Как исправить на контроллере домена?

Question

[Максим К]

Всем привет. В виртуальной среде HYPER-V развернул DC. В разделе пользователи и группы, создал подразделение "Бух" и в нем создал 3 пользователя. В итоге , при попытке подключения к DC, получаю ошибку: "Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов. По умолчанию такое право имеют члены группы Администраторы. Если у вашей группы нет этого права или оно было удалено для группы Администраторы, попросите предоставить его вам вручную.", но у меня нет RDP. Что настроено не так? Спасибо

Comments

[RStarun]

Вход на сервер DC доступен только администраторам домена по умолчанию. Нужно вспомнить какие логины/пароли задавались при поднятии DC. Пока другим админских прав не дали - администратор один.

Answer 1

[aleks-th]

У тебя группа администраторы какая там стоит - локальные, или администраторы домена - это разные сущности. Проверь что пользователь под которым ты ходишь в нужной группе.
В общем случае достаточно в локальных групповых политиках разрешить нужным юзерам входить по RDP.

Но есть много, НО,

1. На контроллере домена другие роли и удаленный доступ по RDP строго не рекомендуется разворачивать.(Один фиг там виртуалка, раз в полгода с консоли Hyper-V зайдешь когда нужно будет)
2. Не нужно пыжится и делать плохое решение, ломая безопасность контроллера домена, разрешая туда доступ.
3. Делай две вируталки - контроллер домена(он ресурсов не жрет вообще в мелких сетях), и сервер терминалов, под которым твои юзеры будут ходить работать.
4. У работающих юзеров не должно быть прав администратора, ни локальных, ни доменных, да и вообще по максимуму должны быть обрезаны права.

Answer 2

[Сергей Сахаров]

1. По RDP могут ходить только админы. Даже если службы терминалов не включены.
2. На КД службы терминалов включать категорически не рекомендуется. Лучше для этого развернуть отдельный ТС (терминальный сервер)
3. Для ТС достаточно добавить пользователя в группу Удалённых рабочих столов (на ТС). Можно создать группу доступа типа Role-RD-TS00 и добавить на ТС её, а затем просто добавлять в эту ГД пользователей.

Ну и КД надо минимум 2, а максимум - не ограничено.

Comments

[MVV]

1. По RDP могут ходить только админы. Даже если службы терминалов не включены.

По RDP могут ходить все, у кого есть право "Вход в систему через службы удаленных рабочих столов". На КД такое право есть только у локальной группы домена Администраторы (Администраторы домена и Администраторы леса в нее входят). Можно дать такое право и другим - в политике Default domain controller policy, но лучше так не делать.

Ну и КД надо минимум 2, а максимум - не ограничено.

КД достаточно и одного - работать будет. И тогда ешё его бэкап делть проще: можно делать образ диска чем-нибудь вроде Acronis, и никаких проблем восстановить КД из образа не будет. В случае же если КД в лесу не один, то при восстановлении КД из образа на физической машине будут проблемы На Hyper-V, начиная с Win2012 Srv, проблем не будет, но чего ради делать больше одного КД на одном сервере Hyper-V?

[Сергей Сахаров]

MVV, 1. Я упрощаю. В нюансах пусть сами дальше разбираются.
2. КД обычно заодно и сервер DNS, Использовать один?

КД достаточно и одного - работать будет.

Я и не говорил, что не будет. Это пошло ещё со времён PDC и BDC. Сейчас хоть сотню ставь, но владелец схемы только один. Опять же резервирование... на случай если один упадёт, пока его восстанавливают, второй работает.

В случае же если КД в лесу не один, то при восстановлении КД из образа на физической машине будут проблемы

А у нас кроме физических хостов и Hyper-V больше ничего нет? На них свет клином сошёлся? Ни XCP-ng, ни QEMU+KVM, ни ESXi, ни Proxmox...
А если КД ещё и на Самбе поднимать, добавляются Jail и LXC

но чего ради делать больше одного КД на одном сервере Hyper-V?

Согласен, незачем. Лучше иметь кластер как минимум из двух серверов Hyper-V - тогда и отказоустойчивость будет выше.

[MVV]

А у нас кроме физических хостов и Hyper-V больше ничего нет?

Я тоже решил не усложнять. У автора Hyper-V - вот я про него и написал. Да, есть и другие гипервизозоры, и чтобы понять, не будет ли проблем, про них нужно выяснять, поддерживают ли они "virtual machine generation identifier" (не думаю, что сейчас можно встретиь хоть один, который не поддерживает, но мало ли). Но автору про это знать не требуется.

Лучше иметь кластер как минимум из двух серверов Hyper-V

"где деньги, Зин" ((с)В.С.Высоцкий).

[Сергей Сахаров]

MVV, практически все гипервизоры умеют export/import ova/ovf

"где деньги, Зин" ((с)В.С.Высоцкий).

В бухгалтерии, разумеется. Кто платит, тот и заказывает музыку. Комп для ESXi/XCP-ng не так уж дорого стоит, а два КД надёжнее чем один.
Вопросы "Кто заказчик" и "почему сисадмин не знает элементарных вещей" пока придётся оставить за кадром. В любом случае на ТС для бухгалтерии явно придётся потратить больше, чем на два КД. У нас не стоит задача разработать для автора вопроса инфраструктуру, да ещё и решать - виртуализировать её или нет.