группа «Remote Desktop Users» должна быть доменная, проверь. может придется ее вручную добавить на целевой машине.

Имхо, чушь.

Группа не та. Контроллер домена имитирует вендовый сервер и группа «Remote Desktop Users» - его локальная.

Тебе надо GPO и добавлять нужные группы доступа на каждый комп, на который нужен удалённый вход.

Спасибо за ответ.

Установила на клиентской машине обновление, подключаюсь к оснастке dsa.msc, вижу свой домен, в нем ветку Builtin, в ней нахожу группу Remote Desktop Users. Это, если я правильно понимаю, и есть доменная группа.

В настройках удаленного подключения клиента нужно добавить эту (доменную) группу в локальную группу Пользователи удаленного рабочего стола. Именно этой группы нет... Или она называется по-другому...

Есть группы:

• Allowed RODC Password Replication Group
• Cert Publishers
• Denied RODC Password Replication Group
• DnsAdmins
• Domain Admins
• Domain Computers
• Domain Controllers
• Enterprise Admins
• Enterprise Read-only Domain Controlles
• Group Policy Creator Owners
• Guest
• RAS and IAS Servers
• Read-only Domain Controllers
• Schema Admins Сравнила, все представленные группы в домене значатся в ветке Users, а нужная группа в ветке BuitIn... Т.е. поиск при добавлении пользователей в группу «Пользователи удаленного рабочего стола» идет в домене только в ветке Users... Можно как-то перенаправить место поиска в домене?

Спасибо за ответ.

Правильно ли я поняла, что на каждой клиентской машине, мне нужно в gpedit.msc добавить разрешение на удаленный доступ именно для доменной группы?

Если правильно, то клиентской машине в консоли gpedit.msc проделано следующее:

Политика «Локальный компьютер» - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Разрешить вход в систему через службу удаленных рабочих столов - Уже есть Администраторы и Пользователи удаленного рабочего стола - Добавляю группу Remote Desktop Users (расположена domen/BuiltIn) - Ошибка «Шаблоны безопасности» - «Ошибка расширенного типа. Не удалось сохранить База данных локальной политики». Где-то еще нужно прописать разрешение для группы или Винда ругается, что не может добавить не свою локальную группу?

При этом группа Remote Desktop Users добавлена, но своим пользователем войти всё равно не могу, та же ошибка «Удаленный доступ запрещен».

эмм.. возможно, я не так понимаю, что ты делаешь. нужно на машине с вендой, к которой ты коннектишься по рдп ,и которая введене в домен, найти настройку удаленного доступа, разрешить его, и добавить в разрешениях доменную группу твою доменную группу для удаленного доступа. доменную групп при добавлении искать нужно в домене (кнопка «размещение» в диалоге добавления)

на вендовом домене сервер сам добавляет все согласно групповым политикам, самба вроде так не может.

Я поняла, что нужно добавить в локальную группу «Пользователи удаленного рабочего стола» доменную группу Remote Desktop Users. Но через простое добавление в группу - не проходит. Доменная группа не доступна для добавления (нашла, как выбрать именно ветку BuildIn - тогда вообще нет объектов для добавления).

По совету dhameoelin, начала копать в сторону Групповой политики. Там есть доменная группа. И ее получается добавить, но с ошибкой...

на вендовом домене сервер сам добавляет все согласно групповым политикам, самба вроде так не может.

Всё она может. И настраивается через штатный вендовый RSAT.

Там есть доменная группа. И ее получается добавить, но с ошибкой...

Блджад, НЕТ У ТЕБЯ ДОМЕННОЙ ГРУППЫ «Remote Desktop Users»!!! Это локальная группа контроллера домена. ЛОКАЛЬНАЯ! Как тебе ещё в голову это вбить? Вижу, что нашла, наезд снимается.

Создай отдельную доменную группу (а лучше на каждый комп - свою) и раздавай её групповой политикой. Заодно этой же политикой можно включать удалённый доступ. Но лучше мух от котлет отделять.

P.S.: ошибку мы увидим или гадать надо?

Создай отдельную доменную группу (а лучше на каждый комп - свою) и раздавай её групповой политикой.

Правильно ли я поняла, что Remote Desktop Users (которая локальная доменная группа), является таковой, так как она уже есть в samba? Доменную группу создавать через командную строку samba через

/usr/local/samba/bin/samba-tool group add *** 

P.S.: ошибку мы увидим или гадать надо?

Ошибка

«Ошибка «Шаблоны безопасности» - «Ошибка расширенного типа. Не удалось сохранить База данных локальной политики». Где-то еще нужно прописать разрешение для группы или Винда ругается, что не может добавить не свою локальную группу?»

Нашла, как создавать группу в политиках, в ветке Users создана группа (глобальная, тип группы - безопасность), в нее добавлен в нее пользователь, и вся эта группа добавлена в разрешенные для удаленного входа (в политиках) при добавлении ошибка не появилась. Но удаленный вход этим пользователем опять запрещен - пользователь не имеет прав для удаленного входа в систему...

Создала группу в ветке BuiltIn (глобальную, безопасность), добавила в нее пользователя, в политиках не добавляла в Разрешенные для удаленного входа, зато добавила созданную группу в Пользователи удаленного рабочего стола и пользователь подключился... Т.е. разрешать удаленный вход в политиках необязательно?

Создала группу в samba через

 /usr/local/samba/bin/samba-tool group add 123

Ну ёлки-палки...

Как бы тебе сказать так, чтобы понятно было?

Карочи папробуйу как дебилы песатьсашипкаме^Uнет, не вариант...

Раз ты поняла, что ветка BUILTIN контроллера домена (локальная, напоминаю) тебе не нужна, то забудем про неё нафиг, Ok?

Далее. Ты создала доменную группу. Это хорошо. Ты на нужном ПК вручную «вложила» эту группу в локальную (BUILTIN для этого конкретного ПК) группу «Пользователи удалённого рабочего стола» - это плохо. Это должна делать групповая политика. Ферштейн?

Можно раздавать на каждый ПК уникальную группу доступа, привязанную к его hostname, можно раздавать глобальную группу доступа к рабочему столу на все ПК домена (что небезопасно), но не надо делать это вручную! Нахрена, в таком случае, нужен домен? Разбирайся с GPO - это не страшно.

P.S.: начать стоит с http://gpo-planet.com/

Спасибо за пинок)))

GPO действительно оказалось не так страшно, основы почерпнула здесь. Появилось представление, что это такое.

Т.е. есть политики, которые определяют, что кому можно, а кому нет, и эти политики применяются к подразделениям разного уровня. Через RSAT создала департаменты в домене, в департаментах подразделения, в подразделениях можно создавать группы (в которые уже загонять пользователей). Политики применяются не к группам, а к подразделениям (от домена до отделов, а может и ролей).

Создала группу, с пользователем, группу добавила в OU, для OU применила объект групповой политики с параметром: Политика *** - Конфигурация компьютера - Политики - Конфигурация Windows - Политика разрешения имен - Параметры безопасности - Локальные политики - Назначение прав пользователя - Разрешить удаленный вход - Добавила группу

Обновила политики на клиенте через Gpupdate.exe

Обновление политики...

Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Попытка чтения файла "\\global.plus\SysVol\global.plus\Policies\{C980E49C-2A83-4D0C-AFEB-046C2B828137}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Обновление политики для компьютера успешно завершено.

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H
 GPReport.html из командной строки для просмотра сведений о результатах групповой политики.

Войти новым пользователем нельзя - удаленный вход запрещен.

В отчете по ошибке обновления:

Отклоненные объекты групповой политики - Имя - Default Domain Policy, Причина отказа - Пусто. Т.е. политика, даже дефолтная, не может быть пустой?

Из-за того, что дефолтная политика пуста, может не примениться политика с меньшим приоритетом? Или я опять не туда добавляю группу?

Отключила пустые политики (которые без параметров), обновила gpo, теперь обновление прошло без ошибок, но все равно не пускает юзера, который в группе, которая в OU, которому политикой разрешен Удаленный вход по RDP.

Проверила, в объекте групповой политики, в его параметрах сохранена политика, разрешающая вход в систему через RDP именно созданной группе

Смотри, если совсем простой вариант рассматривать (без фильтров), то чтобы политика, закреплённая за OU применилась к компьютеру - компьютер должен входить в нужный OU.

Компьютер переместила из ветки Computers в OU (это из оснастки AD-Пользователи и компьютеры), как скопировать, пока не нашла (подозреваю, что перетаскивать неправильно). Удаленный вход тоже запрещен.

Правильно, перенос и нужен. А компьютер после перемещения групповые политики обновил? Подтолкнуть можно, сказав gpupdate /force в консоли администратора ПК.