aka » Пн апр 17, 2006 3:27 am
Microsoft по умолчанию запрещает работать простым пользователям на контроллере Active Directory. Но если вдруг очень понадобилось...
Содрано
отсюда.
У пользователя должно быть разрешение на интерактивный вход в систему (регистрация с клавиатуры), поскольку подключение к терминальному серверу приравнивается системой безопасности Windows 2000 к интерактивному. На обычном сервере и рабочей станции это разрешение есть у всех пользователей, но на контроллере домена для обычных пользователей, не входящих в группы администраторов или операторов (Server Operators и т. д.), интерактивный вход по умолчанию запрещен. Как следствие, пользователи не могут подключиться к терминальному серверу, если он является контроллером домена. Сообщение об ошибке при этом выдается именно такое, которое указано в письме. Чтобы сменить разрешения на интерактивный вход, необходимо изменить групповую политику контроллеров домена. Следует открыть оснастку Active Directory Users and Computers -> [имя-домена] -> папка Domain Controllers -> свойства -> вкладка Group Policy. Там вы найдете объект групповой политики (GPO) под названием "Default Domain Controllers Policy". Нужно выделить этот объект и нажать кнопку Edit - запустится редактор групповой политики. В редакторе следует открыть раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assigment. В этом разделе нужно найти разрешения на системные действия, такие, как интерактивный вход, перевод системных часов и т. д. Разрешение на интерактивный вход называется "Log on Locally". Требуется открыть его двойным щелчком мыши, добавить в список соответствующих пользователей, нажать OK. Записывать на диск ничего не нужно. Далее следует либо подождать 5 мин, либо вручную ускорить процесс применения групповой политики, набрав в командной строке: secedit /refreshpolicy machine_policy. Имейте в виду - если контроллеров домена несколько, может потребоваться дополнительное время на репликацию групповой политики с контроллера на контроллер.
Microsoft по умолчанию запрещает работать простым пользователям на контроллере Active Directory. Но если вдруг очень понадобилось...
Содрано [url=http://www.osp.ru/win2000/2002/05/006_1.htm]отсюда[/url].
У пользователя должно быть разрешение на интерактивный вход в систему (регистрация с клавиатуры), поскольку подключение к терминальному серверу приравнивается системой безопасности Windows 2000 к интерактивному. На обычном сервере и рабочей станции это разрешение есть у всех пользователей, но на контроллере домена для обычных пользователей, не входящих в группы администраторов или операторов (Server Operators и т. д.), интерактивный вход по умолчанию запрещен. Как следствие, пользователи не могут подключиться к терминальному серверу, если он является контроллером домена. Сообщение об ошибке при этом выдается именно такое, которое указано в письме. Чтобы сменить разрешения на интерактивный вход, необходимо изменить групповую политику контроллеров домена. Следует открыть оснастку Active Directory Users and Computers -> [имя-домена] -> папка Domain Controllers -> свойства -> вкладка Group Policy. Там вы найдете объект групповой политики (GPO) под названием "Default Domain Controllers Policy". Нужно выделить этот объект и нажать кнопку Edit - запустится редактор групповой политики. В редакторе следует открыть раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assigment. В этом разделе нужно найти разрешения на системные действия, такие, как интерактивный вход, перевод системных часов и т. д. Разрешение на интерактивный вход называется "Log on Locally". Требуется открыть его двойным щелчком мыши, добавить в список соответствующих пользователей, нажать OK. Записывать на диск ничего не нужно. Далее следует либо подождать 5 мин, либо вручную ускорить процесс применения групповой политики, набрав в командной строке: secedit /refreshpolicy machine_policy. Имейте в виду - если контроллеров домена несколько, может потребоваться дополнительное время на репликацию групповой политики с контроллера на контроллер.