Почему не работает RDP?

Question

[partisan42]

Доброго дня. Прошу, ткните меня носом, что я делаю не так?
Есть 3 компьютера.
Компьютер пользователя User. Не в домене. (находится удалённо)
Сервер с 1с, и прочим SRV
Контроллер домена DC.

На контроллер домена создаю пользователя. User1. Включаю его в группу "Пользователи домена" и "Пользователи удалённого рабочего стола".
С ПК User, с помощью дефолтного mstsc, пытаюсь подключиться к SRV, на что получаю ошибку

Пошёл убедиться, что я всё сделал верно и таки добавил пользователя в нужную группу.

Решил посмотреть что у меня с групповыми политиками. И обнаруживаю что нужная политика не определена.

После чего добавляю туда группу Пользователи удалённого рабочего стола и Администраторы

После чего делаю gpupdate /force на DC и на SRV. (при это на srv делаю это от локального администратора, так как под доменным зайти не могу)
Пытаюсь залогиниться под доменным администратором, проблем нет.
А под User1, получаю точно такую же ошибку.
Может быть есть ещё одна обязательная политика которую я упустил?
Буду очень признателен за совет.

Comments

[MaxKozlov]

А вам не проще прямо на SRV добавить пользователя в группу для rdp. При таком-то ограниченном участии. Три компа один юзер

Btw, править default domain policy - дурной тон
А проверить применимость через rsop или gpresult, на крайняк gpedit ?

[partisan42]

MaxKozlov, Приветствую. Одного юзера я привёл для примера. У меня там около сотни юзеров сидит, но все под локальными учётками созданными на SRV. Под локальной учёткой проблемы нет, но есть NAS, в котором распределены права, кому куда можно, а кому куда нельзя. И приходится создавать сетевой диск с уже доменными учётками. Да и есть ещё вещи, которые хотелось бы реализовывать с помощью GPO, потому я и хочу всех юзеров перевести с локальных учёток на доменные. А это была проба пера.
Про default domain policy вы совершенно правы. Как то с раннего утра, да с недосыпа затупил:)
Вынес эту настройку в отдельную политику, добавил SRV в фильтр безопасности.
Сделал gpupdate /force на SRV.
RSoP показал что данная политика применилась.
Но увы, проблема никуда не ушла:(

[MaxKozlov]

partisan42, так юзеры какую учетку для логина используют? Локальную или доменную? Домен указывают?
В локальной 'remote desktop users' группе сервера srv ваша доменная группа появилась?
Если юзера пустить локально и сделать "whoami /groups" нужная группа есть?

Answer 1

[hint000]

В локальную группу "Пользователи удалённого рабочего стола" включите доменную группу "Пользователи удалённого рабочего стола". Доменных пользователей включайте в доменную группу. И всё, не нужно никаких заморочек с политиками.

В условиях, когда новые сервера появляются не каждый день, мне проще на новом терминальном сервере один раз добавить группу руками (и всё работает железобетонно), чем разбираться, почему какие-то политики не применились или неправильно применились.

Comments

[partisan42]

Я так наверное и сделаю, но всё же любопытство осталось, что с ними не так, с политиками этими:)

Answer 2

[Виктор]

У меня вот так все прекрасно работает:


Т.е. создаете отдельную группу в домене и добавляете туда необходимых пользователь. Потом создаете политику и применяете ее уже на ПК.