Ошибка: При входе сообщение: "To sign in remotely, you need the rights to sign in Remote Desktop
Services. By default only members of the Administrators group have this
right. If the group you’re in doesn’t have this right, or if the right
has been removed from Administrators group, you need to be granted this
right manually."
Решение: Дело в том, что возможность подключение к RDP в системах Windows определяется политикой Allow log on through Remote Desktop Services (в Windows 2003 и ранее политика называется Allow log on through terminal services). После повышения роли сервера до DC в этой политики остается только группа Administrators (это администраторы домена)..
По умолчанию удаленный rdp-доступ к рабочему столу контроллеров домена Active Directory есть только у членов группы администраторов домена.
Чтобы дать возможность подключения членам группы Remote Desktop Users нужно нужно на контроллере домена:
Лучше всего создать в домене новую группу безопасности, например, AllowDCLogin и добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль GPMC,msc добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment -> Allow log on through Remote Desktop Services).
Источник: https://winitpro.ru/index.php/2015/02/27/kak-razreshit-obychnym-polzovatelyam-rdp-dostup-k-kontrolleru-domena/
Решение: Дело в том, что возможность подключение к RDP в системах Windows определяется политикой Allow log on through Remote Desktop Services (в Windows 2003 и ранее политика называется Allow log on through terminal services). После повышения роли сервера до DC в этой политики остается только группа Administrators (это администраторы домена)..
По умолчанию удаленный rdp-доступ к рабочему столу контроллеров домена Active Directory есть только у членов группы администраторов домена.
Чтобы дать возможность подключения членам группы Remote Desktop Users нужно нужно на контроллере домена:
- Запустить редактор локальной политики (gpedit.msc)
- Перейти в раздел Computer Configuration -> Windows settings -> Security Settings -> Local policies -> User Rights Assignment
- Найти политику с именем Allow log on through Remote Desktop Services
- Отредактировать политику, добавив в нее доменную группу Remote Desktop Users (в формате domain\Remote Desktop Users), либо непосредственно доменного пользователя или группу (в формате domain\somegroupname)
- Запустить обновление локальный политик
gpupdate /force
Лучше всего создать в домене новую группу безопасности, например, AllowDCLogin и добавить в нее учетные записи пользователей, которым нужно разрешить удаленный доступ к DC. Если нужно разрешить доступ сразу на все контроллеры домена AD, вместо редактирования локальной политики на каждом DC, лучше через консоль GPMC,msc добавить группу пользователей в доменную политику Default Domain Controllers Policy (политика Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment -> Allow log on through Remote Desktop Services).
Важно. В
том случае, если вы изменяете доменную политику, не забудьте добавить в
нее группы администраторов домена/предприятия, иначе они потеряют
удаленный доступ к контроллерам домена
Источник: https://winitpro.ru/index.php/2015/02/27/kak-razreshit-obychnym-polzovatelyam-rdp-dostup-k-kontrolleru-domena/
