Обратите внимание, что флажок "Запретить этому пользователю разрешения на вход на сервер узла сеансов удаленных рабочих столов" работает по-разному в Windows Server 2003 и Windows Server 2008

В этой статье показано, как решить проблему , из-за которой запретить этому пользователю разрешение на вход в компонент сервера узла сеансов удаленных рабочих столов работает по-разному в разных версиях Windows Server.

Исходный номер базы знаний: 2258492

Симптомы

Вы можете заметить, что поведение запрета этому пользователю разрешений на вход в сервер узла сеансов удаленных рабочих столов отличается от Windows Server 2003 и Windows Server 2008. В Windows Server 2003 этот параметр называется запретить этому пользователю разрешение на вход на любой сервер терминалов.

Обратите внимание на следующую установку:

1. Сервер-член Windows 2008 Server.

2. Сервер-член Windows Server 2003.

3. В Пользователи и компьютеры Active Directory оснастки выберите пользователя и перейдите на вкладку "Профиль служб удаленных рабочих столов". Если контроллер домена работает под управлением Windows Server 2003, это будет называться профилем служб терминалов. Здесь укажите параметр "Запретить этому пользователю разрешение на вход на сервер узла сеансов удаленных рабочих столов". Опять же, в Windows Server 2003 это называется "Запретить этому пользователю разрешение на вход на любой сервер терминала".

4. Задайте этому пользователю роль члена группы "Пользователи удаленных рабочих столов" или локальной группы "Администраторы" в серверах Windows Server 2003 и Windows Server 2008.

Теперь используйте учетные данные этого пользователя для входа на сервер-член Windows 2003 через RDP, вы заметите, что этот пользователь будет заблокирован. Однако этот пользователь сможет выполнить вход на сервер Windows Server 2008.

Причина

Такое поведение предусмотрено разработчиками. В Windows Server 2003 этот параметр проверяется независимо от того, находится ли сервер в режиме сервера терминала удаленного администрирования или в режиме сервера терминала приложений. Однако в Windows Server 2008 этот параметр проверяется на компьютере со службами удаленных рабочих столов только в режиме приложения. Режим удаленного администрирования не проверяет этот параметр. Если вы измените сервер Windows Server 2008 на режим приложения служб удаленных рабочих столов, установив роль, этот пользователь не будет запрещен входить в систему через RDP.

Решение

Чтобы запретить вход пользователя или группы через RDP, явно задайте привилегию "Запрет входа через службы удаленных рабочих столов". Для этого перейдите к редактору групповой политики (локальному серверу или из подразделения) и задайте эту привилегию:

1. Начало | Запуск | Gpedit.msc, если измените локальную политику или выберите соответствующую политику и измените ее.

2. Конфигурация компьютера | Параметры Windows | Параметры безопасности | Локальные политики | Назначение прав пользователя.

3. Найдите и дважды щелкните "Запрет входа через службы удаленных рабочих столов".

4. Добавьте пользователя и /или группу, которую вы хотите запретить доступ.

5. Нажмите кнопку "ОК".

6. Запустите или дождитесь gpupdate /force /target:computer следующего обновления политики, пока этот параметр вступит в силу.