Allow log on locally - Server 2012 with win 7

[Obelix]

Allow log on locally - Server 2012 with win 7

יצא למישהו לאפשר גישה ליוזרים לבצע RDP לתחנות עם היוזר והסיסמה של עצמם ? (עובד יופי על 2008 + 7\ xp)
לדוגמא - בתמיכה מרחוק לאפשר לצוות NOC חיצוני לגשת לפרופיל משתמש ולהגדיר\ לטפל בבעיה.

אחרי חפירה של מספר שעות בעניין, והגדרת התצורות המתאימות על פי מיקרוסקופ, לא רואה את האופק.
מסרב בכל צורה לאפשר גישה.

אופשרו החוקים הבאים בGPO:
Allow log on locally
Access this computer from the network
Allow log on through Terminal Services
Windows Firewall: Allow inbound Remote Desktop exceptions
Allow users to connect remotely by using Remote Desktop Services.

היוזרים הוכנסו לקבוצת Remote desktop.

FW בוטל על המחשבים.

יש למישהו רעיון ?

 

[doom23]

מה בדיוק השגיאה שאתה מקבל ?

אתה מגיע לכניסה מכניס שם משתמש וסיסמא ומקבל הודאה שזה מוגבל על ידי פוליסי ?

או בכלל אין גישה לשרת ?
אם אין גישה תנסה לבטל FIRWALL זמנית בשביל לראות אם הכל תקין

אם לא אז תרשום מה בדיוק השגיאה

 

[ירון316]

האמת? לא הבנתי את השאלה...

 

[Obelix]

השגיאה שמתקבלת + השאלה

the connection was denied because the user account is not authorized for remote login - השגיאה .

כפי שרשום בהודעה הראשונה - היוזר נמצא בקבוצה המתאימה.

השאלה - מה אני מפספס?

FW בוטל על המחשבים.

 

[ddoottaann]

תשובה

היוזר צריך להיות אדמין מקומי כי קבוצת administrators המקומית מאופשרת לRDP

 

[Obelix]

אני חושב שאתה טועה.

אלא אם כן זה חדש תחת SERVER 2012 - מה שמאוד לא סביר .

 

[Motel]

אין שום צורך באדמין מקומי

הם צריכים להיות בקבוצת Remote Desktop Users המקומית על השרת (שמכילה את האדמינים, ולכן זה אולי מה שבילבל אותך).

 

[ddoottaann]

זה מה שהתכוונתי

כי יותר פשוט להכניס לקבוצת administrators שהיא כבר בקבוצת remote desktot users

 

[Motel]

איך זה יותר פשוט ?

אתה מציע לתת למשתמשים האלה הרשאות מלאות ע"י הכנסה שלהם לקבוצה שהיא חלק מ-Remote Desktop Users, במקום, פשוט, להכניס אותם לקבוצת Remote Desktop Users?

 

[Pv07]

תבדוק

system properties >>> remote>>> select user
מופיעה קבוצה או יוזר הרצוי

 

[Obelix]

אני מדבר על GPO

המחשב המקומי מקבל את כל החוקים מ GPO.

המחשב המקומי לא רלוונטי במקרה הנ"ל. הוא יעשה מה שהGPO יחיל עליו.

ולגבי הקבוצה של remote desktop users, היוזרים בקבוצה מהתחלה.

יש אולי למישהו מעבדה בשלף שהוא יכול לבדוק האם זה עובד אצלו ? server 2012 + windows 7

אני מתחיל לאבד את השערות שאין לי..

 

[Obelix]

ו.......הפתרון.

אני ממש לא זוכר שזה עובד בצורה הזו. אבל יכל מאוד להיות שזיכרוני מטעה אותי
להלן הפתרון:
Grant access to your terminal servers with the Remote Desktop Users group
The Remote Desktop Users group is one of the built-in users groups available when you install one of the Microsoft Windows Server 2003 operating systems. When you enable Remote Desktop, members of the Remote Desktop Users group and domain administrators are automatically able to log on remotely to a terminal server.
By default, the Remote Desktop Users group is not populated. Therefore, you must decide which users and groups should have access to log on remotely to a terminal server, and then add them to this group. Instead of populating the Remote Desktop Users group on a per-server basis, as a best practice it is recommended to centrally grant access to users via the Remote Desktop Users group for all your terminal servers using Group Policy. This approach will allow all domain administrators to be able to indirectly add their users to the Remote Desktop Users group for all terminal servers using a domain group.
noteNote
This procedure does not show you how to restrict access to the Remote Desktop Users group. Do not add domain administrators to the domain group configured as a member of the Remote Desktop Users group. By default, domain administrators have remote access rights to any terminal server.
To add a domain group to the Remote Desktop Users group via Group Policy
To open Group Policy Management Console, click Start, click Run, and then type GPMC.msc.
Create and link a GPO named Restricted Groups to the terminal server OU.
Right-click the Restricted Groups GPO linked to the terminal server OU, and then click Edit.
You can configure the Restricted Groups setting in the following location in Group Policy Object Editor:
Computer Configuration\Windows Settings\Security Settings\Restricted Groups\
Right-click Restricted Groups and then click Add Group.
Click Browse, click Locations, select the locations you want to browse, and then click OK.
Type Remote Desktop Users in the Enter the object names to select text box and then click Check Names. Or, click Advanced, and then click Find Now to list all available groups.
Click the Remote Desktop Users group and then click OK.
Click OK in the Add Groups dialog box to close it. The Remote Desktop Users Properties dialog box is then displayed.
Click Add in the Members of this group section of the dialog box.
Click Browse.
Type the name of the domain group in the Select Users or Groups dialog box. Click Check Names, and then click OK to close this dialog box.
Click OK to close this dialog box to finish adding the domain group to the Remote Desktop Users group.

משפט סיכום:
ימח שמך טרוריסט שכמוך.

 

[sysnt]

הלכתי לאיבוד, sorry...

 

[Obelix]

מבין אותך. גם אני בהתחלה לא מצאתי את הצפון

אסביר שוב הכל.
המטרה שלי הייתה כדלקמן:
צוות HD\NOC שתומך במספר חברות, מקבל טלפון מאבי היושב בחברה דימקולו בע"מ.
חברת דימקולו בע"מ היא חברה קטנה של 50 עמדות ללא צוות IT כלל.

אבי הוא יוזר רגיל ללא הרשאות מיוחדות בסביבת דומאין 2012, ותחנות עבודה windows 7.

לצוות תמיכה יש VPN לאירגון. באירגון אין אפשרות להפעלת Teamviewer.
אבי בטעות מחק את ההגדרות של הSoftphone שלו על המחשב.

מאיר מהצוות תמיכה, צריך להשתלט לאבי על המחשב ולהחזיר את ההגדרות שנעלמו.
בלי הגדרות מתאימות, אין למאיר סיכוי לעזור לו (RDP).

ועכשיו לפתרון:
יצירת GPO ושינוי הפרמטרים המופיעים בתמונה.
עד SERVER 2008 אם זיכרוני אינו מטעה אותי - זה עבד רק עם ההגדרות בתמונה.
ב SERVER 2012 צריך להגדיר בנוסף, קבוצות ממודרות "Restricted Groups"
ולהלן הדרך:
1.יצירת GPO בשם Restricted Groups (למען הסדר הטוב)
2. הולכים למיקום הבא : Computer Configuration\Windows Settings\Security Settings\Restricted Groups\
3. בוחרים בהוספת קבוצה.
4.מוסיפים את קבוצת Remote Desktop Users
5. מוסיפים את החברים בקבוצה (ללא קשר לקבוצה הקיימת בAD) במקרה שלנו - Authenticated Users
6.לאחר מכן בחלק התחתון של העמוד בחלק של Member of - מוסיפים את קבוצת domain users.
וזהו.

כל זה קרה כי משום מה thightVNC לא מוכן לרוץ בהתקנה אוטומטית בקובץ BATCH עם קונפיגורציה של סיסמה והגבלה ל SUBNET (זה הפרוייקט החדש, אם למישהו יש רעיון).