Задать вопрос
partisan42
@partisan42
Новичок в Linux.
windows-server

Как разрешить пользователям доступ к серверу по RDP?

Все доброго дня. Туплю на ровном месте. Подскажите пожалуйста, что я делаю не так?
Имею свежеподнятый сервер Win2022 с ролью контроллера домена.
Так же настроил GPO по applocker, и создал пользователя test, что бы тут же проверить, работает ли? И тут столкнулся с проблемой.
При попытке авторизации на контроллере домена под учёткой test получаю следующее сообщение
"Чтобы войти в систему удаленно вам нужно право на вход через службы удаленных рабочих столов"
При этом, пользователь test состоит в группах Пользователи домена и Пользователи удалённого рабочего стола.
Так же есть групповая политика со следующим содержанием.
6324240a00a48024612619.png
6324252b7dad3676790348.png
Так же прилагаю настройки пользователя.
632424ae273fb052250166.png
Прекрасно понимаю, что адски туплю, но не могу понять где.
Буду очень признателен за указание недочёта.

Я решил вопрос добавив доменную группу "Пользователи удалённого рабочего стола" в Локальную политику безопасности, но меня не покидает ощущение что костыль какой то.
  • Вопрос задан
  • 2170 просмотров
1 комментарий
Подписаться 2 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 5
hint000
@hint000
у админа три руки
Идея в том, что заходит рядовой пользователь на контроллер домена, эксплуатирует любой свежий баг с подъёмом привелегий - и вы сливаете в унитаз безопасность всего домена, всё предприятие разом, с сотнями или тысячами пользователей, с доступом к файлам пользователей, к рабочим машинам пользователей. Дальше можно делать в сети предприятия что вздумается. Всё зашифровать. Или получить доступ к финансам. Или годами скрытно воровать коммерческую информацию...
Такие вещи эникейщик должен выучивать в первый месяц стажировки на первом рабочем месте (если только там был поднят AD). И именно поэтому работодатели не хотят принимать на работу людей совсем без опыта - слишком велика ответственность, слишком легко одним неверным действием обанкротить всю контору.
Ответ написан
Комментировать
Комментировать
meDveD_spb
@meDveD_spb
При попытке авторизации на контроллере домена под учёткой test получаю следующее сообщение

А зачем вы это делаете?

Нужна другая машина, введёная в домен, вот на ней пробуйте свои политики.
Ответ написан
Комментировать
Комментировать
@NortheR73
системный инженер
Имею свежеподнятый сервер Win2022 с ролью контроллера домена
- поэтому рядовым пользователям домена там делать нечего. Сделать, как Вы хотите, можно, но не нужно
Поднимайте второй сервер, включайте в домен, настраивайте RDS и упражняйтесь с политиками
Ответ написан
Комментировать
Комментировать
@waryag_twar
1. вам нужно использовать учётную запись test@"domain"
2. политики запрета работают раньше разрешений, проверьте запреты
Ответ написан
Комментировать
Комментировать
@fpir
Надеюсь поправят, если инфа устарела, но раньше было так: на WinServer по RDP могут зайти только администраторы и не более 3х. Чтобы могли заходить другие группы должна быть поднята роль "Службы удалённых рабочих столов"
И от главный контроллер, контроллер или рядовой сервер это не зависит.
Вроде как...
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный инженер (Windows/Astra Linux)
Гринатом Новосибирск
До 57 000 ₽
Разработчик С++
AppSec Solution Москва
от 90 000 до 120 000 ₽
Специалист технической поддержки
Кафе Bổ Москва
от 80 000 до 100 000 ₽
Ещё вакансии