignoruj poprzedni post, dopiero doczytalem reszte watku. :) Terminal
Services cie nie interesuje, jesli to ma byc zwykly remote desktop. Zeby
mogli logowac sie do kontrolera domeny, dodaj uzytkownikow do grupy Remote
Desktop Users w domenie, a nie lokalnej,

Pozdrawiam
kamil

[Jarek P.]

On 17 Lis, 12:19, "kamil" <ka...@spam.com> wrote:

> Zignoruj poprzedni post, dopiero doczytalem reszte watku. :) Terminal
> Services cie nie interesuje, jesli to ma byc zwykly remote desktop. Zeby
> mogli logowac sie do kontrolera domeny, dodaj uzytkownikow do grupy Remote
> Desktop Users w domenie, a nie lokalnej,

O i o to chodziło, dzięki za pomoc!

Przy okazji: bez zainstalowanych usług terminalowych RD może uruchomić
tylko dwóch userów naraz, dopiero dodanie tych usług powoduje, że
można zdalnych pulpitów dołączyć więcej.

J.

[kamil]

"Jarek P." <jarekp...@gmail.com> wrote in message

news:adebac75-1626-493e...@j25g2000yqa.googlegroups.com...

Bo do tego musisz wykupic licencje na prace terminalowa, chyba ze cos sie
zmienilo ostatnimi czasy..

Pozdrawiam
Kamil

[kamil]

"Jarek P." <jarekp...@gmail.com> wrote in message

news:adebac75-1626-493e...@j25g2000yqa.googlegroups.com...

Swoja droga, dziwne ze nie dzialalo ustawianie 'allow logon through terminal
services', robiles gpupdate? Dodanie uzyszkodnika do remote deskop users w
domenie jest o tyle niebezpieczne, ze moga teraz logowac sie wszedzie.

Ustawienie dostepu do terminal services przez GPO w Default Domain
Controllers policy nie ma wplywu na prace na innych maszynach, a powinno
pozwolic na remote desktop do kontrolera domeny.

Pozdrawiam
Kamil

[Jarek P.]

Użytkownik "kamil" <ka...@spam.com> napisał w wiadomości
news:ic0nv5$as$1...@inews.gazeta.pl...

> Swoja droga, dziwne ze nie dzialalo ustawianie 'allow logon through
> terminal services', robiles gpupdate?

Oczywiście.
Zresztą to ustawienie własnie zadziałało, ale zrobione nie na domain
security policy, a na domain controller security policy.

> Dodanie uzyszkodnika do remote deskop users w domenie jest o tyle
> niebezpieczne, ze moga teraz logowac sie wszedzie.

To u mnie nie jest istotne, to dość specyficzna domena, jednokomputerowa :)

J.

[Jarek P.]

Użytkownik "kamil" <ka...@spam.com> napisał w wiadomości

news:ic0nlv$sjq$1...@inews.gazeta.pl...

>> Przy okazji: bez zainstalowanych usług terminalowych RD może uruchomić
>> tylko dwóch userów naraz, dopiero dodanie tych usług powoduje, że
>> można zdalnych pulpitów dołączyć więcej.
>
> Bo do tego musisz wykupic licencje na prace terminalowa, chyba ze cos sie
> zmienilo ostatnimi czasy..

Nienie, to działa jeszcze inaczej: już samo doinstalowanie usług
terminalowych powoduje, że na RD może wejśc więcej niż dwóch userów.
Licencje - tu, póki co bazuję na wybieranej przy doinstalowywaniu usług
terminalowych opcji dodania licencji manualnie, mam na to bodajże 180 dni...
(dla jasności: licencje są, po prostu nie chce mi się ich wklepywać już
teraz)

J.