Microsoft по умолчанию запрещает работать простым пользователям на контроллере Active Directory. Но если вдруг очень понадобилось...
Содрано отсюда.
У пользователя должно быть разрешение на интерактивный вход в систему (регистрация с клавиатуры), поскольку подключение к терминальному серверу приравнивается системой безопасности Windows 2000 к интерактивному. На обычном сервере и рабочей станции это разрешение есть у всех пользователей, но на контроллере домена для обычных пользователей, не входящих в группы администраторов или операторов (Server Operators и т. д.), интерактивный вход по умолчанию запрещен. Как следствие, пользователи не могут подключиться к терминальному серверу, если он является контроллером домена. Сообщение об ошибке при этом выдается именно такое, которое указано в письме. Чтобы сменить разрешения на интерактивный вход, необходимо изменить групповую политику контроллеров домена. Следует открыть оснастку Active Directory Users and Computers -> [имя-домена] -> папка Domain Controllers -> свойства -> вкладка Group Policy. Там вы найдете объект групповой политики (GPO) под названием "Default Domain Controllers Policy". Нужно выделить этот объект и нажать кнопку Edit - запустится редактор групповой политики. В редакторе следует открыть раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assigment. В этом разделе нужно найти разрешения на системные действия, такие, как интерактивный вход, перевод системных часов и т. д. Разрешение на интерактивный вход называется "Log on Locally". Требуется открыть его двойным щелчком мыши, добавить в список соответствующих пользователей, нажать OK. Записывать на диск ничего не нужно. Далее следует либо подождать 5 мин, либо вручную ускорить процесс применения групповой политики, набрав в командной строке: secedit /refreshpolicy machine_policy. Имейте в виду - если контроллеров домена несколько, может потребоваться дополнительное время на репликацию групповой политики с контроллера на контроллер.
Active Directory и служба терминалов одной машине
Я делаю иначе. Если ОЧЕНЬ нужно работать на контролере:
создаю пользователя с МАКСИМАЛЬНО урезанными правами, делаю автологон, вместо эксплорера загружается скрипт с автоподключением к терминальной сессии 127.0.0.1.
В результате решаются проблемы: консольный пользователь максимально ограничен в правах, сеанс работабщего пользователя может переключатся на другие компы, забытый сеанс можно отключить (не завершая).
создаю пользователя с МАКСИМАЛЬНО урезанными правами, делаю автологон, вместо эксплорера загружается скрипт с автоподключением к терминальной сессии 127.0.0.1.
В результате решаются проблемы: консольный пользователь максимально ограничен в правах, сеанс работабщего пользователя может переключатся на другие компы, забытый сеанс можно отключить (не завершая).
Re: Active Directory и служба терминалов одной машине
А что сначала ставить АД или ТС?aka писал(а):Microsoft по умолчанию запрещает работать простым пользователям на контроллере Active Directory. Но если вдруг очень понадобилось...
Содрано отсюда.
У пользователя должно быть разрешение на интерактивный вход в систему (регистрация с клавиатуры), поскольку подключение к терминальному серверу приравнивается системой безопасности Windows 2000 к интерактивному. На обычном сервере и рабочей станции это разрешение есть у всех пользователей, но на контроллере домена для обычных пользователей, не входящих в группы администраторов или операторов (Server Operators и т. д.), интерактивный вход по умолчанию запрещен. Как следствие, пользователи не могут подключиться к терминальному серверу, если он является контроллером домена. Сообщение об ошибке при этом выдается именно такое, которое указано в письме. Чтобы сменить разрешения на интерактивный вход, необходимо изменить групповую политику контроллеров домена. Следует открыть оснастку Active Directory Users and Computers -> [имя-домена] -> папка Domain Controllers -> свойства -> вкладка Group Policy. Там вы найдете объект групповой политики (GPO) под названием "Default Domain Controllers Policy". Нужно выделить этот объект и нажать кнопку Edit - запустится редактор групповой политики. В редакторе следует открыть раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assigment. В этом разделе нужно найти разрешения на системные действия, такие, как интерактивный вход, перевод системных часов и т. д. Разрешение на интерактивный вход называется "Log on Locally". Требуется открыть его двойным щелчком мыши, добавить в список соответствующих пользователей, нажать OK. Записывать на диск ничего не нужно. Далее следует либо подождать 5 мин, либо вручную ускорить процесс применения групповой политики, набрав в командной строке: secedit /refreshpolicy machine_policy. Имейте в виду - если контроллеров домена несколько, может потребоваться дополнительное время на репликацию групповой политики с контроллера на контроллер.