Устранение неполадок, связанных с отказом доступа и не авторизованными проблемами в службах Удаленный рабочий стол (Майкрософт)

В этой статье показано, как устранить ошибки "Доступ запрещен" и "Пользователь не авторизован" при попытке подключения к удаленному компьютеру.

Область применения: Windows Server 2012 и более поздних версий

Симптомы

При попытке подключиться к компьютеру Или виртуальной машине Windows с помощью протокола удаленного рабочего стола (RDP) вы получите сообщение, похожее на одно из следующих сообщений:

Отказано в доступе".

Пользователь не авторизован.

Причины

Наиболее распространенные сообщения об отказе в доступе и наиболее вероятные причины или обстоятельства каждого из них:

• Отказано в доступе". Эта ошибка обычно указывает, что пользователь, который пытается подключиться, не имеет необходимых разрешений для доступа к удаленному серверу.
• Подключение было отклонено, так как учетная запись пользователя не авторизована для удаленного входа. Эта ошибка предполагает, что у учетной записи пользователя нет правильных прав доступа пользователей для установления подключения RDP к целевому серверу.
• Чтобы выполнить удаленный вход, необходимо войти через службы удаленных рабочих столов. Эта ошибка обычно связана со службами удаленных рабочих столов (подключение к ферме удаленных рабочих столов), а не к автономному подключению RDP.
• Запрошенный доступ к сеансу запрещен или ограничение учетной записи запрещает этому пользователю войти. Эта ошибка обычно означает, что такие ограничения, как Credential Guard, препятствуют доступу.

Контрольный список по устранению неполадок

Существует множество потенциальных проблем, которые могут вызвать проблемы с "отказом доступа" для пользователей RDP. Чтобы сузить список возможных причин и указать отправную точку для дальнейшего устранения неполадок, рассмотрим следующее:

1. Влияет ли проблема на одного пользователя или нескольких пользователей? Проблема, влияющая на одного пользователя, указывает, что проблема существует в конфигурации или разрешениях этого пользователя. Дополнительные сведения см. в разделе "Распространенные проблемы".

2. Влияет ли проблема как на административных пользователей, так и на обычных пользователей? Это поведение может указывать на проблему, связанную с параметрами группы безопасности. Дополнительные сведения см. в разделе "Распространенные проблемы".

3. Есть ли у пользователя правильные разрешения на доступ к удаленному компьютеру в контексте, отличном от RDP (например, пользователь может войти на компьютер локально)? В этом случае у пользователя может возникнуть общая проблема с доступом, а не проблема с RDP. Возможно, вам придется обратиться к администратору Active Directory за помощью.

4. Доступен ли удаленный компьютер?

   • Если пользователь обычно подключается с помощью клиента, отличного от Майкрософт, пользователь может подключиться с помощью альтернативного метода подключения, например веб-приложение удаленного рабочего стола (веб-сайт удаленных рабочих столов) или приложение подключения к удаленному рабочему столу (Mstsc.exe)? Если проблема связана с приложением, отличным от Майкрософт, вам может потребоваться обратиться к поставщику приложений за помощью.
   • Можно ли запустить административное подключение RDP? Для этого откройте окно командной строки Windows и введите mstsc /admin.
   • Может ли пользователь или администратор подключиться к конечному компьютеру? Например, администратор может успешно подключиться с помощью ping команд или nslookup команд? Если эти команды не работают, может возникнуть проблема с сетью, портом или DNS вместо проблемы с RDP.

5. Является ли удаленный компьютер контроллером домена? Только члены группы администраторов домена могут использовать RDP для подключения к контроллеру домена.

Распространенные проблемы

В следующих разделах содержатся более конкретные сведения об устранении неполадок:

• Устранение неполадок с разрешениями
• Устранение неполадок разрешений для коллекций сеансов и приложений
• Устранение неполадок с правами доступа пользователей
• Устранение неполадок с ограничением учетной записи запрещает этому пользователю войти в систему.
• Устранение неполадок с ограничением доступа SAM
• Устранение неполадок со службами удаленных рабочих столов

Устранение неполадок с разрешениями

Чтобы проверить разрешения на уровне леса, выполните следующие действия.

1. Откройте оснастку MMC Пользователи и компьютеры Active Directory (доступно в меню "Сервис" в диспетчер сервера).
2. В узле домена выберите встроенные, щелкните правой кнопкой мыши "Пользователи удаленного рабочего стола" и выберите "Свойства".
3. Убедитесь, что пользователь является членом группы.

Если удаленный компьютер не является членом домена, проверьте разрешения на уровне удаленного компьютера. Выполните следующие действия:

1. На удаленном компьютере откройте средство "Локальные пользователи и группы" (Lusermgr.msc).
2. Выберите "Группы>пользователей удаленного рабочего стола" и убедитесь, что пользователь является членом группы.

Устранение неполадок разрешений для коллекций сеансов и приложений

Если вы используете коллекции для управления предложениями RDS, у вас есть дополнительные уровни авторизации для работы. Чтобы проверить, имеет ли пользователь доступ к коллекции, выполните следующие действия.

1. На узле сеансов удаленных рабочих столов в диспетчер сервера выберите имя коллекции> коллекций><служб>удаленных рабочих столов.

   Примечание.

   В этой последовательности <Имя коллекции> представляет имя коллекции, которую требуется управлять.

2. Проверьте элемент группы пользователей в списке свойств коллекции. Выполните одно из следующих действий:
   • Добавьте пользователя в группу, которая уже указана (например, с помощью пользователей и компьютеров Active Directory).
   • Чтобы добавить группу в коллекцию, найдите область, которая находится над списком свойств, выберите "Задачи>изменить>группы пользователей" и нажмите кнопку "Добавить".
3. Чтобы проверить разрешения для конкретного приложения в коллекции, найдите приложение в списке "Программы RemoteApp", щелкните правой кнопкой мыши приложение и выберите "Изменить назначение пользователей свойств>". Чтобы внести изменения, следуйте инструкциям на странице назначения пользователей.

Устранение неполадок с правами доступа пользователей

Убедитесь, что учетная запись пользователя принадлежит группе, которая имеет право удаленного входа на удаленный компьютер. Используйте следующие процедуры в зависимости от способа управления правами доступа пользователей на удаленном компьютере. Помните, что параметры групповой политики переопределяют параметры локальной политики безопасности.

Если вы используете групповую политику на уровне домена, выполните следующие действия.

1. В меню диспетчер сервера Сервис откройте консоль управления групповыми политиками (GPMC), щелкните правой кнопкой мыши объект групповой политики , который управляет удаленным компьютером, а затем выберите "Изменить", чтобы открыть редактор групповой политики.
2. Выберите политики>конфигурации>компьютера Параметры безопасности параметров безопасности локальных>>политик>, назначение прав пользователей.
3. Выберите "Разрешить вход через службы удаленных рабочих столов". Если политика включена, щелкните правой кнопкой мыши разрешить вход через службы удаленных рабочих столов и выберите пункт "Свойства". Если политика не определена, ознакомьтесь со следующей процедурой, чтобы проверить локальную политику безопасности.
4. Проверьте группы, которым назначено это право. Если пользователь не принадлежит группе, которая имеет это право, добавьте группу в политику или добавьте пользователя в одну из уже настроенных групп.

Если вы используете локальную политику безопасности, выполните следующие действия.

1. На удаленном компьютере откройте локальную политику безопасности.
2. Выберите "Параметры безопасности" Для назначения прав пользователей локальных>политик.>
3. Выберите "Разрешить вход через службы удаленных рабочих столов" и проверьте список групп в параметрах безопасности. Если пользователь не принадлежит группе, которая имеет это право, добавьте группу в политику или добавьте пользователя в одну из уже настроенных групп.
4. Чтобы добавить группу в политику, щелкните правой кнопкой мыши политику и выберите пункт "Свойства". Выберите " Добавить пользователя или группу", а затем выберите группу.

Устранение неполадок с ограничением учетной записи запрещает этому пользователю войти в систему.

Сообщение "Ограничение учетной записи предотвращает вход этого пользователя", как правило, означает, что Credential Guard ограничивает доступ пользователей.

Credential Guard влияет только на прямые подключения к удаленным компьютерам. Он не поддерживается для подключений, использующих брокер подключений удаленных рабочих столов или шлюз удаленных рабочих столов. Дополнительные сведения об использовании Credential Guard см. в разделе "Пользователь не может пройти проверку подлинности" или дважды пройти проверку подлинности.

Устранение неполадок с ограничением доступа SAM

Если разрешено разрешить клиентам выполнять удаленные вызовы к политике SAM, это может препятствовать подключению пользователей к удаленным компьютерам. Эта политика определяет, какие пользователи могут перечислять пользователей и групп в локальной базе данных диспетчера учетных записей безопасности (SAM) и Active Directory. Политика присутствует в Windows Server 2016 и более поздних версиях.

Чтобы проверить эту политику, выполните следующие действия.

1. В редакторе групповой политики выберите параметры безопасности параметров>> конфигурации компьютера.>>>
2. Проверьте состояние сетевого доступа: ограничьте клиенты, которым разрешено выполнять удаленные вызовы к политике SAM .
3. Если эта политика включена, просмотрите сетевой доступ: ограничьте клиенты, которым разрешено выполнять удаленные вызовы к SAM.

   Внимание

   Эта политика — это параметр безопасности, который нельзя добавить или удалить с помощью предопределенных параметров групповой политики. Однако он имеет режим только аудита. В связанной статье содержатся сведения о настройке режима только аудита и использовании режима только аудита в тестовой среде.

Устранение неполадок со службами удаленных рабочих столов

Оснастка MMC служб (Services.msc, также доступна в меню "Сервис" в диспетчер сервера) для локального или удаленного управления службами. Вы также можете использовать PowerShell для управления службами в локальном или удаленном расположении (если удаленный компьютер настроен для приема удаленных командлетов PowerShell).

Если проблема связана с прямым подключением RDP к удаленному компьютеру, проверьте состояние службы на удаленном компьютере. Если служба не запущена, запустите ее.

Если вы используете крупномасштабное развертывание серверов узла сеансов удаленных рабочих стола, проверьте состояние службы на серверах узла сеансов удаленных рабочих столах. Если служба не запущена, запустите ее.

Если вы работаете с версиями Windows Server, предшествующими Windows Server 2016, может возникнуть проблема, из-за которой удаленный компьютер или сервер узла сеансов удаленных рабочих столов не может правильно запрашивать контроллер домена для сведений о пользователе. Если вы подозреваете, что у вас эта проблема, при подключении к Windows Server 2012 R2 с помощью RDP происходит замедление входа в систему сервера или входа пользователя.