Как разрешить пользователям доступ к серверу по RDP?

Question

[partisan42]

Все доброго дня. Туплю на ровном месте. Подскажите пожалуйста, что я делаю не так?
Имею свежеподнятый сервер Win2022 с ролью контроллера домена.
Так же настроил GPO по applocker, и создал пользователя test, что бы тут же проверить, работает ли? И тут столкнулся с проблемой.
При попытке авторизации на контроллере домена под учёткой test получаю следующее сообщение
"Чтобы войти в систему удаленно вам нужно право на вход через службы удаленных рабочих столов"
При этом, пользователь test состоит в группах Пользователи домена и Пользователи удалённого рабочего стола.
Так же есть групповая политика со следующим содержанием.


Так же прилагаю настройки пользователя.

Прекрасно понимаю, что адски туплю, но не могу понять где.
Буду очень признателен за указание недочёта.

Я решил вопрос добавив доменную группу "Пользователи удалённого рабочего стола" в Локальную политику безопасности, но меня не покидает ощущение что костыль какой то.

Comments

[Alexey Dmitriev]

На контроллер домена по RDP не могут зайти пользователи и члены группы "Пользователи удалённого рабочего стола". Это нормальное поведение.

Answer 1

[hint000]

Идея в том, что заходит рядовой пользователь на контроллер домена, эксплуатирует любой свежий баг с подъёмом привелегий - и вы сливаете в унитаз безопасность всего домена, всё предприятие разом, с сотнями или тысячами пользователей, с доступом к файлам пользователей, к рабочим машинам пользователей. Дальше можно делать в сети предприятия что вздумается. Всё зашифровать. Или получить доступ к финансам. Или годами скрытно воровать коммерческую информацию...
Такие вещи эникейщик должен выучивать в первый месяц стажировки на первом рабочем месте (если только там был поднят AD). И именно поэтому работодатели не хотят принимать на работу людей совсем без опыта - слишком велика ответственность, слишком легко одним неверным действием обанкротить всю контору.

Answer 2

[meDveD_spb]

При попытке авторизации на контроллере домена под учёткой test получаю следующее сообщение

А зачем вы это делаете?

Нужна другая машина, введёная в домен, вот на ней пробуйте свои политики.

Answer 3

[Роман Безруков]

Имею свежеподнятый сервер Win2022 с ролью контроллера домена

- поэтому рядовым пользователям домена там делать нечего. Сделать, как Вы хотите, можно, но не нужно
Поднимайте второй сервер, включайте в домен, настраивайте RDS и упражняйтесь с политиками

Answer 4

[waryag_twar]

1. вам нужно использовать учётную запись test@"domain"
2. политики запрета работают раньше разрешений, проверьте запреты

Answer 5

[fpir]

Надеюсь поправят, если инфа устарела, но раньше было так: на WinServer по RDP могут зайти только администраторы и не более 3х. Чтобы могли заходить другие группы должна быть поднята роль "Службы удалённых рабочих столов"
И от главный контроллер, контроллер или рядовой сервер это не зависит.
Вроде как...