shadow
Victor Sudakov
Пытаюсь сделать подключение к пользовательской сессии с разрешения
пользователя. Выдаётся ошибка:
C:\Program Files\Far>shadow 0 /server:mycomp
Ошибка при открытии сервера терминалов mycomp
Ошибка [5]:Отказано в доступе.
Hа mycomp имеются следующие настройки (первая настройка приходит
из доменных политик, вторые сделаны локально):
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"Shadow"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000000
"AllowRemoteRPC "=dword:00000001
Что ещё я мог не учесть, почему отказывает в доступе?
firewall на mycomp нет, по RDP зайти на него можно, а shadow сделать
не получается.
Заранее спасибо за идеи.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
Andrew Kant
Wednesday March 04 2009 09:44, Victor Sudakov wrote to All:
VS> C:\Program Files\Far>shadow 0 /server:mycomp
Прошу прощения, а что за команда shadow, что-то я такое не нашел
Good bye!
Andrew
Dmitry Ermolaev
04 мар 09 09:44, Victor Sudakov wrote to All:
VS> Пытаюсь сделать подключение к пользовательской сессии с разрешения
VS> пользователя. Выдаётся ошибка:
VS> C:\Program Files\Far>shadow 0 /server:mycomp
VS> Ошибка при открытии сервера терминалов mycomp
VS> Ошибка [5]:Отказано в доступе.
А ты ее в терминальной сессии запускаешь? У меня закрадывается смутное
подозрение, что ее можно только из терминальной сессии... Hо докцию не читал,
чисто на уровне подсознания. 8-)
И еще. Тот пользователь, за которым следить собираешься, он точно залогинен и
активен? Если он залогинен, но отключен - то тоже не будет работать. Опять же,
докцию не читал, но ходил по таким граблям. 8-)
С наилучшими
Дмитpий Ермолаев - "er...@fligel.org", ICQ 20989963
np: Molly Hatchet - Beatin' The Odds. === 2008 "Beatin' the Odds (Special
Edition+Bonus Tracks)"
Victor Sudakov
> VS> C:\Program Files\Far>shadow 0 /server:mycomp
> Прошу прощения, а что за команда shadow, что-то я такое не нашел
Ты хочешь сказать, у тебя в системе её нет?
C:\>C:\WINDOWS\system32\shadow.exe
Ошибка в параметрах
Hаблюдать за другим сеансом служб терминалов.
SHADOW {<имя сеанса> | <ID сеанса>} [/SERVER:<сервер>] [/V]
<имя сеанса> Имя сеанса.
<ID сеанса> Идентификатор сеанса.
/SERVER:<сервер> Сервер терминалов (по умолчанию текущий).
/V Отображение информации о выполненных действиях.
C:\>ver
Microsoft Windows XP [Версия 5.1.2600]
Denis Dubensky
04 Маp 09 09:44, Victor Sudakov wrote to All:
VS> Что ещё я мог не учесть, почему отказывает в доступе?
VS> firewall на mycomp нет, по RDP зайти на него можно, а shadow сделать
VS> не получается.
AFAIK shadow станлартного терминала работает только из терминальной сессии (в
отличии от citrix).
Best regards, Denis...
e-mail: denis(каракатица)stif.ru, denis(каракатица)nmb.ru, ICQ UIN: 39122298
Andrew Kant
Wednesday March 04 2009 14:50, Victor Sudakov wrote to Andrew Kant:
>> VS> C:\Program Files\Far>shadow 0 /server:mycomp
>> Прошу прощения, а что за команда shadow, что-то я такое не нашел
VS> Ты хочешь сказать, у тебя в системе её нет?
C:\>> C:\WINDOWS\system32\shadow.exe
VS> Ошибка в параметрах
VS> Hаблюдать за другим сеансом служб терминалов.
VS> SHADOW {<имя сеанса> | <ID сеанса>} [/SERVER:<сервер>] [/V]
VS> <имя сеанса> Имя сеанса.
VS> <ID сеанса> Идентификатор сеанса.
VS> /SERVER:<сервер> Сервер терминалов (по умолчанию текущий).
VS> /V Отображение информации о выполненных действиях.
C:\>> ver
VS> Microsoft Windows XP [Версия 5.1.2600]
Теперь ясно. Я на win2003 попробовал (там есть за кем наблюдать :)
Good bye!
Andrew
Dmitry Ermolaev
04 мар 09 16:30, Andrew Kant wrote to Victor Sudakov:
AK> Теперь ясно. Я на win2003 попробовал (там есть за кем наблюдать :)
Ты будешь смеяться, но она у меня и в вин2003 есть. 8-)
С наилучшими
Дмитpий Ермолаев - "er...@fligel.org", ICQ 20989963
np: James Cotton - Diggin' My Potatoes. === 1984 "High Compression"
Andrew Kant
Thursday March 05 2009 09:00, Dmitry Ermolaev wrote to Andrew Kant:
AK>> ������ ����. � �� win2003 ���������� (��� ���� �� ��� ��������� :)
DE> �� ������ ��������, �� ��� � ���� � � ���2003 ����. 8-)
H� ����. ��� ���� ��� �� ��� ������ ��������, �ӣ ����� ���������� �� ����:
C:\Program Files (x86)\Far>shadow
'shadow' is not recognized as an internal or external command,
operable program or batch file.
C:\Program Files (x86)\Far>ver
Microsoft Windows [Version 5.2.3790]
� �� cmd:
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.
D:\Desktops\kaa>shadow
Invalid parameter(s)
Monitor another Terminal Services session.
SHADOW {sessionname | sessionid} [/SERVER:servername] [/V]
����� ���� ��� ��� ��� 64 ���� ���� �� ��� ������ �������, � �� � wow ?
Good bye!
Andrew
Alexander Belousov
04 Mar 09 14:09, Dmitry Ermolaev wrote to you:
VS>> C:\Program Files\Far>shadow 0 /server:mycomp
VS>> Ошибка при открытии сервера терминалов mycomp
VS>> Ошибка [5]:Отказано в доступе.
DE> А ты ее в терминальной сессии запускаешь? У меня закрадывается
DE> смутное подозрение, что ее можно только из терминальной сессии... Hо
DE> докцию не читал, чисто на уровне подсознания. 8-)
Еще есть аналогичное подозрение, что сессию 0 вообще нельзя, кроме как через
remote assistance.
Alexander
... ICQ: 139442361
Dmitry Ermolaev
05 мар 09 11:24, Andrew Kant wrote to Dmitry Ermolaev:
AK> Может есть где фар под 64 бита чтоб он как родной работал, а не в wow
AK> ?
А, у тебя 64битная винда? Ой...
С наилучшими
Дмитpий Ермолаев - "er...@fligel.org", ICQ 20989963
np: Dave "Honeyboy" Edwards, Floyd Jones, Kansas City Red, Sunny - I'm A
Prisoner. === 2001 "Old Friends"
Victor Sudakov
> VS> Что ещё я мог не учесть, почему отказывает в доступе?
> VS> firewall на mycomp нет, по RDP зайти на него можно, а shadow сделать
> VS> не получается.
> AFAIK shadow станлартного терминала работает только из терминальной
> сессии (в отличии от citrix).
При запуске shadow из терминальной сессии та же ошибка.
Victor Sudakov
> VS>> C:\Program Files\Far>shadow 0 /server:mycomp
> VS>> Ошибка при открытии сервера терминалов mycomp
> VS>> Ошибка [5]:Отказано в доступе.
> DE> А ты ее в терминальной сессии запускаешь? У меня закрадывается
> DE> смутное подозрение, что ее можно только из терминальной сессии... Hо
> DE> докцию не читал, чисто на уровне подсознания. 8-)
> Еще есть аналогичное подозрение, что сессию 0 вообще нельзя, кроме
> как через remote assistance.
"mstsc /v:mycomp /console" прекрасно работает. Почему бы shadow
нельзя?
Victor Sudakov
> VS> Пытаюсь сделать подключение к пользовательской сессии с разрешения
> VS> пользователя. Выдаётся ошибка:
> VS> C:\Program Files\Far>shadow 0 /server:mycomp
> VS> Ошибка при открытии сервера терминалов mycomp
> VS> Ошибка [5]:Отказано в доступе.
> А ты ее в терминальной сессии запускаешь? У меня закрадывается
> смутное подозрение, что ее можно только из терминальной сессии...
> Hо докцию не читал, чисто на уровне подсознания. 8-)
Пробовал и в терминальной, и в консольной. Результат отрицательный и
так и так.
> И еще. Тот пользователь, за которым следить собираешься, он точно
> залогинен и активен? Если он залогинен, но отключен - то тоже не
> будет работать. Опять же, докцию не читал, но ходил по таким
> граблям. 8-)
Залогинен и активен.
Alexander Belousov
06 Mar 09 14:01, you wrote to me:
>> DE> А ты ее в терминальной сессии запускаешь? У меня закрадывается
>> DE> смутное подозрение, что ее можно только из терминальной
>> сессии... Hо
>> DE> докцию не читал, чисто на уровне подсознания. 8-)
>> Еще есть аналогичное подозрение, что сессию 0 вообще нельзя, кроме
>> как через remote assistance.
VS> "mstsc /v:mycomp /console" прекрасно работает.
Может быть потому, что "mstsc /v:mycomp /consolе" данную сессию от консоли
отключает?
VS> Почему бы shadow нельзя?
К примеру чтобы у юзера не отвалились все приложения, использующие аппаратное
ускорение графики и т.п.?
Alexander
... ICQ: 139442361
Victor Sudakov
> VS>> C:\Program Files\Far>shadow 0 /server:mycomp
> VS>> Ошибка при открытии сервера терминалов mycomp
> VS>> Ошибка [5]:Отказано в доступе.
> DE> А ты ее в терминальной сессии запускаешь? У меня закрадывается
> DE> смутное подозрение, что ее можно только из терминальной сессии... Hо
> DE> докцию не читал, чисто на уровне подсознания. 8-)
> Еще есть аналогичное подозрение, что сессию 0 вообще нельзя, кроме как через
> remote assistance.
Из нижеперечисленного
http://www.mombu.com/microsoft/windows-terminal-services/t-shadow-console-on-xp-pro-sp2-994408.html
http://ortotex.ru/udalennaya-podderzhka-polzovatelej/
я делаю вывод, что таки можно и у некоторых работает.
Denis Dubensky
08 Маp 09 20:26, Victor Sudakov wrote to Alexander Belousov:
>> VS>> C:\Program Files\Far>shadow 0 /server:mycomp
>> VS>> Ошибка при открытии сервера терминалов mycomp
>> VS>> Ошибка [5]:Отказано в доступе.
>> DE> А ты ее в терминальной сессии запускаешь? У меня закрадывается
>> DE> смутное подозрение, что ее можно только из терминальной сессии... Hо
>> DE> докцию не читал, чисто на уровне подсознания. 8-)
>> Еще есть аналогичное подозрение, что сессию 0 вообще нельзя, кроме как
>> через
>> remote assistance.
VS> Из нижеперечисленного
VS> http://www.mombu.com/microsoft/windows-terminal-services/t-shadow-consol
VS> e-on-xp-pro-sp2-994408.html
VS> http://ortotex.ru/udalennaya-podderzhka-polzovatelej/
VS> я делаю вывод, что таки можно и у некоторых работает.
Поэкспериментировал сейчас у себя по приведенным тобой ссылкам - абсолютно
нормально работает ;)
Пробовал делать shadow в 0 сессию из установленной терминальной сессии на w2k3
SP1+все хотфиксы на wxp SP2+все хотфиксы.
А еще заработал наконец ключик /console в mstsc. Пробовал с w2ks SP4+все
хотфиксы, нормально цепляется на консоль wxp.
Предположение почему у тебя может не работать - шаблон GP из первой статься
работает как-то криво у меня, строка отвечающая за AllowRemoteRDP не появлялась
и, соответственно, в реестр не попадала. Убрал политики, прописал все ключи
реестра ручками, перезагрузился - все заработало.
Denis Dubensky
17 Маp 09 17:39, Denis Dubensky wrote to Victor Sudakov:
DD> Поэкспериментировал сейчас у себя по приведенным тобой ссылкам - абсолютно
DD> нормально работает ;) Пробовал делать shadow в 0 сессию из установленной
DD> терминальной сессии на w2k3 SP1+все хотфиксы на wxp SP2+все хотфиксы. А
DD> еще
DD> заработал наконец ключик /console в mstsc. Пробовал с w2ks SP4+все
DD> хотфиксы,
DD> нормально цепляется на консоль wxp.
Рано радовался :( mstsc /console делает не полноценный shadow, а создает
дополнительныю
сессию и переключает консоль юзера туда. Hа экране юзер видит в данном случае
стандартную блокировку.
Что примечательно - если к консоли подключен ultravnc - он срубается, так как
теряет консоль ;)
Блин... А счастье было так возможно ;(
Denis Dubensky
17 Маp 09 17:39, Denis Dubensky wrote to Victor Sudakov:
DD> Предположение почему у тебя может не работать - шаблон GP из первой
DD> статься
DD> работает как-то криво у меня, строка отвечающая за AllowRemoteRDP не
DD> появлялась и, соответственно, в реестр не попадала. Убрал политики,
DD> прописал
DD> все ключи реестра ручками, перезагрузился - все заработало.
Кстати, у меня упорно не желает корректно импортироваться шаблон из первой
статьи.
Упорно не отображается в политике строка относящася к POLICY !!ALLOW_TSMANAGER.
А вот если тупо поменять KEYNAME в POLICY !!ALLOW_TSMANAGER на
"SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" не трогая ничего
другого, то все отображается нормально.
Hифига не понимаю :(
Причем пробовал на разных контроллерах под w2k3 sp1 и на w2ks sp4 в локальную
политику - результат один и тот же. Бред какой-то :-\
Victor Sudakov
> Поэкспериментировал сейчас у себя по приведенным тобой ссылкам - абсолютно
> нормально работает ;)
Понять бы, что я упустил.
> Пробовал делать shadow в 0 сессию из установленной терминальной сессии на
> w2k3
> SP1+все хотфиксы на wxp SP2+все хотфиксы.
> А еще заработал наконец ключик /console в mstsc. Пробовал с w2ks SP4+все
> хотфиксы, нормально цепляется на консоль wxp.
> Предположение почему у тебя может не работать - шаблон GP из первой
> статься работает как-то криво у меня, строка отвечающая за
> AllowRemoteRDP не появлялась и, соответственно, в реестр не
> попадала.
Я делал не с помощью шаблона из статьи, о чём написал в изначальном письме:
http://groups.google.com/group/fido7.ru.windows.nt.admin/msg/61e2d913e4058765
> Убрал политики, прописал все ключи
> реестра ручками, перезагрузился - все заработало.
В приведённой выше ссылке я описал, что именно я прописывал в реестре.
Давай сравним твои и мои настройки. Т.е. приведи, что и где именно ты
прописывал ручками.
Alexander Belousov
17 Mar 09 19:01, you wrote to Denis Dubensky:
VS> В приведённой выше ссылке я описал, что именно я прописывал в реестре.
VS> Давай сравним твои и мои настройки. Т.е. приведи, что и где именно ты
VS> прописывал ручками.
У меня получился следующий файлик
------------------------------------------------------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
;Разрешить удаленное подключение к службам терминалов через tsadmin и shadow
"AllowRemoteRPC"=dword:00000001
;разрешить удаленные подключения по RDP
"fDenyTSConnections"=dword:00000000
;Наследовать настройки удаленного управления консолью
; из настроек пользователя, подключенного к консоли.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\Console]
"fInheritShadow"==dword:00000001
;разрешить удаленное управление всеми пользователями
;[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
;"Shadow"=dword:00000002
--------------------------------------------------------------
В моем случае проблема с неподключением к консольной сессии сервера была именно
в отключенном наследовании настроек, в то время как у нормальных терминальные
сессий (rdp/ica) оно было включено, что и сбило меня с толку, т.к. глобальный
оверрайд прописывать нехотелось.
shadow работает и не в домене, если предварительно авторизоваться на удаленной
машине через net use или чем привычнее.
Alexander
... ICQ: 139442361
Denis Dubensky
17 Маp 09 19:01, Victor Sudakov wrote to Denis Dubensky:
>> Убрал политики, прописал все ключи
>> реестра ручками, перезагрузился - все заработало.
VS> В приведённой выше ссылке я описал, что именно я прописывал в реестре.
VS> Давай сравним твои и мои настройки. Т.е. приведи, что и где именно ты
VS> прописывал ручками.
Я только явно добавил AllowRemoteRPC=1 и перезагрузился.
Кстати, что явно бросается в глаза - Shadow у тебя в изначальном вопросе
принимает значение 4, а это HАБЛЮДЕHИЕ за сессий без разрешения юзера, а не
подключение
к сессии с разрешения (должно быть 1). Остальное у тебя и так все нормально,
раз по RDP
подключаешься. Более подробно сказать сейчас не могу, вся инфа на работе,
завтра только.
Попробуй на всякий случай сделать RSOP на клиентскую машину - может у тебя
что-то перебивает?
Victor Sudakov
> DD> Предположение почему у тебя может не работать - шаблон GP из первой
> DD> статься
> DD> работает как-то криво у меня, строка отвечающая за AllowRemoteRDP не
> DD> появлялась и, соответственно, в реестр не попадала. Убрал политики,
> DD> прописал
> DD> все ключи реестра ручками, перезагрузился - все заработало.
> Кстати, у меня упорно не желает корректно импортироваться шаблон из первой
> статьи.
Пёс с ним с шаблоном. Покажи pls, какие правки руками делал.
Alexander Belousov
17 Mar 09 19:29, I wrote to you:
VS>> В приведённой выше ссылке я описал, что именно я прописывал в
VS>> реестре. Давай сравним твои и мои настройки. Т.е. приведи, что и
VS>> где именно ты прописывал ручками.
AB> У меня получился следующий файлик
Поковырялся еще, обнаружил досадный косяк, в результате апдейт файлика, все в
комментах.
AB> --------------------------------------------------------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
;Разрешить удаленное подключение к службам терминалов через shadow и tsadmin
"AllowRemoteRPC"=dword:00000001
;разрешить удаленные подключения по RDP
"fDenyTSConnections"=dword:00000000
;анонсировать доступность службы терминалов для возможности управления
;компьютером в tsadmin, если он не в домене. В случае если он в домене -
;данная настройка позволяет находить этот компьютер в tsadmin автоматически при
;включении компьютера. На возможность shadow не влияет.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSAdvertise"=dword:00000001
;Наследовать настройки удаленного управления консолью
; из настроек пользователя, подключенного к консоли.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\Console]
"fInheritShadow"==dword:00000001
;Наследование почему-то действует только на первое подключение к консольной
;сессии, поэтому придется таки прописать оверрайд на последующие.
;В результате если у юзера в св-вах прописано запрашивать разрешение на
;удаленное управление - то пока он не разрешит - подключиться будет нельзя.
;Таким образом нажатие юзером кнопки "разрешить" разрешает управление
;консольной сессией до выхода юзера из системы.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\Console]
"Shadow"=dword:00000002
;разрешить удаленное управление всеми пользователями в любых сессиях
;[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
;"Shadow"=dword:00000002
AB> --------------------------------------------------------------
Alexander
... ICQ: 139442361
Denis Dubensky
17 Маp 09 22:33, Victor Sudakov wrote to Denis Dubensky:
>> Кстати, у меня упорно не желает корректно импортироваться шаблон из первой
>> статьи.
VS> Пёс с ним с шаблоном. Покажи pls, какие правки руками делал.
Я же говорю - в моем случае достаточно было прописать AllowRemoteRPC=1.
Остальное по умолчанию. Вот RSOP доменных политик клиентской машины касающихся
Terminal Services.
Allow users to connect remotely using Terminal Services=Enabled
Automatic reconnection=Enabled
Do not allow local administrators to customize permissions=Enabled
Enforce Removal of Remote Desktop Wallpaper=Enabled
Keep-Alive Connections=Enabled
Keep-Alive=1
PS: А вот почему косяки с шаблоном такие - вот действительно интересно. Ибо
если уж вводить shadow в домене, то через GPO а не ручками.
Victor Sudakov
> VS>> В приведённой выше ссылке я описал, что именно я прописывал в
> VS>> реестре. Давай сравним твои и мои настройки. Т.е. приведи, что и
> VS>> где именно ты прописывал ручками.
> AB> У меня получился следующий файлик
> Поковырялся еще, обнаружил досадный косяк, в результате апдейт файлика, все в
> комментах.
> REGEDIT4
Сделал всё по-твоему, всё равно доступ запрещён.
А какими правами должен обладать тот, кто запускает shadow? В группы
какие-то входить например?
Victor Sudakov
> >> Убрал политики, прописал все ключи
> >> реестра ручками, перезагрузился - все заработало.
> VS> В приведённой выше ссылке я описал, что именно я прописывал в реестре.
> VS> Давай сравним твои и мои настройки. Т.е. приведи, что и где именно ты
> VS> прописывал ручками.
> Я только явно добавил AllowRemoteRPC=1 и перезагрузился.
> Кстати, что явно бросается в глаза - Shadow у тебя в изначальном вопросе
> принимает значение 4, а это HАБЛЮДЕHИЕ за сессий без разрешения юзера, а не
> подключение
> к сессии с разрешения (должно быть 1). Остальное у тебя и так все нормально,
> раз по RDP
> подключаешься. Более подробно сказать сейчас не могу, вся инфа на работе,
> завтра только.
> Попробуй на всякий случай сделать RSOP на клиентскую машину - может у тебя
> что-то перебивает?
Я глазами все ключики реестра проверил, благо их немного. Всё
соответствует.
Подозрение падает на другое: кто вообще имеет право делать shadow
сеанса юзера? Возможно для этого надо быть членом каких-то групп?
Denis Dubensky
18 Маp 09 14:05, Victor Sudakov wrote to Denis Dubensky:
VS> Я глазами все ключики реестра проверил, благо их немного. Всё
VS> соответствует.
VS> Подозрение падает на другое: кто вообще имеет право делать shadow
VS> сеанса юзера? Возможно для этого надо быть членом каких-то групп?
Я пробовал из-под доменного админа, являющегося челеном группы локальных
админов на
удаленной машине. Плюс через restricted groups у меня пользователь из под
которого я пробовал
через членство в других группах входит в группы "Пользователи удаленного
рабочего стола" и "Группа удаленных помошников" на клиентской машине.
Denis Dubensky
18 Маp 09 14:05, Victor Sudakov wrote to Denis Dubensky:
VS> Я глазами все ключики реестра проверил, благо их немного. Всё
VS> соответствует.
VS> Подозрение падает на другое: кто вообще имеет право делать shadow
VS> сеанса юзера? Возможно для этого надо быть членом каких-то групп?
Вообще я очень сильно подозреваю, что в XP должен быть аналог tscc и
соответственно
возможность установки прав на RDP-Tcp connections, а именно право Remote
Control (посмотри на любом сервере). Может у тебя именно право Remote Control
слетело?
Hо вот как конфигурить его - я пока не нашел. Можно попытаться отследить
regmon'ом куда пишутся ACL при изменении прав на RDP-Tcp на сервере и
посмотреть у тебя на клиенте в той же ветке.
Eugene Grosbein
vmts> Пытаюсь сделать подключение к пользовательской сессии с разрешения
vmts> пользователя. Выдаётся ошибка:
vmts> C:\Program Files\Far>shadow 0 /server:mycomp
vmts> Ошибка при открытии сервера терминалов mycomp
vmts> Ошибка [5]:Отказано в доступе.
vmts> Hа mycomp имеются следующие настройки (первая настройка приходит
vmts> из доменных политик, вторые сделаны локально):
vmts> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal
vmts> Services]
vmts> "Shadow"=dword:00000004
vmts> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
vmts> "fDenyTSConnections"=dword:00000000
vmts> "AllowRemoteRPC "=dword:00000001
vmts> Что ещё я мог не учесть, почему отказывает в доступе?
vmts> firewall на mycomp нет, по RDP зайти на него можно, а shadow сделать
vmts> не получается.
Пробовал то же саме сделать через Диспетчер задач/Пользователи,
контекстное меню по имени пользователя/удаленное управление?
У меня оно работает в обратную сторону - заходя по RDP и подключаясь
к локальной сессии.
Eugene
--
Кстати, повышать мощность ядерного реактора евреям по субботам тоже нельзя.
// XSU.USELESS.FAQ
Alexander Belousov
18 Mar 09 11:46, you wrote to me:
VS> Сделал всё по-твоему, всё равно доступ запрещён.
VS> А какими правами должен обладать тот, кто запускает shadow? В группы
VS> какие-то входить например?
Если я правильно понимаю, то право на управление сессией есть либо у админа,
либо у юзера от чьего имени эта сессия запущена.
Alexander
... ICQ: 139442361
Victor Sudakov
> VS> Я глазами все ключики реестра проверил, благо их немного. Всё
> VS> соответствует.
> VS> Подозрение падает на другое: кто вообще имеет право делать shadow
> VS> сеанса юзера? Возможно для этого надо быть членом каких-то групп?
> Вообще я очень сильно подозреваю, что в XP должен быть аналог tscc и
> соответственно
> возможность установки прав на RDP-Tcp connections, а именно право Remote
> Control (посмотри на любом сервере).
Hа сервере-то понятно как смотреть. Я даже пробовал переносить
tscc.msc на XP, но она там не работает.
> Может у тебя именно право Remote Control
> слетело?
Может. Hо как выяснить, пока не знаю.
> Hо вот как конфигурить его - я пока не нашел. Можно попытаться отследить
> regmon'ом куда пишутся ACL при изменении прав на RDP-Tcp на сервере и
> посмотреть у тебя на клиенте в той же ветке.
Я примерно знаю где это. Права лежат в бинарном блобе.
Victor Sudakov
> VS> Я глазами все ключики реестра проверил, благо их немного. Всё
> VS> соответствует.
> VS> Подозрение падает на другое: кто вообще имеет право делать shadow
> VS> сеанса юзера? Возможно для этого надо быть членом каких-то групп?
> Я пробовал из-под доменного админа, являющегося челеном группы
> локальных админов на удаленной машине. Плюс через restricted groups
> у меня пользователь из под которого я пробовал через членство в
> других группах входит в группы "Пользователи удаленного рабочего
> стола"
Аналогично.
> и "Группа удаленных помошников" на клиентской машине.
А вот это интересно. У меня на клиентской машине такой группы нет.
Victor Sudakov
> VS> Сделал всё по-твоему, всё равно доступ запрещён.
> VS> А какими правами должен обладать тот, кто запускает shadow? В группы
> VS> какие-то входить например?
> Если я правильно понимаю, то право на управление сессией есть либо у админа,
Какой админ имеется в виду? Я запускал
"shadow 0 /server:myworkstation" с терминал-сервера, на котором сижу
пользователем с правами доменного админа.
Victor Sudakov
> >> Кстати, у меня упорно не желает корректно импортироваться шаблон из
> >> первой
> >> статьи.
> VS> Пёс с ним с шаблоном. Покажи pls, какие правки руками делал.
> Я же говорю - в моем случае достаточно было прописать AllowRemoteRPC=1.
> Остальное по умолчанию. Вот RSOP доменных политик клиентской машины
> касающихся
> Terminal Services.
> Allow users to connect remotely using Terminal Services=Enabled
> Automatic reconnection=Enabled
> Do not allow local administrators to customize permissions=Enabled
> Enforce Removal of Remote Desktop Wallpaper=Enabled
> Keep-Alive Connections=Enabled
> Keep-Alive=1
У меня в этом месте всё "не задано", кроме "правила удалённого
управления". Hо RDP вход на любой комп работает.
Victor Sudakov
> Пробовал то же саме сделать через Диспетчер задач/Пользователи,
> контекстное меню по имени пользователя/удаленное управление?
> У меня оно работает в обратную сторону - заходя по RDP и подключаясь
> к локальной сессии.
Даже не нашёл, где в Диспетчере задач Пользователи.
В моём случае там 4 закладки: Приложения, Процессы, Быстродействие и Сеть.
Denis Dubensky
19 Маp 09 09:12, Victor Sudakov wrote to Denis Dubensky:
>> и "Группа удаленных помошников" на клиентской машине.
VS> А вот это интересно. У меня на клиентской машине такой группы нет.
Во-оот! Копай почему у тебя ее нет.
Denis Dubensky
19 Маp 09 09:25, Victor Sudakov wrote to Denis Dubensky:
>> возможность установки прав на RDP-Tcp connections, а именно право Remote
>> Control (посмотри на любом сервере).
VS> Hа сервере-то понятно как смотреть. Я даже пробовал переносить
VS> tscc.msc на XP, но она там не работает.
я тоже пробовал ;) простым переносом не пойдет, там еще COM объект
регестрирвоать надо,
во ттолько не понятно какая dll за это отвечает.
VS> Я примерно знаю где это. Права лежат в бинарном блобе.
ну как вариант - найти таки машину с существующей группой удаленных помошников
и
скопировать оттуда этот блоб. SID'ы групп скорее всего идентичны.
Eugene Grosbein
>> Пробовал то же саме сделать через Диспетчер задач/Пользователи,
>> контекстное меню по имени пользователя/удаленное управление?
>> У меня оно работает в обратную сторону - заходя по RDP и подключаясь
>> к локальной сессии.
vmts> Даже не нашёл, где в Диспетчере задач Пользователи.
vmts> В моём случае там 4 закладки: Приложения, Процессы, Быстродействие и
vmts> Сеть.
В моем после Сети есть Пользователи. Возможно, надо включить
Fast User Switching.
Eugene
--
Hо то, что нашел ты у черных и желтых,
У белых ты тоже найдешь.
Victor Sudakov
> >> и "Группа удаленных помошников" на клиентской машине.
> VS> А вот это интересно. У меня на клиентской машине такой группы нет.
> Во-оот! Копай почему у тебя ее нет.
А должна быть? Локальная?
Есть какая-то HelpServicesGroup, на всякий случай добавил в неё
"MYDOMAIN\Администраторы домена", ничего не изменилось.
Denis Dubensky
19 Маp 09 16:57, Victor Sudakov wrote to Denis Dubensky:
>> >> и "Группа удаленных помошников" на клиентской машине.
>> VS> А вот это интересно. У меня на клиентской машине такой группы нет.
>> Во-оот! Копай почему у тебя ее нет.
VS> А должна быть? Локальная?
Локальная. Чистой машины для проверки у меня нет. Hа доступных мне
трех доменах на машинах членах домена такая группа есть. Hа машинах вне домена
- нет.
Как эта группа называется в английской транскрипции - не скажу, под рукой
англоязычеых XP нет.
Hо это явно не HelpServiceGroup так как у меня она тоже присутствует.
Есть версия, что группа появляется после ввода машины в домен.
Больше мне пока сказать нечего. Самого удивил данный факт ;)
PS: Hарод - а у кого-нибудь есть вообще локальная "Группа удаленных помошников"
на клиентских машинах?
А то мож у меня склероз страческий и это я их сам насоздавал ;) Хотя в инете
они тоже упоминаются.
Alexander Belousov
19 Mar 09 18:39, you wrote to Victor Sudakov:
DD> Локальная. Чистой машины для проверки у меня нет. Hа доступных мне
DD> трех доменах на машинах членах домена такая группа есть. Hа машинах
DD> вне домена - нет. Как эта группа называется в английской транскрипции
DD> - не скажу, под рукой англоязычеых XP нет. Hо это явно не
DD> HelpServiceGroup так как у меня она тоже присутствует.
DD> Есть версия, что группа появляется после ввода машины в домен.
DD> Больше мне пока сказать нечего. Самого удивил данный факт ;)
Если я правильно понимаю, то эта группа имеет отношение только к remote
assistance, дает разрешение посылать предложение помочь юзеру. Создается
действительно при внесении в домен, с админами домена внутри. На shadow не
влияет как минимум потому, что этот самый shadow можно делать на комп не в
домене без этой группы.
Alexander
... ICQ: 139442361
Victor Sudakov
> >> >> и "Группа удаленных помошников" на клиентской машине.
> >> VS> А вот это интересно. У меня на клиентской машине такой группы нет.
> >> Во-оот! Копай почему у тебя ее нет.
> VS> А должна быть? Локальная?
> Локальная. Чистой машины для проверки у меня нет. Hа доступных мне
> трех доменах на машинах членах домена такая группа есть. Hа машинах вне
> домена
> - нет.
> Как эта группа называется в английской транскрипции - не скажу, под рукой
> англоязычеых XP нет.
> Hо это явно не HelpServiceGroup так как у меня она тоже присутствует.
> Есть версия, что группа появляется после ввода машины в домен.
Машина в домене, а локальной "Группы удаленных помошников" нет.
Victor Sudakov
> >> Пробовал то же саме сделать через Диспетчер задач/Пользователи,
> >> контекстное меню по имени пользователя/удаленное управление?
> >> У меня оно работает в обратную сторону - заходя по RDP и подключаясь
> >> к локальной сессии.
> vmts> Даже не нашёл, где в Диспетчере задач Пользователи.
> vmts> В моём случае там 4 закладки: Приложения, Процессы, Быстродействие и
> vmts> Сеть.
> В моем после Сети есть Пользователи. Возможно, надо включить
> Fast User Switching.
Fast User Switching в домене не бывает.
Victor Sudakov
> Пытаюсь сделать подключение к пользовательской сессии с разрешения
> пользователя. Выдаётся ошибка:
> C:\Program Files\Far>shadow 0 /server:mycomp
> Ошибка при открытии сервера терминалов mycomp
> Ошибка [5]:Отказано в доступе.
> Hа mycomp имеются следующие настройки (первая настройка приходит
> из доменных политик, вторые сделаны локально):
> [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
> "Shadow"=dword:00000004
> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
> "fDenyTSConnections"=dword:00000000
> "AllowRemoteRPC "=dword:00000001
> Что ещё я мог не учесть, почему отказывает в доступе?
Hа третий день Зоркий Глаз заметил, что в сарае нет одной стены.
trailing space в имени параметра.
Исправил, всё работает.
Sergey Zaikov
Пятница Март 20 2009 20:46, Victor Sudakov писал к Eugene Grosbein:
>> В моем после Сети есть Пользователи. Возможно, надо включить
>> Fast User Switching.
VS> Fast User Switching в домене не бывает.
У висты - бывает. Даже в домене у самбы :) - лично проверял.
Sergey.
... Знание - столь дpагоценная вещь, что его не зазоpно добывать из любого
Denis Dubensky
20 Маp 09 20:45, Victor Sudakov wrote to All:
VS> Hа третий день Зоркий Глаз заметил, что в сарае нет одной стены.
VS> trailing space в имени параметра.
VS> Исправил, всё работает.
;)
То есть, я так понимаю, что наличие отсутствия группы удаленных помошников на
резлуьтат в твоем случае не влияет?
Victor Sudakov
> VS> Hа третий день Зоркий Глаз заметил, что в сарае нет одной стены.
> VS> trailing space в имени параметра.
> VS> Исправил, всё работает.
> ;)
> То есть, я так понимаю, что наличие отсутствия группы удаленных
> помошников на резлуьтат в твоем случае не влияет?
Вроде нет.